Cette semaine, lors du Forum « CA/Browser » à Bratislava (Slovaquie), Apple a annoncé qu’à partir du 1er septembre, les nouveaux certificats TLS (Transport Layer Security) de confiance émis publiquement ne seront pas valables plus de 398 jours.
Cette annonce fait suite à une longue histoire de la communauté du CA/B Forum, qui s’est efforcée de réduire la durée de vie des certificats et d’améliorer la sécurité, tout en équilibrant les besoins des propriétaires d’entreprises dans la transition vers des certificats à validité plus courte.
Apple veut clairement éviter un écosystème qui ne peut pas répondre rapidement aux menaces majeures liées aux certificats. Les certificats à courte durée de vie améliorent la sécurité car ils réduisent la fenêtre d’exposition si un certificat TLS est compromis.
« La décision d’Apple de passer à des certificats de 398 jours touche presque toutes les entreprises numériques et s’inscrit dans une tendance plus large à la réduction de la durée de vie des certificats TLS, explique Kevin Bocek, vice-président du département de sécurité et d’analyse des menaces de Venafi. La réduction de la durée de vie des certificats améliore incontestablement la sécurité, mais comme les entreprises utilisent davantage de certificats TLS, ce changement les obligera à investir dans l’automatisation ou à risquer des interruptions de service coûteuses et douloureuses. Cette situation est particulièrement critique pour les entreprises qui passent au Cloud. Les fabricants de navigateurs sont devenus beaucoup plus actifs dans la détermination des certificats de confiance. En plus de cette initiative d’Apple, Google a récemment exigé de toutes les autorités de certification qu’elles publient les certificats qu’elles délivrent dans les journaux de transparence de Google, faute de quoi elles ne seront pas fiables dans Chrome« .
Dans le dernier rapport de semestriel de Unit42 sur l’évolution des menaces dans le Cloud, on apprend que 27 % des sociétés utilisent des versions dépassées de TLS, soit une baisse de 34 % par rapport au précédent rapport. Pourquoi est-ce important ? TLS v1.1 a été abandonné en 2008 en raison de sa vulnérabilité croissante aux attaques. En plus de ne plus respecter les demandes de certains standards comme PCI DSS, les entreprises qui l’utilisent encore mettent en danger les données de leurs clients. Voir baisser cette tendance est une bonne chose pour la sécurité des clients et le respect de leur vie privée.
