Mise à jour du 14 avril 2025 : Il a été confirmé que la proposition de 47 jours d'Apple a été formellement acceptée par le CA/B Forum suite à un vote majoritaire des autorités de certification et des émetteurs de certificats concernés. Les quatre principaux fournisseurs de navigateurs (Google, Apple, Mozilla et Microsoft) ont également voté en faveur de cette proposition. Ce consensus signifie que les changements seront adoptés, avec de légères modifications du calendrier.
Les nouvelles dates finales de mise en œuvre sont les suivantes :
Ces dernières années, les périodes de validité des certificats SSL/TLS ont été considérablement réduites, et la dernière décision d'Apple marque un changement important dans la façon dont les certificats seront bientôt gérés. Cette tendance s'est amorcée avec l'initiative de Google de réduire la durée de vie des certificats à 90 jours, dans le but de renforcer la sécurité et de réduire les risques de compromission des certificats. Cependant, la semaine dernière, Apple a fait les gros titres de la sécurité numérique en introduisant un projet de vote visant à réduire la période de validité maximale des certificats SSL/TLS publics à seulement 47 jours d'ici à 2027. Cette mesure, dévoilée lors des réunions du CA/Browser Forum, s'inscrit dans le cadre des efforts déployés par les principaux navigateurs, dont Google, pour renforcer la sécurité sur le web en réduisant la durée de vie des certificats.
La pression pour des certificats de 47 jours
Actuellement, la norme pour les certificats publics est de 398 jours maximum. Toutefois, la proposition d'Apple établit une feuille de route pour réduire progressivement cette durée, avec des étapes importantes en 2025, 2026, pour finalement atteindre un maximum de 47 jours en avril 2027. La proposition comprend également une réduction de la période de réutilisation de la validation du contrôle du domaine (DCV), qui se réduira à seulement 10 jours d'ici septembre 2027.
Réduire la durée de vie des certificats à 47 jours est considéré comme une meilleure pratique selon Apple. En réduisant la durée de validité d'un certificat, les risques de compromission pourraient se réduire considérablement. L'évolution du secteur vers des cycles de vie plus courts oblige les organisations à rester vigilantes quant à la gestion de leurs certificats, ce qui réduit la probabilité de violations causées par des certificats périmés ou mal émis.
Le défi pour les équipes informatiques
Cette tendance correspond également à l'adoption croissante d'outils d'automatisation, qui sont essentiels pour gérer les renouvellements de certificats plus fréquents exigeant des périodes de validité plus courtes. ACME (Automated Certificate Management Environment) est apparu comme un outil crucial dans ce contexte, en particulier pour les petites et moyennes entreprises (PME).
Si la réduction de la durée de validité des certificats présente des avantages évidents sur le plan de la sécurité, elle pose également des problèmes opérationnels importants. Les organisations qui utilisent des méthodes manuelles pour le suivi et le renouvellement des certificats peuvent se sentir dépassées par les renouvellements plus fréquents. Pour les équipes informatiques débordées, jongler avec des certificats dont les dates d'expiration varient peut entraîner un risque accru de perturbation des services par des certificats expirés.
Grâce à ACME, les entreprises peuvent automatiser l'émission, l'installation et le renouvellement des certificats, ce qui garantit que même avec le cycle raccourci de 47 jours, les certificats sont mis à jour sans intervention manuelle. Cette solution est particulièrement avantageuse pour les petites entreprises qui manquent souvent de ressources ou de temps pour gérer manuellement les certificats, mais qui doivent néanmoins se conformer aux normes de sécurité les plus récentes et éviter les interruptions de service dues à l'expiration des certificats.
Si le passage à des certificats de 47 jours d'ici 2027 peut sembler difficile, en particulier pour les petites entreprises, des outils d'automatisation tels qu'ACME le rendent réalisable. En adoptant ACME et des solutions automatisées similaires telles que Certificate Automation Manager pour nos clients Entreprise, les organisations qui mettent en œuvre ces solutions dès maintenant seront bien préparées pour l'avenir de la sécurité web et pourront éviter les pièges de la gestion manuelle des certificats.
Les organisations qui mettent en œuvre ces solutions dès maintenant seront bien préparées pour l'avenir de la sécurité web et pourront éviter les pièges de la gestion manuelle des certificats.
Editor’s Note: This blog was originally published on October 16th 2024 but has since been updated to reflect industry changes and new insights.
