Préparer l'avenir : Proposition d'Apple pour une durée de vie des certificats de 47 jours
Le cycle de vie des certificats numériques fournit un processus structuré pour l'utilisation des certificats numériques dans les communications via SSL/TLS. Bien que la durée de vie actuelle des certificats soit d'environ 398 jours, des changements significatifs sont à prévoir. Google et Apple plaident pour des périodes de validité plus courtes, Apple visant à réduire cette durée à seulement 47 jours d'ici 2028. Cette initiative vise à améliorer la sécurité en limitant le temps d'exploitation d'une clé compromise, mais elle pose des défis aux équipes informatiques habituées à des renouvellements plus longs. Les organisations doivent se préparer à cette transition en adoptant des solutions automatisées de gestion des certificats pour gérer la charge administrative accrue.
Article mis à jour le 27 novembre 2024 suite à la dernière annonce d'Apple.
Table des Matières
Le cycle de vie des certificats numériques fournit un processus structuré à travers lequel les certificats numériques sont utilisés pour les communications sur Secure Socket Layer (SSL) / Transport Layer Security (TLS). Les certificats sont validés, émis, déployés et finalement renouvelés (ou révoqués). Malgré son apparente stabilité, ce cycle de vie est en constante évolution. Il a subi d'importantes modifications au fil des ans, y compris un effort continu pour réduire la durée de vie totale.
Alors que la durée de vie actuelle est généralement de 398 jours, il est de plus en plus évident qu'il ne s'agira plus du statu quo pendant longtemps. L'intention déclarée de Google de passer à des certificats de 90 jours a fait l'objet de nombreuses discussions, mais Apple souhaite aller encore plus loin, avec des durées de vie encore plus courtes. L'objectif d'Apple: réduire les périodes de validité à 47 jours seulement d'ici à 2028.
Annoncé lors d'une réunion du forum des navigateurs des autorités de certification (CA/B Forum), Apple a soumis un projet de bulletin de vote contenant une proposition visant à réduire progressivement la durée des certificats SSL/TLS jusqu'à ce qu'elle atteigne 47 jours seulement. Sponsorisée par Sectigo, cette proposition intègre des durées de certificats spécifiques et des fenêtres de renouvellement anticipé, tout en limitant les périodes de réutilisation de la validation de contrôle de domaine (DCV). Nous décomposons la proposition ci-dessous, en soulignant les dates clés ainsi que les prochaines étapes pour se préparer à la nouvelle normalité dans l'écosystème numérique.
Dates clés du passage à des périodes de validité de 47 jours
La proposition d'Apple de passer à des périodes de validité SSL de 47 jours pourrait s'étaler sur quelques années, avec plusieurs étapes prévues à cet effet. Nous reviendrons plus tard sur les dates importantes en détail, mais pour l'instant, une date particulièrement cruciale devrait se situer entre le milieu et la fin de l'année 2028. C'est à cette date que les certificats d'une durée de vie de 47 jours pourraient prendre le relais.
Rappel : pour l'instant, il s'agit d'une proposition. Elle doit être votée pour que les durées de 47 jours soient effectivement mises en œuvre. Néanmoins, cette proposition reflète l'évolution manifeste de l'industrie vers des durées de vie des certificats plus courtes. Même si Apple n'adopte pas la proposition de 47 jours, il est probable que des durées de vie limitées entreront en jeu d'une manière ou d'une autre.
Durée de vie actuelle des certificats SSL
Si l'on tient compte de plus d'un an d'utilisation avant le renouvellement, la durée de vie actuelle d'un certificat SSL est de 398 jours, ce qui est relativement long. Malgré cela, de nombreuses entreprises ont du mal à suivre le rythme de renouvellement des certificats, ce qui entraîne un risque important d'interruptions. Néanmoins, la durée de vie actuelle de 398 jours permet une certaine marge de manœuvre, qui ne sera plus disponible si les intentions de Google de 90 jours ou d'Apple de 47 jours se concrétisent.
Calendrier des réductions de la durée de vie des certificats
En plus de signaler son intention de passer à des périodes de validité plus courtes, Apple a créé une feuille de route claire indiquant comment ce processus se déroulera. Plutôt que de passer immédiatement à des durées de vie de 47 jours, Apple suivrait un processus graduel, avec des durées de vie réduites à un rythme plus lent et plus régulier.
