Quelle est la durée de validité des certificats numériques ?
Les périodes de validité des certificats numériques sont déterminées par les organisations qui les acceptent et sont toujours conformes aux exigences du CA/Browser Forum, un groupe volontaire d'autorités de certification (CA), d'éditeurs de logiciels de navigation Internet et de fournisseurs d'autres applications qui utilisent les certificats numériques X.509 v.3 pour SSL/TLS, la signature de code et S/MIME.
La durée de vie des certificats a été ajustée au fil du temps et le sera bientôt à nouveau. Lorsqu'un logiciel ou un site web reçoit un certificat expiré, il est incapable de l'authentifier et refuse de l'accepter, ce qui entraîne des perturbations opérationnelles majeures.
Table des Matières
Nous verrons ci-dessous ce que sont les certificats numériques, leurs avantages, leur durée de validité, comment savoir s'ils ont expiré, comment réparer un certificat expiré et l'ajustement prochain de la période de validité de 47 jours.
Qu'est-ce qu'un certificat numérique ?
Un certificat numérique est un fichier qui prouve l'authenticité d'un système électronique, tel qu'un appareil, un serveur ou un utilisateur, grâce à l'utilisation de la cryptographie à clé publique et de l'infrastructure à clé publique (ICP).
En instituant cette méthode d'identification des appareils et des utilisateurs, les organisations peuvent garantir la sécurité de leurs réseaux. L'un des types de certificat numérique les plus répandus est le certificat SSL/TLS, qui est utilisé pour confirmer l'authenticité d'un site web à un navigateur web.
Les certificats numériques contiennent des informations identifiables, telles que le nom de domaine, l'organisation, la localité et des informations sur l'appareil, comme l'adresse IP ou le numéro de série. Ils contiennent une copie d'une clé publique correspondant à une signature numérique du détenteur du certificat. Cette signature doit être associée à une clé privée correspondante pour vérifier qu'elle est réelle et que les informations contenues dans le certificat sont exactes.
Un certificat de clé publique, émis par les autorités de certification (AC) sur la base de cette paire de clés, est utilisé pour signer des certificats afin de vérifier l'identité de l'appareil ou de l'utilisateur qui en fait la demande. Sans la clé de chiffrement correcte, cette association est impossible.
Les certificats numériques courants que vous connaissez peut-être sont les suivants :
Sauf indication contraire, cet article traite des certificats SSL/TLS.
Les avantages des certificats numériques et leur utilisation
Les certificats numériques sont utiles à plusieurs types d'entités qui souhaitent renforcer la cybersécurité et se conformer à toutes les réglementations nécessaires. Les principaux utilisateurs de ces certificats peuvent être classés dans les catégories suivantes : particuliers, organisations et sites web.
Pour délivrer ces certificats, les autorités de certification exigent que certaines informations leur soient fournies par le biais d'une demande de signature de certificat. Une fois ces informations validées, elles sont signées avec une clé et le certificat est délivré au demandeur.
Ce certificat peut alors être utilisé pour vérifier l'identité du propriétaire, en s'assurant qu'il possède effectivement la clé publique lors de l'authentification du client, ou pour fournir les informations d'identification d'un site web. Ceci est important pour de nombreux types de transactions numériques. Un consommateur est plus enclin à donner les informations relatives à sa carte de crédit à un site web qui peut prouver son identité à son navigateur/point de terminaison. Il comprend implicitement que ses informations sensibles sont protégées et que le site web crypte les données privées.
Les certificats signés numériquement sont également utiles pour sécuriser les appareils de l'internet des objets (IoT). Ces appareils se connectent à de nombreux serveurs web et sites web différents pour effectuer les actions automatisées pour lesquelles les consommateurs comptent sur eux. Les certificats prouvent l'identité de ces appareils afin qu'ils puissent accomplir leurs tâches sans intervention humaine.
Les certificats numériques expirent-ils ?
Les périodes de validité des certificats numériques sont spécifiques à chaque type de certificat. Actuellement, les certificats de signature de code sont valables jusqu'à trois ans, tandis que les certificats SSL sont valables un peu plus d'un an.
