La durée de validité des certificats TLS officiellement réduite à 47 jours

 (digicert.com)
16 points par GN⁺ 2025-04-17 | 1 commentaires | Partager sur WhatsApp
  • Réduction de la durée de validité des certificats TLS : le CA/Browser Forum a décidé de réduire la durée de validité des certificats TLS. D’ici 2029, elle sera ramenée à 47 jours
  • Importance de l’automatisation : avec cette réduction, l’automatisation devient indispensable. Apple affirme qu’elle est essentielle à la gestion du cycle de vie des certificats
  • Problème de fiabilité des informations de certificat : la fiabilité des informations de certificat diminue avec le temps, ce qui nécessite des revalidations fréquentes
  • Problèmes du système de révocation des certificats : les systèmes de révocation reposant sur les CRL et l’OCSP ne sont pas fiables, et des durées de validité plus courtes peuvent atténuer ce problème
  • Coûts et solutions d’automatisation : le coût du remplacement des certificats repose sur des abonnements annuels, et beaucoup choisissent volontairement des cycles de remplacement plus courts grâce à l’automatisation

Réduction de la durée de validité des certificats TLS

  • Le CA/Browser Forum a officiellement décidé de réduire la durée de validité des certificats TLS
  • À partir de mars 2026, la durée de validité passera à 200 jours, puis à 100 jours en 2027, et à 47 jours en 2029
  • La durée de réutilisation des informations de validation des domaines et des adresses IP sera également réduite à 10 jours d’ici 2029

Ce que signifient 47 jours

  • 47 jours correspondent à 1 mois (31 jours), plus la moitié de 30 jours (15 jours), avec 1 jour de marge supplémentaire
  • Apple souligne que l’automatisation est indispensable à la gestion du cycle de vie des certificats

Problème de fiabilité des informations de certificat

  • La fiabilité des informations de certificat diminue avec le temps, ce qui exige des revalidations fréquentes
  • Les systèmes de révocation des certificats ne sont pas fiables, et des durées de validité plus courtes peuvent atténuer ce problème

Nécessité de l’automatisation

  • La réduction de la durée de validité des certificats rend l’automatisation indispensable
  • DigiCert propose diverses solutions d’automatisation via Trust Lifecycle Manager et CertCentral

Informations supplémentaires et abonnement au blog

  • Les dernières informations sur la gestion des certificats, l’automatisation et TLS/SSL sont disponibles sur le blog de DigiCert
  • Il est possible de contacter DigiCert pour plus d’informations sur les solutions d’automatisation

À lire aussi

1 commentaires

 
GN⁺ 2025-04-17
Avis sur Hacker News

  • « Je me demande quel est l’objectif final ici. Je suis d’accord avec l’avis opposé. Pourquoi ne pas descendre à 30 secondes ? »

    • « Une fois qu’on a dépassé le seuil où tout doit être automatisé au point que l’usage de TLS n’est plus viable autrement, je me demande pourquoi offrir une durée de plus de 48 heures. »
    • « Cela ressemble davantage à une mission idéologique qu’à quelque chose de pratique. Je ne sais pas s’il y a un avantage financier ou de pouvoir à forcer tout le monde à modifier son infrastructure chaque mois. »

  • « En travaillant avec de grandes entreprises, j’ai vu qu’avec des expirations de plus en plus courtes, la plupart utilisent surtout des certificats signés en interne. »

    • « Les certificats publics sont utilisés sur les équipements en périphérie / les load balancers, mais les services internes utilisent des certificats signés par une CA interne avec une longue durée d’expiration. »
    • « C’est à cause des nombreuses applications pour lesquelles l’usage de certificats est pénible. »

  • « Comme cela a été dit dans un autre fil, cela éliminera la possibilité de créer sa propre CA pour ses propres sous-domaines. »

