Safari rejette les nouveaux certificats de sécurité SSL valables plus de 13 mois

Apple a annoncé que son navigateur Safari n’acceptera plus les nouveaux certificats de sécurité SSL HTTPS qui expirent plus de 13 mois après sa date de création.

À partir du 1er septembre, tout nouveau certificat de site Web valable plus de 398 jours ne sera pas approuvé par le navigateur Safari et sera rejeté. Cependant, les anciens certificats émis avant cette date limite par Apple, ne seront pas affectés.

Cela créera une pression supplémentaire sur les développeurs de sites Web, car ils doivent maintenant s’assurer absolument que leurs pages Web répondent aux nouvelles exigences de la politique de certificat de sécurité SSL, sinon cela se traduira par un plantage de leurs sites Web sur tous les navigateurs Safari des appareils iOS et macOS.

Le but de cette politique est de s’assurer que les sites Web utilisent les dernières normes cryptographiques, ce qui améliorera la sécurité des sites Web. Cependant, cette politique de Safari raccourcissant la durée de vie des certificats de sécurité HTTPS a son propre côté négatif car cela rendra le travail des propriétaires de sites Web un peu difficile d’avoir à faire l’acquisition de nouveaux certificats de temps en temps.

Même Firefox est dans la même ligue d’éradication de la norme HTTPS faible en la bloquant dans TLS 1.0, 1.1.

Aucun commentaire officiel n’a été fait au nom d’Apple concernant cette nouvelle politique, mais Dead Coclin de Digicert a publié une note de service sur cette nouvelle politique qui se lit comme suit: «Leur porte-parole a déclaré que c’était pour« protéger les utilisateurs ». Nous savons, lors des discussions précédentes du forum CA / B, que des durées de vie plus longues des certificats se sont avérées difficiles à remplacer en cas d’incident majeur de sécurité. Apple veut clairement éviter un écosystème qui ne peut pas répondre rapidement aux principales menaces liées aux certificats. »

Il a en outre ajouté: «Les certificats de courte durée améliorent la sécurité car ils réduisent la fenêtre d’exposition si un certificat TLS est compromis. Ils aident également à remédier au taux de désabonnement opérationnel normal au sein des organisations en assurant des mises à jour annuelles de l’identité, telles que les noms de société, les adresses et les domaines actifs. Comme pour toute amélioration, le raccourcissement des durées de vie doit être mis en balance avec les difficultés requises des utilisateurs de certificats pour mettre en œuvre ces changements. »