"Certbot" de l'EFF prend désormais en charge les certificats TLS de six jours de Let's Encrypt

Mais pourquoi des durées de vie plus courtes sont-elles préférables ?

"Certbot" de l'EFF prend désormais en charge les certificats de six jours, mais pourquoi des durées de vie plus courtes sont-elles préférables ?

L'EFF annonce que son outil Certbot prend désormais en charge les certificats de six jours de Let's Encrypt. Selon le directeur de l'ingénierie de l'EFF, des durées de vie plus courtes sont préférables pour la sécurité des serveurs web.

Il y a 10 ans, "les autorités de certification émettaient normalement des certificats d'une durée de vie d'un an ou plus", rappelle le directeur de l'ingénierie de l'EFF. Ainsi, en 2015, lorsque l'autorité de certification gratuite Let's Encrypt a commencé à émettre des certificats TLS de 90 jours pour les sites web, "cela a été considéré comme une décision audacieuse, qui a contribué à pousser l'écosystème vers des durées de vie des certificats plus courtes".

Puis, en janvier dernier, Let's Encrypt a annoncé de nouveaux certificats de six jours. Récemment, le directeur de l'ingénierie de l'EFF a fait une annonce similaire. Plus de 31 millions de sites web gèrent leurs certificats HTTPS à l'aide de l'outil Certbot de l'EFF (qui récupère automatiquement des certificats HTTPS gratuits pour toujours) - et Certbot prend désormais en charge les certificats de six jours de Let's Encrypt. (Cela se fait par le biais de profils ACME avec un renouvellement dynamique au tiers de la durée de vie restante ou à la moitié de la durée de vie restante, si la durée de vie est inférieure à 10 jours) :

Il y a un débat sur la brièveté de ces durées de vie, mais avec les profils ACME, vous pouvez avoir l'expérience par défaut ou "classique" de Let's Encrypt (90 jours) ou commencer à utiliser activement d'autres types de profils via Certbot avec les drapeaux --preferred-profile (profil préféré) et --required-profile (profil requis). Pour les certificats de six jours, vous pouvez choisir le profil "shortlived".

Pourquoi des durées de vie plus courtes sont préférables ? Selon le directeur de l'ingénierie de l'EFF, voici quelques raisons :

• Si la clé privée d'un certificat est compromise, cette compromission ne peut pas durer aussi longtemps.
• Avec des durées de vie plus courtes pour les certificats, l'automatisation est encouragée. Ce qui facilite la sécurité des serveurs web.
• La révocation des certificats est historiquement aléatoire. Les durées de vie inférieures ou égales à 10 jours évitent d'avoir à invoquer le processus de révocation et de devoir gérer l'utilisation continue d'une clé compromise.

Pour plus d'informations, voici l'annonce de l'EFF :

Certbot 4.0 : Vive les certificats à durée de vie courte !

Lorsque Let's Encrypt, une autorité de certification gratuite, a commencé à émettre des certificats TLS de 90 jours pour les sites web, cela a été considéré comme une mesure audacieuse qui a contribué à faire évoluer l'écosystème vers des durées de vie des certificats plus courtes. Auparavant, les autorités de certification délivraient normalement des certificats d'une durée de vie d'un an ou plus. Avec la version 4.0, Certbot supporte désormais la nouvelle capacité de Let's Encrypt à délivrer des certificats d'une durée de vie de six jours grâce aux profils ACME et au renouvellement dynamique :

• 1/3 de la durée de vie restante
• 1/2 de la durée de vie restante, si la durée de vie est inférieure à 10 jours

Il y a quelques raisons importantes pour lesquelles des durées de vie plus courtes sont préférables :

• Si la clé privée d'un certificat est compromise, cette compromission ne peut pas durer aussi longtemps.
• Avec des durées de vie plus courtes pour les certificats, l'automatisation est encouragée. Ce qui facilite la sécurité des serveurs web.
• La révocation des certificats est historiquement aléatoire. Les durées de vie inférieures ou égales à 10 jours évitent d'avoir à invoquer le processus de révocation et de devoir gérer l'utilisation continue d'une clé compromise.

Il existe un débat sur la brièveté de ces durées de vie, mais avec les profils ACME, vous pouvez avoir l'expérience par défaut ou « classique » de Let's Encrypt (90 jours) ou commencer à utiliser activement d'autres types de profils via Certbot avec les drapeaux --preferred-profile et --required-profile. Pour les certificats de six jours, vous pouvez choisir le profil « shortlived ».

Ces nouvelles options ne sont que le début des fonctionnalités modernes que l'écosystème peut supporter et l'EFF se dit heureux d'avoir des temps de renouvellement dynamiques pour commencer à tirer parti d'un web plus agile qui facilite une meilleure sécurité et des options flexibles pour tout le monde. L'EFF remercie la communauté et à l'équipe Certbot d'avoir rendu cela possible !

À propos de l'EFF

L'Electronic Frontier Foundation est la principale organisation à but non lucratif qui défend les libertés civiles dans le monde numérique. Fondée en 1990, l'EFF défend la vie privée des utilisateurs, la liberté d'expression et l'innovation par le biais de litiges, d'analyses politiques, d'activisme de terrain et de développement technologique. La mission de l'EFF est de veiller à ce que la technologie soutienne la liberté, la justice et l'innovation pour tous les peuples du monde.

Source : EFF

Et vous ?

Pensez-vous que cette annonce est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

La liste des alternatives à Let's Encrypt offrant des certificats gratuits via ACME s'agrandit et comporte des options comme ZeroSSL pour mieux protéger les sites web

Let's Encrypt prend désormais en charge l'ACME-CAA, un protocole de communication, pour l'automatisation des échanges entre les autorités de certification

Nouvelles exigences de sécurité adoptées par le secteur des certificats HTTPS, pour garantir des connexions réseau sûres et fiables