Discussion :

[Jade Emy]

La durée de vie des certificats TLS sera officiellement réduite à 47 jours, car les informations contenues dans les certificats deviennent de moins en moins fiables au fil du temps

La durée de vie des certificats TLS sera officiellement réduite à 47 jours, car les informations contenues dans les certificats deviennent de moins en moins fiables au fil du temps. Ce problème ne peut être atténué que par une revalidation fréquente des informations, selon la proposition d'Apple.

Le 14 avril 2025, le CA/Browser Forum a officiellement voté en faveur de la modification des exigences de base TLS afin de fixer un calendrier pour la réduction de la durée de vie des certificats TLS et de la réutilisation des informations validées par l'autorité de certification dans les certificats. Les premiers impacts du vote sur les utilisateurs auront lieu en mars 2026.

Le vote a été longuement débattu dans le forum CA/Browser et a fait l'objet de plusieurs versions, intégrant les commentaires des autorités de certification et de leurs clients. La période de vote s'est achevée le 11 avril 2025, clôturant un chapitre âprement disputé et permettant au monde des certificats de planifier la suite.

Le nouveau calendrier de durée de vie des certificats TLS

Le nouveau vote vise une durée de validité des certificats de 47 jours, ce qui rend l'automatisation essentielle. Avant cette proposition d'Apple, Google préconisait une durée de vie maximale de 90 jours, mais il a voté en faveur de la proposition d'Apple presque immédiatement après le début de la période de vote.

Voici le calendrier :

• La durée de vie maximale des certificats diminue :
  
  
  • À partir du 14 avril 2025 et jusqu'au 15 mars 2026, la durée de vie maximale d'un certificat TLS est de 398 jours.
    
  • À partir du 15 mars 2026, la durée de vie maximale d'un certificat TLS sera de 200 jours.
    
  • À partir du 15 mars 2027, la durée de vie maximale d'un certificat TLS sera de 100 jours.
    
  • À partir du 15 mars 2029, la durée de vie maximale d'un certificat TLS sera de 47 jours.
  
  
• La période maximale pendant laquelle les informations de validation des domaines et des adresses IP peuvent être réutilisées diminue :
  
  
  • À partir du 14 avril 2025 et jusqu'au 15 mars 2026, la période maximale pendant laquelle les informations de validation de domaine peuvent être réutilisées est de 398 jours.
    
  • À partir du 15 mars 2026, la période maximale pendant laquelle les informations de validation de domaine peuvent être réutilisées est de 200 jours.
    
  • À partir du 15 mars 2027, la période maximale pendant laquelle les informations de validation de domaine peuvent être réutilisées est de 100 jours.
    
  • À partir du 15 mars 2029, la période maximale pendant laquelle les informations de validation du domaine peuvent être réutilisées est de 10 jours.
  
  
• À partir du 15 mars 2026, les validations de Subject Identity Information (SII) ne pourront être réutilisées que pendant 398 jours, contre 825 auparavant. Les SII sont le nom de la société et d'autres informations figurant dans un certificat OV (Organization Validated) ou EV (Extended Validation), c'est-à-dire tout ce qui n'est pas le nom de domaine ou l'adresse IP protégé par le certificat. Cela ne concerne pas les certificats DV (Domain Validated), qui n'ont pas de SII.

Pourquoi 47 jours ?

47 jours peut sembler un nombre arbitraire, mais c'est une simple cascade :

• 200 jours = 6 mois maximum (184 jours) + 1/2 mois de 30 jours (15 jours) + 1 jour de marge
  
  
• 100 jours = 3 mois maximum (92 jours) + ~1/4 mois de 30 jours (7 jours) + 1 jour de marge
  
  
• 47 jours = 1 mois maximum (31 jours) + 1/2 mois de 30 jours (15 jours) + 1 jour de marge

Justification d'Apple pour le changement

Dans le bulletin de vote, Apple avance de nombreux arguments en faveur des changements, dont l'un vaut la peine d'être souligné. Il affirme que le CA/B Forum a dit au monde depuis des années, en raccourcissant régulièrement les durées de vie maximales, que l'automatisation est essentiellement obligatoire pour une gestion efficace du cycle de vie des certificats.

Le bulletin fait valoir que des durées de vie plus courtes sont nécessaires pour de nombreuses raisons, dont la plus importante est la suivante : Les informations contenues dans les certificats deviennent de moins en moins fiables au fil du temps, un problème qui ne peut être atténué que par une revalidation fréquente des informations.

Le bulletin de vote affirme également que le système de révocation utilisant les LCR et l'OCSP n'est pas fiable. En effet, les navigateurs ignorent souvent ces fonctionnalités. Le bulletin comporte une longue section sur les défaillances du système de révocation des certificats. Des durées de vie plus courtes atténuent les effets de l'utilisation de certificats potentiellement révoqués. En 2023, le CA/B Forum a porté cette philosophie à un autre niveau en approuvant les certificats à courte durée de vie, qui expirent dans les 7 jours et qui ne nécessitent pas de support CRL ou OCSP.

Dissiper la confusion concernant les nouvelles règles

Deux points concernant les nouvelles règles sont susceptibles de prêter à confusion :

1. Les trois années pour les changements de règles sont 2026, 2027 et 2029, mais l'écart entre la deuxième série d'années est de deux ans.
   
   
2. À partir du 15 mars 2029, la durée de vie maximale d'un certificat TLS sera de 47 jours, mais la période maximale pendant laquelle les informations de validation du domaine peuvent être réutilisées n'est que de 10 jours. La revalidation manuelle sera toujours techniquement possible, mais elle serait source d'échecs et de pannes.

