Apple a publié récemment un projet de vote visant à réduire la durée de vie des certificats de sécurité SSL/TLS, qui passerait de 398 jours à 45 jours d'ici à 2027. Toutefois, la proposition d'Apple a rendu furieux les administrateurs système qui affirment qu'il s'agit d'un plan « cauchemardesque ». Cette proposition fait suite à une initiative similaire de Google, qui prévoit de réduire à 90 jours la période de validité maximale de ces fichiers de confiance numériques sur Chrome. La durée de vie maximale des certificats de sécurité SSL/TLS a été progressivement réduite au fil des ans dans le cadre d'un effort continu pour renforcer la sécurité sur Internet.Apple propose de réduire la durée de validité des certificats SSL/TLS à 45 jours
Les certificats TLS (Transport Layer Security) sont à la base d'un Internet sûr et sécurisé. Ils sécurisent les connexions Internet en chiffrant les données envoyées entre votre navigateur, le site Web que vous visitez et le serveur du site Web. Ils garantissent que les données sont transmises en privé et sans modification, perte ou vol. TLS est la technologie qui succède à Secure Sockets Layer (SSL), qui a été remplacée en 2015 après avoir été compromise par des vulnérabilités. Le terme SSL est plus utilisé, car il est plus connu. La durée de validité des certificats TLS/SSL est actuellement de 398 jours, soit environ 13 mois.
La durée de vie maximale des certificats de sécurité SSL/TLS a été progressivement réduite au fil des ans pour des raisons de sécurité. Bien que cela semble étrange, il est généralement admis que la réduction de la durée de validité des certificats renforce la sécurité d'Internet en réduisant la possibilité pour les criminels d'exploiter les vulnérabilités. Google souhaite désormais réduire la durée de vie de ses certificats à 90 jours et Apple à 45 jours seulement.
Apple a publié récemment un projet de vote dans ce sens, mais les administrateurs de systèmes s'opposent à cette mesure. En effet, ces derniers seront largement responsables de la gestion de ces renouvellements plus fréquents, et la réduction de la durée de vie constituera sans aucun doute un casse-tête pour les équipes de sécurité informatique débordées qui doivent jongler avec de nombreux certificats arrivant à expiration à des moments différents.
Il est facile de prédire que les entreprises qui utilisent des méthodes manuelles pour suivre et contrôler les expirations de certificats se retrouveront bientôt dépassées par l'évolution rapide de la durée de vie des certificats. Apple a soumis sa proposition au forum CA/B (Certification Authority Browser Forum).
Si elle est adoptée, elle réduira la durée de vie maximale des certificats à 200 jours après septembre 2025, puis à 100 jours un an plus tard et à 45 jours après avril 2027. Le projet réduit également la validation du contrôle de domaine (DCV), en la ramenant progressivement à 10 jours après septembre 2027.
La proposition d'Apple déclenche la colère de certains administrateurs système
Comme souligné plus haut, la durée de vie des certificats de sécurité SSL/TLS a de toute façon diminué au fil du temps, passant d'environ huit ans avant 2011 à environ treize mois aujourd'hui. Selon certains experts, la proposition d'Apple et de Google constitue une mesure judicieuse sur le plan de la sécurité, car la réduction de la durée de vie signifie que les criminels en ligne auront moins de temps pour exploiter les vulnérabilités et les anciens certificats de sites Web. Cependant, les administrateurs système ne voient pas la chose de la manière, remettant en question les gains en matière de sécurité sur Internet.
En réponse à la proposition, les administrateurs se sont rendus sur le site r/sysadmin de Reddit et se sont plaints des changements potentiels. Les commentaires abordent les problèmes liés à la réduction de la durée de vie des certificats, notamment le fait que les mises à jour plus régulières représentent un surcroît de travail. Les certificats étant une tâche difficile pour beaucoup, la perspective de les changer plus souvent peut être un défi majeur.
Si l'on ajoute à cela la dépendance à l'égard d'autres fournisseurs qui peuvent ne pas être aussi ponctuels que leurs clients, on obtient une recette pour un désastre ou un temps d'arrêt, ce qui pourrait causer des dommages importants aux clients. Si certains estiment que l'automatisation des mises à jour pourrait être la solution, d'autres ont déclaré que leurs fournisseurs n'avaient tout simplement pas prévu de moyens d'automatiser les changements.
Comme l'a dit l'une des centaines de personnes qui se sont rendues sur Reddit pour se plaindre de la proposition : « ça va craindre. Mon fournisseur préféré gère quelque chose comme 10 sites Web pour nous, et nous devons fournir les certificats manuellement à chaque fois. Entre le live et le test, ça va craindre ». Certains critiques se demandent quels sont les avantages réels d'une telle initiative : « en attendant, combien de brèches cela va-t-il arrêter ? ».
Les administrateurs système ont un petit espoir que la proposition d'Apple aboutisse à un vote contre la mesure de la part des membres du CA/B Forum. Cependant, comme l'a dit un utilisateur, Apple et Google pourraient « en faire une politique de toute façon », ce qui obligerait à des mises à jour plus rapides.
Potentielles implications de cette proposition pour les organisations
Cette proposition souligne l'importance cruciale pour les entreprises de toutes tailles d'envisager sérieusement et de mettre en œuvre une gestion entièrement automatisée du cycle de vie des certificats (CLM). Selon les experts, elles doivent adopter une approche de renouvellement des certificats qui leur permette d'éviter tout changement futur des fenêtres de renouvellement et de ne pas provoquer de temps d'arrêt ou d'interruption inutiles de leurs activités.
Le fournisseur de certificats Sectigo, qui a parrainé la proposition d'Apple, admet qu'elle sera un casse-tête pour les équipes de sécurité très occupées, qui devront jongler avec divers certificats expirant à des moments différents. Selon Tim Callan, responsable de la conformité chez Sectigo, la solution consiste à automatiser la gestion des certificats, ce qui n'est pas surprenant puisque l'entreprise vend des logiciels qui permettent justement d'atteindre cet objectif.
« La gestion automatisée du cycle de vie des certificats sera la norme pour les entreprises à l'avenir », a déclaré Tim Callan. Toutefois, un critique souligne : « c'est un peu cauchemardesque. J'ai environ 20 services de type appliance qui n'ont pas de support pour l'automatisation. Presque tout dans mon environnement est automatisé dans la mesure du possible. Le renouvellement du SSL est le seul talon d'Achille auquel je dois faire face une fois tous les 365 jours ».
Un autre administrateur système a souligné : « j'ai des appareils réseau qui nécessitent des certificats SSL et qui ne peuvent pas être automatisés », écrit-il. « Certains d'entre eux fonctionnent avec des systèmes qui ne prennent en charge que les autorités de certification publiques ». Apple prévoit commencer son plan de réduction dès l'année prochaine. Et même si le vote n'aboutit pas, le fabricant de l'iPhone pourrait forcer les changements qu'il prévoit.
Sources : proposition d'Apple, Google, Sectigo
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de la réduction de la durée de validité des certificats SSL/TLS ? Selon vous, cette mesure permettra-t-elle de renforcer la sécurité sur Internet ? Pourquoi ?Voir aussi
Google aurait pour objectif de rendre Chrome par défaut sur 50 % des iPhone d'ici à 5 ans pour augmenter ses revenus publicitaires, mais Apple avertit ses utilisateurs que Safari est le seul navigateur privé L'Alliance FIDO veut rendre possible l'exportation et l'importation des Passkeys, car actuellement les Passkeys sont confinés à l'écosystème logiciel de chaque entreprise Une simple compromission du cloud computing peut donner naissance à une armée de robots sexuels alimentés par l'IA, selon les chercheurs de Permiso Security 
Envoyé par Mathis Lucas
