Apple force l’industrie à adopter des certificats HTTPS d’un an

Apple force l’industrie à adopter des certificats HTTPS d’un an

Une décision prise unilatéralement par Apple en février 2020 s’est répercutée sur le paysage des navigateurs et a forcé l’industrie des autorité de certification à accepter une nouvelle durée de vie par défaut de 398 jours pour les certificats TLS.

Suite à l’annonce d’Apple, Mozilla et Google ont annoncé vouloir appliquer la même règle dans leurs navigateurs.

À compter du 1er septembre 2020, les navigateurs et les appareils Apple, Google et Mozilla afficheront des erreurs pour les nouveaux certificats TLS dont la durée de vie est supérieure à 398 jours.

Cette décision est importante car elle modifie non seulement le fonctionnement d’une partie essentielle d’Internet – les certificats TLS – mais également parce qu’elle rompt avec les pratiques normales de l’industrie et la coopération entre les navigateurs et les autorités de certification.

publicité

Le forum CA/B et la durée de vie du certificat TLS

Connu sous le nom de CA/B Forum, l’organisme de coopération est un groupe informel composé d’autorités de certification (CA), des sociétés qui émettent des certificats TLS utilisés pour prendre en charge le trafic HTTPS et d’éditeurs de navigateurs.

Depuis 2005, ce groupe établit les règles sur la manière dont les certificats TLS doivent être émis et sur la manière dont les navigateurs sont censés les gérer et les valider. Les navigateurs et les autorités de certification discutaient généralement des règles à venir jusqu’à ce qu’ils parviennent à un terrain d’entente, puis adoptaient les règles que tous les membres avaient mises en œuvre.

Cependant, au cours de ses 15 ans d’histoire, il y a eu un sujet qui a toujours provoqué des remous chaque fois qu’il a été évoqué : la durée de vie des certificats TLS.

La durée de vie des certificats TLS a commencé à huit ans, et au fil des ans, les éditeurs de navigateurs l’ont réduite, la ramenant à cinq, puis à trois, puis à deux.

Le changement précédent s’est produit en mars 2018, lorsque les fabricants de navigateurs ont tenté de réduire la durée de vie des certificats SSL de trois à un an, mais un compromis a finalement été trouvé sur une durée de vie de deux ans après une réaction agressive des autorités de certification.

Mais à peine un an s’est écoulé et les éditeurs de navigateurs sont revenus à la charge, au grand désarroi des autorités de certification, qui, à ce moment-là, pensaient qu’elles étaient parvenues à un compromis et avaient mis le problème de coté.

Comme ZDNet l’a signalé l’été dernier, les fournisseurs de navigateurs ont de nouveau tenté de porter la durée de vie des certificats TLS à un an. Le vote sur cette proposition, appelé par Google, a échoué en septembre 2019. Alors que la proposition a obtenu le soutien de 100% des éditeurs de navigateurs, seulement 35% des autorités de certification ont voté en faveur de cette mesure.

Les fournisseurs de navigateurs ignorent le forum CA/B

Mais en février, Apple a rompu la procédure standard du CA/B Forum. Au lieu d’appeler à un vote, Apple a simplement annoncé sa décision de mettre en œuvre une durée de vie de 398 jours sur ses appareils, indépendamment de ce que les autorités de contrôle du CA/B Forum pensaient.

Deux semaines plus tard, Mozilla a annoncé la même chose, et au début du mois, Google a également imité la concurrence.

Il s’agit une démonstration de force des éditeurs de navigateurs, qui affirment ainsi leur contrôle sur le CA/B et sur l’écosystème HTTPS. Cela relegue les autorités de certification au rôle de simple participants sans pouvoir réel.

Cette évolution a été anticipée par HashedOut, un site d’informations dédié à l’industrie des CA.

“Si les CA votent contre cette mesure [le scrutin de septembre 2019], il est possible que les navigateurs agissent unilatéralement et imposent tout de même le changement”, écrivait le site en août 2019, un mois avant le vote.

“Ce n’est pas sans précédent, mais cela ne s’est jamais produit sur une question qui est traditionnellement aussi collégiale que cela”, a-t-il ajouté. “Si c’est le cas, il devient juste de se demander quel est l’intérêt du forum CA/B. Dans cette optique, les navigateurs gouverneraient essentiellement par décret et tout l’exercice ne serait qu’une farce.”

Pourquoi les éditeurs de navigateurs veulent des certificats TLS plus courts

Pour les non initiés, tout cela ressemble à un drame stupide sur les détails techniques et à un jeu de pouvoir. Cependant, il y a une raison pour laquelle les éditeurs de navigateurs ont fait de gros efforts pour des certificats TLS plus courts.

La raison principale est que les mauvais certificats TLS sont ainsi éliminés plus rapidement.

La norme veut qu’une fois qu’un certificat TLS a été utilisé par des logiciels malveillants, du phishing ou d’autres opérations, le certificat doit être révoqué par les autorités de certification.

Cependant le processus de révocation des certificats est un sac de nœuds depuis des années : très peu d’autorités de certification révoquent les certificats à temps et les mauvais certificats restent valables pendant des années, permettant aux acteurs malveillants d’utiliser et de réutiliser le même certificat pour plusieurs opérations.

Les éditeurs de navigateurs ont fait valoir qu’en réduisant la durée de vie des certificats TLS, ces certificats deviendraient invalides plus rapidement, même s’ils étaient émis par des autorités de certification ne respectant pas les bonnes pratiques.

De plus, il y a aussi le problème du décryptage du trafic. À un moment donné dans le futur, les éditeurs de navigateurs prévoient que les acteurs malveillants pourront décrypter le trafic HTTPS qu’ils consignent aujourd’hui.

En sécurisant le trafic avec des certificats de plus courte durée, les fabricants de navigateurs espèrent rendre ce processus plus gourmand en ressources pour les attaquants.

Les autorités plient, de mauvaise grace

Les autorités de certification se battent contre des durées de vie plus courtes, car elles estiment qu’aucun de ces problèmes ne fait réellement de différence. Elles estiment que les opérateurs de logiciels malveillants ont tendance à abandonner les certificats TLS après les avoir utilisés une fois, d’autant plus que de nombreuses entreprises fournissent des certificats TLS gratuits sous diverses offres et programmes.

Des durées de vie plus courtes créent simplement plus de travail pour leurs équipes informatiques et changent les normes de l’industrie ce qui ne devrait pas être le cas. Les normes sont en effet conçues pour evoluer le mois possible.

Néanmoins, la question a été tranchée et les autorités de certification sont loin d’être satisfaites de la façon dont l’ensemble du processus s’est déroulé. Lors d’une réunion du forum CA B en mai 2020, certains CA ont fourni des réponses publiques à la décision d’Apple, et la plupart n’avaient pas un avis particulierement positif.

Actalis a déclaré que “cela lui plaise ou non”, ils “sont obligés de se conformer.”

D-TRUST, une autre autorité de certification, a également déclaré qu’elle était également contrainte de se conformer à cette nouvelle durée de vie TLS, mais ont clairement indiqué qu’ils ne voyaient “aucun gain de sécurité ou autres avantages en raccourcissant la durée de vie du certificat”.

Telia a décrit le tout comme « un fardeau inutile pour notre communauté ». Et les réponses continuent, sur le même ton passif-agressif de “oui, nous le ferons, mais nous n’en sommes pas satisfaits”.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *