Pour s'aligner sur Apple, Gandi se prépare à limiter ses certificats SSL à 1 an

Pour s’aligner sur Apple, Gandi se prépare à limiter ses certificats SSL à 1 an

Par Sébastien Gavois

Le 06 Juillet 2020 à 08h28
Internet
1 min 8

Pour s'aligner sur Apple, Gandi se prépare à limiter ses certificats SSL à 1 an

Au début de l’année, la société de Cupertino avait annoncé que, « pour améliorer la sécurité Web de [ses] utilisateurs […] la période de validité des certificats de serveur TLS émis à partir du 1er septembre 2020 à 00 h 00 GMT/UTC ne devra pas dépasser 398 jours ».

Gandi explique que, suite à ce changement chez Apple, « les Autorités de Certification (CA) se sont accordées pour réduire la durée de vie d’un certificat SSL à 12 mois maximum. Cette mesure entrera en vigueur le 1er septembre 2020 ».

L’hébergeur ajoute que son Autorité de Certification partenaire fait partie du lot et qu’il appliquera donc ce changement : « à compter du mois d’août, il ne sera plus possible d’acheter un certificat valable deux ans sur le site gandi.net ».

Enfin, la société rappelle que « les certificats émis avant le 1er septembre 2020, même supérieurs à 1 an, ne seront pas affectés par ce changement ». En outre, « bien que la décision n’ait pas encore été actée, Google, via Chrome, a également proposé de s’orienter vers une décision similaire il y a un an ».

Commentaires (8)


alkashee Abonné
Le 06/07/2020 à 11h08

Avec j’imagine une bonne facturation de manière à ce que des certificats de deux fois un an soit bien supérieure à un de deux ans ?

<img data-src=" />


FennNaten Abonné
Le 06/07/2020 à 11h40

Wé enfin, Apple a proposé en commission que browsers et CAs s’alignent sur une limite d’un an, le vote a été contre, Apple a dit “on s’en fout on le fait quand même à partir de septembre 2020, donc si vous suivez pas tant pis”. La team Chromium a indiqué son full support, Mozilla est of course pour vu que ça va dans le sens de Let’s Encrypt.

A partir de là, les CAs ont un choix limité, s’ils ne s’alignent pas et que des clients achètent par erreur des certificats 2 ans qui se font rejeter, bah les clients se retourneront contre eux.

C’est probablement mieux pour les utilisateurs du web, par contre niveau méthode, c’est pas terrible. Tu ne t’engages pas à participer à une instance pour aligner les décisions si c’est pour ignorer les décisions quand ça ne va pas dans ton sens.

&nbsp;

&nbsp;


XXC Abonné
Le 06/07/2020 à 12h53

Reste plus qu’a imposer une validité d’un ans sur les certificats racines, et on est bon ….


La Mangouste
Le 06/07/2020 à 14h30

1 ans pour les racines ce n’est pas faisable. Il faut que la racine soit valable jusqu’à la fin de validité des certificats émis. Et ce, sans compter les intermédiaires, et le fait qu’il faut les propager. Mais oui, si on peut éviter les 10 ans de validité des récines, on avancerait.



Et Chrome va suivre procahinement le chemin d’Apple ? Ils avaient essayé il y quelques temps mais étaient revenus en arrière.


XXC Abonné
Le 06/07/2020 à 16h22

Vu l’effet de l’expiration des certificats root sur certain lecteurs bluray de samsung, certains doivent en rêver …. pour forcer le renouvellent du matériel <img data-src=" />


Methio Abonné
Le 06/07/2020 à 18h17

En vrai ça soule, ça force tout le monde a la même règle alors que tous “serveurs webs” n’ont pas la même exposition. 




 Cela m'embête pour les PKI internes avec parfois du https qui ne doit fonctionner que dans un LAN bien défini.       









 Question pour être sûr de bien comprendre : au 1er Septembre 2020 les navigateurs (en tout cas Safari) mettront une alerte de sécurité, la "même" qu'en face d'un certificat auto signé, si le certificat a une durée totale (début + fin) de plus d'un an ? Y compris les certificats dont la date de début précède Septembre 2020 ?




Quid des certificats clients ? Non affectés ? (Quand le serveur web est configuré pour ne laisser passer que les clients qui possèdent eux même un certificat pour prouver leur identité)


psn00ps
Le 06/07/2020 à 18h22

Pas de https et une bonne sécurité <img data-src=" />

Moins énergivore


Methio Abonné
Le 06/07/2020 à 18h48







Methio a écrit :



Question pour être sûr de bien comprendre : au 1er Septembre 2020 les navigateurs (en tout cas Safari) mettront une alerte de sécurité, la “même” qu’en face d’un certificat auto signé, si le certificat a une durée totale (début + fin) de plus d’un an ? Y compris les certificats dont la date de début précède Septembre 2020 ?



Quid des certificats clients ? Non affectés ? (Quand le serveur web est configuré pour ne laisser passer que les clients qui possèdent eux même un certificat pour prouver leur identité)





Super, une partie de la réponse à mes questions est dans le lien de la newshttps://support.apple.com/fr-fr/HT211025

&nbsp;




  • Pas d’effet sur les autorités installées soi même (donc j’en conclue PKI perso/d’organisation inclus)

  • 398 jours de validité pour les certificats qui débutent en Septembre 2020, les autres restent valides

  • Certificat client a rarement du sens sur les autorités pré installées donc pas affectés ?



    Je ne suis pas sûr pour le message d’alerte, il est juste dit que ça échouera.



Fermer