    • « Seules les grosses CA intégrées aux navigateurs pourront avoir leurs propres certificats de CA avec la durée qu’elles veulent. »
    • « Du point de vue de la sécurité, c’est une arme à double tranchant. »
    • « Si tout le monde s’habitue au fait que les certificats changent sans cesse et que le pinning disparaît, il sera plus difficile de remarquer quand la Chine ou une entreprise fournira un faux certificat. »
    • « Au lieu d’un système fermé, toutes les machines du monde devront rester connectées de façon quasi permanente à des serveurs de certificats aléatoires pour les mises à jour du système. »
    • « Si les serveurs de Digicert ou de Let’s Encrypt, ou un “client de mise à jour des certificats”, sont piratés ou rencontrent un problème de sécurité, la majorité des serveurs dans le monde pourrait être compromise en très peu de temps. »

  • « L’explication suivante dans l’article m’a fait rire »

    • « 47 jours peut sembler être un nombre arbitraire, mais c’est une chaîne simple »
    • « 47 jours = au maximum un mois (31 jours) + 1/2 de 30 jours (15 jours) + 1 jour de marge »
    • « Donc 47 n’est pas arbitraire, mais 1 mois, 1/2 mois et 1 jour ne le sont pas non plus. »

  • « En tant qu’autorité de certification, l’une des questions que les clients nous posent le plus souvent est de savoir si remplacer les certificats plus fréquemment coûte plus cher. »

    • « La réponse est non. Le coût est basé sur un abonnement annuel. »
    • « Digicert, attends un peu. Le prix est basé sur un abonnement annuel. Le coût côté CA augmente effectivement de manière infinitésimale, mais il est déjà pratiquement nul. »
    • « Exploiter une CA est l’un des business les plus faciles au monde. »

  • « Nous avons configuré la supervision pour envoyer une alerte non critique “ça peut attendre lundi” lorsqu’il reste 14 jours ou moins avant l’expiration d’un certificat, et une alerte “ne pas déranger” lorsqu’il ne reste plus que 48 heures. »

    • « Il y a quelques années, cert-manager s’est retrouvé dans un état bizarre, donc la prochaine fois j’aimerais le savoir à l’avance. »

  • « J’aimerais que le chiffrement et l’identité ne soient pas liés d’aussi près dans les certificats. »

    • « Lorsqu’on émet un certificat, on se soucie toujours du chiffrement, mais parfois pas de l’identité. »
    • « Quand on ne se soucie que du chiffrement, on doit quand même assumer la charge supplémentaire liée à l’identité. »

  • « Je me demande si, une fois cela mis en place, tous les Chromecast cesseront à nouveau de fonctionner. »

    • « Vu la réaction de Google lors de la panne des Chromecast plus tôt cette année, les Chromecast semblent exploités avec un effectif minimal et sans les ressources nécessaires pour automatiser le renouvellement des certificats. »

  • « Avec l’automatisation et les certificats de courte durée, les autorités de certification vont ressembler à des OpenID Providers. »

    • « Une partie importante de la sécurité se concentre sur la manière dont les autorités de certification vérifient la propriété d’un domaine. »
    • « Peut-être que les clients pourraient effectuer la vérification directement, sans dépendre des certificats. »
    • « Par exemple, lorsqu’un client se connecte à un serveur, il pourrait envoyer deux valeurs uniques, et le serveur devrait créer un enregistrement DNS. »
    • « Ce serait une authentification via DNS. Il faudrait accélérer le système DNS. »

  • « Cela va casser la dépendance au pinning de certificats dans deux endroits intéressants »

    • « Les applications mobiles »
    • « Les API d’entreprise. Beaucoup d’entreprises font du pinning de certificats et se plaignent quand nous faisons tourner les certificats. »
    • « Une durée de 47 jours les forcera à faire tourner automatiquement leur pinning. »

  • « L’hypothèse ici est qu’une clé privée peut être compromise plus facilement que le secret / mécanisme utilisé pour émettre un certificat. »

    • « Je n’en suis pas certain. »