Qu'est-ce qui détermine la période de validité ?
En fin de compte, ce sont les organisations qui acceptent les certificats qui déterminent la période de validité. Elles s'alignent généralement sur les recommandations du CA/Browser Forum.
Le CA/Browser Forum se réunit pour voter sur diverses questions, souvent en se concentrant sur un ensemble d'exigences de base pour l'émission de certificats numériques de confiance. Le CA/Browser Forum n'est pas un organe directeur et n'a aucune capacité de mise en œuvre. Les accepteurs ont le dernier mot et peuvent être plus ou moins stricts que les recommandations formulées par l'organisation.
Un aspect intéressant des certificats numériques est que le cycle de vie des certificats, y compris les périodes de validité maximales, n'est pas déterminé par l'émetteur mais par l'accepteur, dont les préoccupations et les politiques sont reflétées par le CA/Browser Forum par le biais d'un processus de vote. Les accepteurs sont des organisations qui construisent des choses, comme des systèmes d'exploitation et des navigateurs. Ils se concentrent sur la protection des informations des utilisateurs finaux et non sur les processus organisationnels. C'est pourquoi des entreprises telles que Microsoft et Google préfèrent rejeter purement et simplement les certificats qui ne répondent pas à leurs critères et refuser temporairement l'accès plutôt que d'accepter simplement tous les certificats.
Période de validité actuelle des certificats SSL/TLS
À partir de septembre 2020, les certificats de sécurité de la couche de transport (SSL/TLS) ne pourront pas être émis pour une durée supérieure à 13 mois (397 jours). Ce changement a été annoncé pour la première fois par Apple lors du CA/Browser Forum.
Avant 2015, vous pouviez obtenir un certificat avec une période de validité allant jusqu'à cinq ans. Cette durée a été ramenée à trois ans en 2015, puis à deux ans en 2018. Fin 2019, un vote a été proposé au CA/Browser Forum qui aurait réduit la validité à un an et a été rejeté. Cette décision a ensuite été annulée par un changement de politique de la part d'Apple l'année suivante.
Les certificats Extended Validation (EV) ont traditionnellement des dates d'expiration et des processus de gestion des certificats différents de ceux des certificats Domain Validation (DV) ou Organization Validation (OV), bien que dans le cas des certificats SSL les périodes de validité soient les mêmes.
Comment puis-je savoir quand mon certificat SSL/TLS expire ?
Les certificats SSL expirent au maximum 398 jours après leur date d'émission, mais la plupart des autorités de certification fixent leur date d'expiration plus tôt, parfois autour de 395 jours. Il est important de les renouveler AVANT qu'ils n'expirent. L'attente entraînera de graves perturbations pour les organisations et leurs clients. Les dates d'expiration des certificats sont clairement communiquées par leurs émetteurs et chacun a sa propre procédure de renouvellement.
Les autorités de certification fournissent généralement une notification avant la date d'expiration, de sorte que la meilleure pratique consiste à renouveler votre certificat dès la réception de la première notification afin d'éviter les interruptions de service.
Il arrive souvent qu'un demandeur de renouvellement de certificat doive réauthentifier des parties des informations contenues dans son ancien certificat qu'il souhaite voir figurer dans le nouveau. La procédure à suivre est similaire à la procédure d'émission initiale.
Proposition de Google pour une période de validité de 90 jours
Début mars 2023, lors des réunions en face à face du CA/B Forum, Google a annoncé son intention de réduire la période de validité maximale des certificats SSL de 398 jours à 90 jours. Ce changement va révolutionner la gestion des certificats numériques et il est essentiel que les entreprises commencent à se préparer dès maintenant, car les politiques et pratiques actuelles en matière de gestion des certificats devront être réévaluées et mises à jour pour s'aligner sur cette nouvelle norme.
Pourquoi ce changement ?
