Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Pour s'aligner sur Apple, Gandi se prépare à limiter ses certificats SSL à 1 an

Au début de l’année, la société de Cupertino avait annoncé que, « pour améliorer la sécurité Web de [ses] utilisateurs […] la période de validité des certificats de serveur TLS émis à partir du 1er septembre 2020 à 00 h 00 GMT/UTC ne devra pas dépasser 398 jours ».

Gandi explique que, suite à ce changement chez Apple, « les Autorités de Certification (CA) se sont accordées pour réduire la durée de vie d’un certificat SSL à 12 mois maximum. Cette mesure entrera en vigueur le 1er septembre 2020 ».

L’hébergeur ajoute que son Autorité de Certification partenaire fait partie du lot et qu’il appliquera donc ce changement : « à compter du mois d’août, il ne sera plus possible d’acheter un certificat valable deux ans sur le site gandi.net ».

Enfin, la société rappelle que « les certificats émis avant le 1er septembre 2020, même supérieurs à 1 an, ne seront pas affectés par ce changement ». En outre, « bien que la décision n’ait pas encore été actée, Google, via Chrome, a également proposé de s’orienter vers une décision similaire il y a un an ».

8 commentaires
Avatar de alkashee Abonné
Avatar de alkasheealkashee- 06/07/20 à 11:08:45

Avec j'imagine une bonne facturation de manière à ce que des certificats de deux fois un an soit bien supérieure à un de deux ans ?
:fumer:

Avatar de FennNaten Abonné
Avatar de FennNatenFennNaten- 06/07/20 à 11:40:44

Wé enfin, Apple a proposé en commission que browsers et CAs s'alignent sur une limite d'un an, le vote a été contre, Apple a dit "on s'en fout on le fait quand même à partir de septembre 2020, donc si vous suivez pas tant pis". La team Chromium a indiqué son full support, Mozilla est of course pour vu que ça va dans le sens de Let's Encrypt.
A partir de là, les CAs ont un choix limité, s'ils ne s'alignent pas et que des clients achètent par erreur des certificats 2 ans qui se font rejeter, bah les clients se retourneront contre eux.
C'est probablement mieux pour les utilisateurs du web, par contre niveau méthode, c'est pas terrible. Tu ne t'engages pas à participer à une instance pour aligner les décisions si c'est pour ignorer les décisions quand ça ne va pas dans ton sens.
 
 

Avatar de XXC Abonné
Avatar de XXCXXC- 06/07/20 à 12:53:28

Reste plus qu'a imposer une validité d'un ans sur les certificats racines, et on est bon ....

Avatar de La Mangouste Abonné
Avatar de La MangousteLa Mangouste- 06/07/20 à 14:30:25

1 ans pour les racines ce n'est pas faisable. Il faut que la racine soit valable jusqu'à la fin de validité des certificats émis. Et ce, sans compter les intermédiaires, et le fait qu'il faut les propager. Mais oui, si on peut éviter les 10 ans de validité des récines, on avancerait.

Et Chrome va suivre procahinement le chemin d'Apple ? Ils avaient essayé il y quelques temps mais étaient revenus en arrière.

Avatar de XXC Abonné
Avatar de XXCXXC- 06/07/20 à 16:22:13

Vu l'effet de l'expiration des certificats root sur certain lecteurs bluray de samsung, certains doivent en rêver .... pour forcer le renouvellent du matériel :roll:

Avatar de Methio INpactien
Avatar de MethioMethio- 06/07/20 à 18:17:07

En vrai ça soule, ça force tout le monde a la même règle alors que tous "serveurs webs" n'ont pas la même exposition.

Cela m'embête pour les PKI internes avec parfois du https qui ne doit fonctionner que dans un LAN bien défini. Question pour être sûr de bien comprendre : au 1er Septembre 2020 les navigateurs (en tout cas Safari) mettront une alerte de sécurité, la "même" qu'en face d'un certificat auto signé, si le certificat a une durée totale (début + fin) de plus d'un an ? Y compris les certificats dont la date de début précède Septembre 2020 ?

Quid des certificats clients ? Non affectés ? (Quand le serveur web est configuré pour ne laisser passer que les clients qui possèdent eux même un certificat pour prouver leur identité)

Édité par Methio le 06/07/2020 à 18:21
Avatar de psn00ps Abonné
Avatar de psn00pspsn00ps- 06/07/20 à 18:22:52

Pas de https et une bonne sécurité :fumer:
Moins énergivore

Édité par psn00ps le 06/07/2020 à 18:23
Avatar de Methio INpactien
Avatar de MethioMethio- 06/07/20 à 18:48:12

Methio a écrit :

Question pour être sûr de bien comprendre : au 1er Septembre 2020 les navigateurs (en tout cas Safari) mettront une alerte de sécurité, la "même" qu'en face d'un certificat auto signé, si le certificat a une durée totale (début + fin) de plus d'un an ? Y compris les certificats dont la date de début précède Septembre 2020 ?

Quid des certificats clients ? Non affectés ? (Quand le serveur web est configuré pour ne laisser passer que les clients qui possèdent eux même un certificat pour prouver leur identité)

Super, une partie de la réponse à mes questions est dans le lien de la newshttps://support.apple.com/fr-fr/HT211025
 

  • Pas d'effet sur les autorités installées soi même (donc j'en conclue PKI perso/d'organisation inclus)
  • 398 jours de validité pour les certificats qui débutent en Septembre 2020, les autres restent valides
  • Certificat client a rarement du sens sur les autorités pré installées donc pas affectés ?

Je ne suis pas sûr pour le message d'alerte, il est juste dit que ça échouera.

Il n'est plus possible de commenter cette actualité.