Apple a publi rcemment un projet de vote visant rduire la dure de vie des certificats de scurit SSL/TLS, qui passerait de 398 jours 45 jours d’ici 2027. Toutefois, la proposition d’Apple a rendu furieux les administrateurs systme qui affirment qu’il s’agit d’un plan cauchemardesque . Cette proposition fait suite une initiative similaire de Google, qui prvoit de rduire 90 jours la priode de validit maximale de ces fichiers de confiance numriques sur Chrome. La dure de vie maximale des certificats de scurit SSL/TLS a t progressivement rduite au fil des ans dans le cadre d’un effort continu pour renforcer la scurit sur Internet.
Apple propose de rduire la dure de validit des certificats SSL/TLS 45 jours
Les certificats TLS (Transport Layer Security) sont la base d’un Internet sr et scuris. Ils scurisent les connexions Internet en chiffrant les donnes envoyes entre votre navigateur, le site Web que vous visitez et le serveur du site Web. Ils garantissent que les donnes sont transmises en priv et sans modification, perte ou vol. TLS est la technologie qui succde Secure Sockets Layer (SSL), qui a t remplace en 2015 aprs avoir t compromise par des vulnrabilits. Le terme SSL est plus utilis, car il est plus connu. La dure de validit des certificats TLS/SSL est actuellement de 398 jours, soit environ 13 mois.
La dure de vie maximale des certificats de scurit SSL/TLS a t progressivement rduite au fil des ans pour des raisons de scurit. Bien que cela semble trange, il est gnralement admis que la rduction de la dure de validit des certificats renforce la scurit d’Internet en rduisant la possibilit pour les criminels d’exploiter les vulnrabilits. Google souhaite dsormais rduire la dure de vie de ses certificats 90 jours et Apple 45 jours seulement.
Apple a publi rcemment un projet de vote dans ce sens, mais les administrateurs de systmes s’opposent cette mesure. En effet, ces derniers seront largement responsables de la gestion de ces renouvellements plus frquents, et la rduction de la dure de vie constituera sans aucun doute un casse-tte pour les quipes de scurit informatique dbordes qui doivent jongler avec de nombreux certificats arrivant expiration des moments diffrents.
Il est facile de prdire que les entreprises qui utilisent des mthodes manuelles pour suivre et contrler les expirations de certificats se retrouveront bientt dpasses par l’volution rapide de la dure de vie des certificats. Apple a soumis sa proposition au forum CA/B (Certification Authority Browser Forum) au dbut du mois d’octobre 2024.
Si elle est adopte, la proposition d’Apple rduira la dure de vie maximale des certificats 200 jours aprs septembre 2025, puis 100 jours un an plus tard et 45 jours aprs avril 2027. Le projet de loi rduit galement la validation du contrle de domaine (DCV), en la ramenant progressivement 10 jours aprs septembre 2027.
La proposition d’Apple dclenche la colre de certains administrateurs systme
Comme soulign plus haut, la dure de vie des certificats de scurit SSL/TLS a de toute faon diminu au fil du temps, passant d’environ huit ans avant 2011 environ treize mois aujourd’hui. Selon certains experts, la proposition d’Apple et de Google constitue une mesure judicieuse sur le plan de la scurit, car la rduction de la dure de vie signifie que les criminels en ligne auront moins de temps pour exploiter les vulnrabilits et les anciens certificats de sites Web. Cependant, les administrateurs systme ne voient pas la chose de la manire, remettant en question les gains en matire de scurit sur Internet.
En rponse la proposition, les administrateurs se sont rendus sur le site r/sysadmin de Reddit et se sont plaints des changements potentiels. Les commentaires abordent les problmes lis la rduction de la dure de vie des certificats, notamment le fait que les mises jour plus rgulires reprsentent un surcrot de travail. Les certificats tant une tche difficile pour beaucoup, la perspective de les changer plus souvent peut tre un dfi majeur.
Si l’on ajoute cela la dpendance l’gard d’autres fournisseurs qui peuvent ne pas tre aussi ponctuels que leurs clients, on obtient une recette pour un dsastre ou un temps d’arrt, ce qui pourrait causer des dommages importants aux clients. Si certains estiment que l’automatisation des mises jour pourrait tre la solution, d’autres ont dclar que leurs fournisseurs n’avaient tout simplement pas prvu de moyens d’automatiser les changements.
Comme l’a dit l’une des centaines de personnes qui se sont rendues sur Reddit pour se plaindre de la proposition : a va craindre. Mon fournisseur prfr gre quelque chose comme 10 sites Web pour nous, et nous devons fournir les certificats manuellement chaque fois. Entre le live et le test, a va craindre . Certains critiques se demandent quels sont les avantages rels d’une telle initiative : en attendant, combien de brches cela va-t-il arrter ? .
Les administrateurs systme ont un petit espoir que la proposition d’Apple aboutisse un vote contre la mesure de la part des membres du CA/B Forum. Cependant, comme l’a dit un utilisateur, Apple et Google pourraient en faire une politique de toute faon , ce qui obligerait des mises jour plus rapides.
Potentielles implications de cette proposition pour les organisations
Cette proposition souligne l’importance cruciale pour les entreprises de toutes tailles d’envisager srieusement et de mettre en uvre une gestion entirement automatise du cycle de vie des certificats (CLM). Selon les experts, elles doivent adopter une approche de renouvellement des certificats qui leur permette d’viter tout changement futur des fentres de renouvellement et de ne pas provoquer de temps d’arrt ou d’interruption inutiles de leurs activits.
Le fournisseur de certificats Sectigo, qui a parrain la proposition d’Apple, admet qu’elle sera un casse-tte pour les quipes de scurit trs occupes, qui devront jongler avec divers certificats expirant des moments diffrents. Selon Tim Callan, responsable de la conformit chez Sectigo, la solution consiste automatiser la gestion des certificats, ce qui n’est pas surprenant puisque l’entreprise vend des logiciels qui permettent justement d’atteindre cet objectif.
La gestion automatise du cycle de vie des certificats sera la norme pour les entreprises l’avenir , a dclar Tim Callan. Toutefois, un critique souligne : c’est un peu cauchemardesque. J’ai environ 20 services de type appliance qui n’ont pas de support pour l’automatisation. Presque tout dans mon environnement est automatis dans la mesure du possible. Le renouvellement du SSL est le seul talon d’Achille auquel je dois faire face une fois tous les 365 jours .
Un autre administrateur systme a soulign : j’ai des appareils rseau qui ncessitent des certificats SSL et qui ne peuvent pas tre automatiss , crit-il. Certains d’entre eux fonctionnent avec des systmes qui ne prennent en charge que les autorits de certification publiques . Apple prvoit commencer son plan de rduction ds l’anne prochaine.
Sources : proposition d’Apple, Google, Sectigo
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la rduction de la dure de validit des certificats SSL/TLS ?
Selon vous, cette mesure permettra-t-elle de renforcer la scurit sur Internet ? Pourquoi ?
Voir aussi