Sécurité

La durée de vie des certificats SSL/TLS passée à 13 mois

Depuis le mois de septembre, il n'est plus possible d'acquérir un certificat SSL/TLS pour plus de 13 mois. Pourquoi un tel changement ?

Avec le développement d’Internet, l’internaute peut bien souvent se retrouver face à des situations inquiétantes. Arnaques, phishing, la liste est longue et les conséquences parfois dramatiques. Pour contrer ce sentiment d’insécurité, des certificats sont proposés. Ces certificats SSL/TLS sont supposés être les garants d’une connexion sécurisée.

Pourquoi “supposer” ? Parce qu’aujourd’hui, leur fonctionnement est remis en cause. Notamment au regard de leur durée de vie qui peut sembler, à certains égards, trop importante.

 

Qu’est-ce qu’un certificat SSL / TLS ?

Les certificats SSL/TLS ont pour but de garantir des connexions sécurisées et la protection des données de l’utilisateur qui sont échangées entre deux systèmes. Si un site collecte des données sensibles (des mots de passe, numéro de cartes bancaires, etc.) il est rare de ne pas y voir un certificats SSL/TLS attaché. Grâce au https et au cadenas, l’internaute peut facilement identifier si sa connexion est sécurisée ou non.
L’autre avantage de ces certificats est de pouvoir authentifier l’identité du serveur du destinataire. En cliquant sur le cadenas, il est ainsi possible d’ajouter une vérification supplémentaire. Des certificats nommés EV (Extended Validation), certificats à validation étendue, permettent de voir notamment, le nom de l’entreprise qui détient le certificat.

Les acteurs présents dans ce processus de sécurité sont nombreux. Ce qu’il faut bien comprendre, c’est que le principe même de ces certificats est de proposer une connexion sécurisée entre l’internaute et le navigateur. Les acteurs ayant le plus grand rôle à jouer sont donc les navigateurs eux-mêmes et l’Autorité de Certification. Cette dernière délivre un certificat qu’elle installe sur un serveur et les navigateurs vérifient que ces données sont bonnes pour y apposer les signes distinctifs (cadenas, https, etc.).

C’est au regard de cette vérification que certains géants du web, Google et Apple notamment, ont annoncé leur décision de réduire la validité des certificats SSL/TLS à 13 mois.

 

Pourquoi réduire la validité des certificats SSL/TLS ?

Cette démarche ne date pas d’hier. En effet, depuis quelques années, les certificats voient peu à peu leur durée de vie réduite. Avant 2015, il était possible d’obtenir un certificat pour une durée maximale de cinq ans. En 2018, il passe à deux ans. Alors pourquoi continuer cette diminution ?

Deux raisons semblent émerger.

Premièrement, pour des raisons de sécurité. En effet, comment un navigateur peut-il garantir l’exactitude des données d’un certificat émis tous les cinq ans ? Ces informations ne sont peut-être plus à jour et elles ne seront détectées comme telle que lors du renouvellement. Plus l’intervalle entre ces vérifications est grand plus le risque augmente.

Deuxièmement, cette réduction du temps de validité des certificats SSL/TLS apporte des avantages sur un aspect plus technique. En effet, avec des durées de vie plus longues des certificats, les mises à jour prennent plus de temps. Il faut attendre que l’intégralité des certificats ait expiré pour apporter les modifications. Un processus fastidieux simplifié par une durée de vie plus courte des certificats.

 

Quelles conséquences pour l’utilisateur ?

Concrètement, cette réglementation n’est entrée en vigueur qu’en septembre dernier. Ce qui signifie que si votre certificat a été acquis avant cette date, sa durée de validité restera identique jusqu’à sa date d’expiration. Ensuite, vous ne pourrez obtenir des certificats que d’une durée maximale de 13 mois.

Chez Netim, nous proposons deux sortes de certificats :

  • Les Let’s Encrypt, inclus gratuitement avec toutes nos offres d’hébergement
  • Les Sectigo, à partir de 12€ HT / an et incluant une garantie financière

Quelle différence entre ces deux offres ?

Les certificats Let’s Encrypt sont renouvelés tous les 90 jours de façon automatique par nos robots. Ils permettent de garantir la fiabilité des informations transmises. Néanmoins, étant délivrés gratuitement, ils n’ont pas vocation à assurer son détenteur.

À l’inverse, les certificats Sectigo sont délivrés pour une durée d’un an. Leur but est de fournir aux détenteurs une sécurité supplémentaire. Pourquoi cette sécurité ? Pour permettre aux détenteurs de certificats d’être couverts en cas de faille dans le système de protection des données par exemple, de sécurité des transactions, etc.

 

Voir l’ensemble de nos certificats SSL

 

Vers un espace internet plus sûr ?

Il va de soi que ces réformes ont pour but de sécuriser un peu plus l’espace digital dans lequel nous évoluons. À ce titre, elles sont donc largement acceptées du grand public. D’autant plus qu’il est aujourd’hui possible d’automatiser une grande partie des démarches de renouvellement, etc.

Néanmoins, si le but est de favoriser les sites jugés fiables, on peut se demander pourquoi les certificats EV et DV ne sont plus distingués graphiquement. En effet, le type de certificat est loin d’être identique entre un DV (domain validation) pour lequel on vérifie simplement que le propriétaire du certificat est bien accès au domaine. Et le EV (extended validation) pour lequel on collecte bien plus de données (nom de l’entreprise, identité vérifiée, etc.).

 

Voir d’autres articles similaires

Julie Kozlowski

Responsable de contenu

Articles similaires

Bouton retour en haut de la page