Branle-bas de combat pour les autorités de certification qui voient depuis aujourd’hui les règles de validité des certificats TLS et SSL changer. En effet, jusqu’au 1er septembre, les certificats de sécurité étaient valables pendant deux ans. A partir de cette date, ils seront valables pour un maximum de 397 jours soit 13 mois. A noter que cette disposition ne concernera que les certificats émis à partir de septembre 2020, les certificats émis avant cette date pour deux ans seront pour leur part toujours valables jusqu’à leur expiration.
Cette décision entérine une orientation prise depuis quelques temps par les géants de l’IT comme Apple, Google et Mozilla. Le premier à avoir dégainé est la firme de Cupertino en mars dernier en décidant de limiter la validité des certificats à 398 jours. Mozilla et Google ont suivi en juillet dernier et Microsoft a enfoncé le clou récemment. Un vent de changement imposé à la hussarde contre l’avis des autorités de certification, réunies au sein de l’association CA/Browser Forum.
Pour expliquer cette évolution, les experts en sécurité et les développeurs de navigateurs estiment que réduire la durée de validité des certificats TLS/SSL renforce la sécurité et évite que des utilisateurs non autorisés ne puissent les utiliser trop longtemps. Par ailleurs, ce raccourcissement facilitera les changements en cas de découverte de failles dans les algorithmes de chiffrement. Il empêchera les hébergeurs ou les tiers d’utiliser un certificat longtemps après qu’un domaine soit devenu inactif ou lors d’un changement d’hébergeur.