Avant de décrire les principales étapes de ce processus, il est important de mentionner qu'un processus fondamental impliquant l'infrastructure à clé publique (PKI) pourrait jouer un rôle important dans les plans d'Apple visant à réduire la durée de vie des certificats. Connu sous le nom de Domain Control Validation (DCV), ce processus implique la vérification par l'autorité de certification du domaine du demandeur. Il s'agit d'un élément crucial du processus SSL/TLS ; sans DCV, les certificats ne peuvent être émis ou déployés. La réutilisation du DCV permet toutefois d'éviter la revalidation dans certaines circonstances.
Dans cette optique, les entreprises qui prévoient de passer à une durée de vie de 47 jours devront tenir compte de ces dates clés :
- Le 15 septembre 2025. Si la proposition d'Apple est adoptée, la durée de vie des certificats sera ramenée à 200 jours au total. Le délai de renouvellement anticipé, quant à lui, ne sera plus que de 20 jours. À ce stade, la période de réutilisation du DCV s'étendra sur 200 jours.
- 16 septembre 2026. Après une année de durée de vie de 200 jours, Apple passera à l'étape suivante en adoptant une durée de vie de 100 jours et en allouant 10 jours pour le renouvellement anticipé. Dans le même temps, la période de réutilisation du DCV se réduira également, pour atteindre 100 jours.
- Entre le milieu et la fin du mois de septembre 2028 , un changement crucial pourrait intervenir dans le plan de durée de vie de 47 jours des certificats d'Apple, réduisant la période de réutilisation de la validation du contrôle de domaine (DCV) à seulement 10 jours.
Implications de la proposition d'Apple sur les 47 jours
La proposition d'Apple est révélatrice d'une tendance majeure dans le domaine de la cybersécurité, où des certificats plus courts sont considérés comme essentiels pour faire face à un large éventail de risques de sécurité. En cas de compromission d'une clé privée, une durée de vie plus courte limite la capacité de l'acteur malveillant à exploiter cette clé. Malheureusement, ces avantages en matière de sécurité peuvent être difficiles à exploiter lorsque les organisations s'efforcent constamment de suivre le rythme rapide des renouvellements. Si la proposition de 47 jours devient une réalité, les organisations devront passer à des stratégies de gestion automatisée des certificats.
Avantages pour la sécurité
Avec chaque jour, semaine ou mois supplémentaire, les certificats présentent un plus grand potentiel de compromission par des acteurs de plus en plus sophistiqués. Dans le pire des cas, les attaquants devraient disposer d'un temps limité pour utiliser à mauvais escient les certificats compromis. Des périodes de validité courtes favorisent également une forte conformité et une grande souplesse.
Charge opérationnelle pour les équipes informatiques
Malgré tous leurs avantages, les courtes durées de validité des certificats posent d'importants problèmes aux professionnels de l'informatique déjà très occupés. Nombre d'entre eux sont submergés par le volume de certificats numériques, en particulier s'ils restent attachés à des processus manuels chronophages. En l'absence d'un processus rationalisé et automatisé, le besoin accru de renouvellements pourrait mettre à rude épreuve des services informatiques déjà très occupés.
Préoccupations et défis
Il faut s'attendre à des défis à mesure que la durée de vie des certificats continue de diminuer. Même si les organisations bénéficieront en fin de compte de la sécurité accrue que ces durées de vie plus courtes permettent, elles doivent d'abord surmonter quelques obstacles :
Systèmes existants et environnements non automatisés
Bien que l'automatisation soit fortement encouragée, même lorsqu'il s'agit de durées de vie plus longues, de 397 jours, certaines organisations ont réussi à s'en sortir avec des stratégies de renouvellement manuelles. Cela représente certes une charge pour les services informatiques - et peut entraîner des coûts de main-d'œuvre nettement plus élevés et des risques accrus d'erreur humaine - mais cette approche était au moins quelque peu viable avec des durées de vie plus longues. Tout cela est sur le point de changer, cependant, et les organisations devront s'adapter rapidement aux nouveaux systèmes au fur et à mesure qu'elles adoptent l'automatisation.
Autre problème : les systèmes existants manquent souvent de compatibilité avec l'environnement de gestion automatisée des certificats (ACME). Ces systèmes peuvent être plus vulnérables à l'expiration des certificats et peuvent également être confrontés à une évolutivité limitée.
