Les certificats et leurs durées sont de nouveau dans l’actualité avec une décision récente du CA/B Forum, l’association qui regroupe les Autorités de Certification (notamment Comodo, Digicert et Symantec) et les éditeurs de navigateurs (Google pour Chrome, Microsoft pour Edge et Apple pour Safari entre autres). Par un vote intervenu le 1er mars, les membres se sont en effet prononcés pour raccourcir la durée de vie de certificats dits « Domain Validation » (DV) et « Organisation Validation » (OV) et ainsi l’aligner sur la durée des certificats à validation étendue (EV). Technique en apparence, cette décision a des implications fortes, tant pour les entreprises qui utilisent ces certificats que pour la sécurité sur Internet en général. Cela mérite d’approfondir un peu le sujet alors même que la mesure ne s’appliquera qu’en mars 2018.
Contrairement aux apparences, cette décision n’est pas directement liée à l’affrontement entre Google et Symantec dont nous parlions dans un précédent article car elle intervenue 22 jours avant. Cependant, dans les deux cas les décisions ont fait l’objet de longues discussions entre les parties prenantes et on y retrouve une philosophie semblable.
En effet, et c’est le point le plus important, réduire la durée de vie de certificats est bien un moyen d’obliger les utilisateurs à s’en procurer de plus récents. Ce faisant, ils devront demander aux autorités de certification d’en produire d’autres avec des critères de validation stricts et harmonisés, augmentant ainsi la sécurité de l’ensemble de la chaine. Ce n’est d’ailleurs pas un cas unique : la validité des certificats SSL avait déjà été limitée par le CAB Forum à 39 mois en 2015, dans une démarche identique.
Ces changements sont rendus nécessaires par la profusion récente des certificats « rebelles » (rogue en anglais), effet de bord indirect de la concentration apparue ces dernières années au sein des autorités de certification. Verisign, qui avait racheté Thawte en 1999, a vendu l’ensemble de ses activités de certification à Symantec en 2010. Ces sociétés ayant elles-mêmes un grand réseau de revendeurs, l’origine des certificats devenait difficile à tracer, les rendant ainsi inefficaces puisque le but premier d’un certificat est de lier un nom de domaine à un client donné ! Exiger la création de nouveaux certificats est donc une manière de « faire le ménage » et de restaurer la confiance. Cette démarche est en outre rendue plus nécessaire encore par l’initiative de Google sur la Transparence dans les Certificats.
Certificate Transparency est une initiative de la firme de Mountain View qui vise à exiger que tout certificat crée soit immédiatement et automatiquement référencé au sein d’une base de données unique. Cette base pourra ainsi être interrogée, pour vérifier que le certificat a bien été validé et correspond bien à l’entreprise qui est titulaire du nom de domaine, par exemple. Présenté comme un projet ouvert et optionnel, l’initiative va devenir incontournable puisque Google a annoncé que, dès Octobre 2017, un certificat non présent dans la liste serait rejeté par son navigateur Chrome. Ce dernier ayant la part de marché la plus importante aujourd’hui, toute société qui souhaite protéger ses échanges avec ses clients – et les rassurer en affichant la fameuse barre verte – sera fortement incitée à utiliser des certificats listés.
SafeBrands travaille avec des autorités de certifications reconnues et fiables qui sont évidemment sensibilisées à ces changements et mettent tout en œuvre pour qu’ils aient le moins d’impact possible. N’hésitez pas à prendre contact avec nous pour que nous procédions à un audit de votre situation actuelle. Dans le cas où vous utiliseriez des certificats touchés par le changement de date d’expiration nous procéderions à une « refabrication » du certificat concerné, pour que vous puissiez bénéficier d’une nouvelle période de validité. Cette consultation pourra aussi être l’occasion d’un changement de certificat pour coller davantage à l’évolution des menaces auxquelles vous faites directement face, ou aux attentes de vos clients. Par ailleurs, quel que soit le type de certificat choisi, il sera automatiquement intégrés à la liste Certificate Transparency sans intervention nécessaire de votre part.
Parce que SafeBrands pense que la sécurité est l’affaire de tous, nous approuvons et accompagnons les décisions du CA/B Forum et des navigateurs. Nos équipes sont à votre disposition pour que ces étapes nécessaires profitent à votre entreprise et n’aient pas d’impact sur la vie de vos sites.
SafeBrands, en sa qualité de fournisseur de certificats SSL, est à votre disposition pour tout renseignement complémentaire concernant ce service. N’hésitez pas à contacter nos chargés de clientèle en utilisant notre formulaire en ligne, par courriel à contact@safebrands.com ou téléphone au +33 (0)1 80 82 82 60 .