L'une des questions les plus fréquentes posées à la DigiCert, en tant qu'autorité de certification, est de savoir si les clients devront payer davantage pour remplacer les certificats plus fréquemment. La réponse est non. Le coût est basé sur un abonnement annuel, et une fois que les utilisateurs adoptent l'automatisation, ils adoptent souvent volontairement des cycles de remplacement de certificats plus rapides.

Pour cette raison, et parce que même les changements de 2027 concernant les certificats de 100 jours rendront les procédures manuelles intenables, la DigiCert s'attend à une adoption rapide de l'automatisation bien avant les changements de 2029.

La déclaration d'Apple sur la gestion automatisée du cycle de vie des certificats est incontestable, mais la DigiCert s'y est préparée depuis longtemps. DigiCert propose plusieurs solutions d'automatisation par l'intermédiaire de Trust Lifecycle Manager et de CertCentral, y compris la prise en charge d'ACME. L'ACME de DigiCert permet l'automatisation des certificats DV, OV et EV et inclut le support de l'ACME Renewal Information (ARI).

A propos de DigiCert

DigiCert est l'un des principaux fournisseurs mondiaux de confiance numérique, permettant aux individus et aux entreprises de s'engager en ligne avec la certitude que leur empreinte dans le monde numérique est sécurisée. DigiCert associe son logiciel de confiance numérique à son leadership industriel en matière de normes, de support et d'opérations, et est le fournisseur de confiance numérique de choix pour les entreprises de premier plan dans le monde entier.

Source : Digicert

Et vous ?

Pensez-vous que cette décision est crédible ou pertinente ?
Quel est votre avis sur cette annonce ?

Voir aussi :

Les administrateurs système sont furieux après qu'Apple a proposé une réduction « cauchemardesque » de la durée de vie des certificats SSL/TLS, de 398 jours actuellement à seulement 45 jours d'ici à 2027

"Certbot" de l'EFF prend désormais en charge les certificats TLS de six jours de Let's Encrypt. Mais pourquoi des durées de vie plus courtes sont-elles préférables ?

Nouvelles exigences de sécurité adoptées par le secteur des certificats HTTPS, pour garantir des connexions réseau sûres et fiables

[Artaeus]

Je me demande si les types qui font ce type de norme ou de RFC en ce moment sont idiots (ou travail pour les agences de surveillance, où sont juste des vendeurs de certificats) ?

Le principal problème de certificat est le MITM notamment fait par les états, qui généralement se contre-fiche que le certificat expire dans 1 semaine ou 3 mois.
Dans des pays comme la Chine le MITM est institutionnalisé, il reste anecdotique en Russie, Iran ou en France. Ce type d'écoute est complétement SOUS-ÉVALUÉ !
Tout les récents scandales confirme plutôt des détournements d'organisme de certifications (que ça soit en France avec DHIMYOTIS ou en Iran avec Diginotar).
Il y a bien plus de vie menacé par les écoutes des états autoritaires (ou non), et du fait parfois de leur incompétence, plutôt que par les voleurs de certificats.
Et toutes les tentatives avec du certificat pinning ou des headers HTTP semble réellement ridicule face à l'ampleur du problème.

Bref, en ce moment, ils sont complétement à côté de la plaque à l'époque de la surveillance de masse.

PS : Et je ne parlerais même pas des autres critiques, concernant notamment l'ECH (qui niveau réseau affiche simplement une immense panneau : "Attention il fait de l'ECH !"). Le tout en prétextant la "rétrocompatibilité" ...

[kain_tn]

Je me demande si les types qui font ce type de norme ou de RFC en ce moment sont idiots (ou travail pour les agences de surveillance, où sont juste des vendeurs de certificats) ? [...]

Ce sont des vendeurs, tout simplement.
Leur truc, c'est de passer d'un système d'achat unitaire à un système d'abonnement.

[dragonofmercy]

Du coup on envoie à qui la facture pour les 2 heures de temps à changer manuellement tous les certificats sur tous les appareils tout les 47 jours ?

[Uther]

Le principe est d'automatiser ça. Déjà actuellement, avec des certificats de 3 mois, la plupart des utilisateurs de Let's Encrypt utilisent le renouvellement automatique. Si tu gère un parc, c'est encore plus indispensable.
A partir du moment ou c'est automatisé, 47 jours ou 3 mois ça ne change pas grand chose.

[dragonofmercy]

Le principe est d'automatiser ça. Déjà actuellement, avec des certificats de 3 mois, la plupart des utilisateurs de Let's Encrypt utilisent le renouvellement automatique. Si tu gère un parc, c'est encore plus indispensable.
A partir du moment ou c'est automatisé, 47 ou trois mois ça ne change pas grand chose.

Oui ça c'est sur le papier, mais il y a beaucoups de machines qui ne sont pas accessibles depuis internet ou qui n'y ont pas accès, par exemple des système de storage SAN ou NAS, du coup là l'automatisation ne sera pas possible.
Là où je travaille il n'y a que 50% des machines qui sont déjà automatisées pour le reste c'est toujours à la main.

[A3gisS3c]

Oui ça c'est sur le papier, mais il y a beaucoups de machines qui ne sont pas accessibles depuis internet ou qui n'y ont pas accès, par exemple des système de storage SAN ou NAS, du coup là l'automatisation ne sera pas possible.
Là où je travaille il n'y a que 50% des machines qui sont déjà automatisées pour le reste c'est toujours à la main.

Oui enfin normalement pour des baies de stockage, ca se passe sur une PKI privée, pas publique.