La semaine dernière, lors du 49e CA/Browser Forum, un consortium volontaire d’autorités de certification, Apple a annoncé que son navigateur Safari cessera d’autoriser les certificats HTTPS ayant plus de 13 mois de validité et alertera les visiteurs quand à la potentiel dangerosité des sites ne respectant pas cette règle.
Qu’est ce qu’un certificat SSL ?
Les certificats HTTPS, basés sur les dernières normes de cryptage TLS, garantissent que votre connexion à un site web particulier est sûre et sécurisée. Pour les utilisateurs finaux, cela signifie que les sites que vous visitez disposent des normes de cryptage et de sécurité les plus récentes pour préserver la confidentialité de vos données.
Une mise en place dès le 1er septembre 2020
Tout certificat délivré après le 1er septembre, avec plus de 398 jours de validité, sera rejeté par le navigateur d’Apple. Cela signifie que lorsque vous visitez un site avec un tel certificat, vous verrez un avertissement de confidentialité. Toutefois, en tant que développeur, si le certificat de votre site web a été délivré avant le 1er septembre, vous ne serez pas concerné.
Comme l’a noté le registre, des sites comme GitHub et Microsoft ont des certificats d’une validité de deux ans. Selon la nouvelle règle d’Apple, ces sites seront rejetés si ces entreprises obtiennent un autre certificat de deux ans après le mois d’août.
Auparavant, les autorités de certification délivraient des certificats d’une durée de validité supérieure à cinq ans. En 2017, la durée maximale de validité a été ramenée à 825 jours.
Une charge lourde pour les éditeurs de sites web
Michal Špaček, un développeur de sécurité, a noté sur son blog que souvent les navigateurs omettent les contrôles de certification en ligne afin d’accélérer le temps de chargement d’un site. C’est donc une bonne idée de plafonner la validité d’un certificat.
Pour les développeurs et les propriétaires de sites, cette mesure peut augmenter la charge de travail liée à la gestion des certificats. Certaines autorités de certification tierces, telles que Let’s Encrypt, fournissent des certificats pluriannuels avec des outils de renouvellement automatique. Toutefois, les critiques ont fait remarquer que la décision d’Apple pourrait accroître la dépendance à l’égard de ces entreprises et rendre l’hébergement personnel difficile.
Source : The Next Web