Des contraintes pour les petites entreprises et les organisations aux ressources limitées
Bien que les défis décrits ci-dessus puissent facilement toucher des organisations de toutes tailles et dans de nombreux secteurs, ces questions pourraient s'avérer particulièrement problématiques pour les petites entreprises - qui peuvent déjà être confrontées à des tensions dans leur département informatique. En l'absence d'automatisation du processus de gestion des certificats, les petites entreprises s'exposent à des interruptions et, par conséquent, à un large éventail de problèmes de sécurité qu'elles ne sont pas en mesure de résoudre.
Se préparer à des cycles de vie des certificats de 47 jours : le rôle de l'automatisation
À l'heure actuelle, la réduction de la durée de vie des certificats n'est pas une question de « si », mais de « quand ». Les organisations qui ne se préparent pas en conséquence risquent d'être confrontées à un monde d'ennuis lorsque des durées de vie réduites apparaîtront inévitablement. En fonction des stratégies actuelles, cet effort peut impliquer le passage à une gestion automatisée des certificats.
Importance de la gestion automatisée du cycle de vie des certificats
L'automatisation a un rôle important à jouer dans la résolution des problèmes administratifs et informatiques liés à la réduction de la durée de vie des certificats SSL. Les solutions de gestion automatisée du cycle de vie des certificats (CLM), en particulier, promettent de rationaliser les processus difficiles, offrant une alternative efficace aux processus manuels d'antan. ACME permet un renouvellement automatisé, mais la gestion de bout en bout du cycle de vie des certificats est cruciale, en particulier pour les environnements d'entreprise de demain.
Préparer votre infrastructure
Un certain travail préparatoire peut s'avérer nécessaire avant de mettre à niveau les solutions de gestion des certificats. Tout d'abord, déterminez si les systèmes actuels prennent en charge ACME et d'autres outils d'automatisation. Commencez à planifier les mises à niveau de l'infrastructure bien à l'avance, car leur mise en œuvre peut prendre du temps.
Mesures à prendre dès maintenant
Si les dates clés mentionnées ci-dessus peuvent sembler lointaines, le passage à des solutions automatisées peut prendre du temps. Il est important de commencer à planifier et à mettre en œuvre des stratégies dès maintenant pour faciliter la transition inévitable vers une durée de vie plus courte des certificats. Outre l'évaluation et la mise à niveau de l'infrastructure, il convient de suivre les étapes suivantes pour mieux se préparer à la réduction de la durée de validité des certificats :
Actions immédiates
Dans cet environnement numérique en constante évolution, il est évident que la gestion automatisée des certificats est indispensable. L'objectif est de réduire les tâches manuelles et de s'adapter aux flux de travail automatisés. Si l'automatisation ne fait pas encore partie du processus, il est temps de commencer à évaluer les solutions de gestion des certificats et de déterminer comment elles s'intègrent dans le tableau général de la sécurité de l'entreprise. Si l'automatisation est déjà en place, une action supplémentaire peut encore être nécessaire : auditer les systèmes actuels pour s'assurer qu'ils peuvent répondre aux exigences accrues résultant de périodes de validité plus courtes.
Planification à long terme
Alors que vous prenez des mesures immédiates pour vous adapter aux durées de vie limitées des certificats, n'oubliez pas la planification stratégique. Celle-ci peut déterminer la manière dont la gestion des certificats sera assurée non seulement au milieu des changements immédiats, mais aussi à long terme. Une planification solide devrait améliorer l'évolutivité et l'agilité tout en augmentant le retour sur investissement associé à la gestion automatisée des certificats.
Préparez-vous dès maintenant à des périodes de validité des certificats plus courtes avec Sectigo
Qu'il s'agisse de Google ou d'Apple, il est clair que des périodes de validité des certificats plus courtes sont à l'ordre du jour. Il est temps de s'y préparer, afin que l'évolution inévitable vers des durées de vie plus courtes ne crée pas un cauchemar administratif. Sectigo peut fournir des conseils puissants pour faciliter cette transition.
Sectigo Certificate Manager (SCM) automatise l'ensemble du cycle de vie des certificats SSL - de l'émission et de la découverte au déploiement et au renouvellement - en gérant facilement de grands volumes de certificats SSL/TLS. Grâce au tableau de bord centralisé de SCM, vous bénéficiez d'une visibilité en temps réel sur tous vos certificats, ce qui élimine les charges de travail manuelles et minimise le risque d'expirations inattendues.
Préparez-vous dès aujourd'hui à l'avenir de la gestion du cycle de vie des certificats en découvrant notre plate-forme SCM en action - demandez une démo ou commencez un essai gratuit.
Articles associés :
Durée de validité SSL de 47 jours : Impacts et préparation des entreprises