La principale motivation de la proposition de Google est d'améliorer la sécurité. La réduction de la durée de vie des certificats signifie qu'ils devront être renouvelés plus fréquemment, ce qui garantit que les normes de cryptage restent à jour et que les vulnérabilités sont rapidement corrigées. Ce changement réduit la possibilité pour les attaquants d'exploiter des certificats compromis, ce qui améliore considérablement la cybersécurité dans son ensemble. Des renouvellements fréquents signifient également que toute faiblesse dans les algorithmes de cryptage ou les pratiques de gestion des clés peut être rapidement corrigée, ce qui permet de maintenir le niveau de protection le plus élevé pour les données sensibles.
Le renouvellement automatisé des certificats deviendra plus important que jamais
Avec les périodes de validité plus courtes proposées, l'importance de l'automatisation du renouvellement des certificats devient primordiale. Les processus de renouvellement manuels peuvent entraîner des erreurs et des interruptions, ce qui peut provoquer des perturbations importantes et des risques pour la sécurité des entreprises. Le processus de renouvellement étant beaucoup plus fréquent, ces risques augmenteront. Les systèmes automatisés permettent de s'assurer que les renouvellements sont effectués avec précision et dans les délais, réduisant ainsi les risques que des certificats expirés ne provoquent des interruptions de service.
L'automatisation libère également les ressources informatiques, permettant aux équipes de se concentrer sur des tâches plus critiques plutôt que sur le processus répétitif et chronophage des renouvellements manuels de certificats SSL. En outre, les outils automatisés de gestion du cycle de vie des certificats (CLM) peuvent fournir une surveillance et des alertes en temps réel, garantissant que les organisations sont toujours au courant des expirations à venir et peuvent agir rapidement.
L'intégration de l'automatisation dans les processus de renouvellement des certificats permet non seulement d'améliorer l'efficacité, mais aussi de renforcer la sécurité. Les systèmes automatisés sont moins sujets à l'erreur humaine et appliquent systématiquement les pratiques et politiques de sécurité les plus récentes. Cet aspect est particulièrement important lorsque les périodes de validité sont plus courtes, car la fréquence des renouvellements augmente et la marge d'erreur se réduit.
Avantages des périodes de validité plus courtes
Les périodes de validité courtes permettent aux changements d'algorithmes d'avoir un impact plus important. Par exemple, il y a quelques années, SHA-1 a été abandonné au profit de SHA-2. À l'époque, les certificats avaient des périodes de validité de plusieurs années, souvent trois ou plus. Étant donné que les algorithmes de hachage sont choisis au moment où le certificat est généré plutôt qu'utilisé, il a fallu des années pour que certains certificats utilisent le nouvel algorithme, plus sûr. Le cryptage de données à l'aide d'algorithmes obsolètes peut laisser des informations clés exposées.
Les courtes périodes de validité constituent une excellente solution à ce problème, car les changements d'algorithme peuvent être mis en œuvre automatiquement lors du renouvellement, ce qui rend le temps d'attente pour l'adoption négligeable.
Comment régler le problème d'un certificat expiré ?
Les autorités de certification disposent de mécanismes permettant de révoquer les certificats expirés. Cela se fait par le biais de ce que l'on appelle une liste de révocation de certificats (CRL), qui permet à une autorité de certification de garder une trace des certificats qui ont expiré ou qui ont été révoqués pour une raison quelconque.
Pour renouveler automatiquement vos certificats SSL, vous devrez peut-être revalider les informations, ce qui peut être fait par le biais de plateformes de gestion du cycle de vie des certificats telles que Certificate Manager ou SCM Pro de Sectigo. Pour en savoir plus sur le fonctionnement de nos plateformes ou sur l'achat de nouveaux certificats SSL, contactez notre équipe Sectigo dès aujourd'hui.
Envie d'en savoir plus ? Contactez nous pour réserver une démo de Sectigo Certificate Manager !
Articles associés :
Préparer l'avenir : Proposition d'Apple pour une durée de vie des certificats de 45 jours
Apple publie un projet de vote visant à réduire la durée de vie des certificats à 45 jours
Pourquoi les certificats SSL expirent : les avantages de périodes de validité plus courtes