20221006 - Mozilla fait évoluer sa politique de gestion de racine
Mozilla a récemment annoncé un changement dans sa politique de gestion de racine. Cette dernière détermine si une racine peut être utilisée, ou non, par les navigateurs de la firme.
Les racines ne respectant pas cette politique sont déréférencées.
Le cycle de vie d'une racine
Mozilla a choisi de limiter la durée d'utilisation d'une racine à 10 ans. Par cette décision, Mozilla espère participer à la progression de l'informatique et faciliter la transition vers de meilleurs algorithmes.
Cela est également justifié par le fait que de vieilles racines peuvent être non conformes car créées par des technologies dépassées sur la base de politiques caduques et de pratiques plus en cours aujourd'hui.
Les conséquences
Cette décision va, à terme, mener à la suppression des racines de plus de 15 ans des magasins des navigateurs de Mozilla à partir de 2025 selon un calendrier précis :
Date de création de la racine | Date de suppression de la racine |
---|---|
avant 2006 | 15 Avril 2025 |
entre 2006 et 2007 | 15 Avril 2026 |
entre 2008 et 2009 | 15 Avril 2027 |
entre 2010 et 2011 | 15 Avril 2028 |
entre 2012 et le 14 avril 2014 | 15 Avril 2029 |
après le 15 avril 2014 | 15 ans après création |
Cas des certificats S/MIME
Les même règles s'appliquent pour les racines S/MIME à la différence qu'elles pourront être utilisées pendant 18 ans.
Un calendrier spécifique a également été mis en place. Il débutera en 2028 :
Date de création de la racine | Date de suppression de la racine |
---|---|
avant 2006 | 15 Avril 2028 |
entre 2006 et 2007 | 15 Avril 2029 |
entre 2008 et 2009 | 15 Avril 2030 |
entre 2010 et 2011 | 15 Avril 2031 |
entre 2012 et le 14 avril 2014 | 15 Avril 2032 |
après le 15 avril 2014 | 18 ans après création |
Pourquoi 15 ans ?
Faire référencer une racine est un processus long qui prend, en moyenne, 2 à 3 ans. Il faut ajouter à cela une période de transition des anciennes racines vers les nouvelles. 15 ans équivaut donc à 10 ans d'utilisation réelle une fois la racine référencée et prête à être utilisée.
Quel impact pour vos certificats ?
Une racine ancienne est souvent largement diffusée et offre donc une meilleur reconnaissance des certificats par les navigateurs. Passer sur une racine plus jeune va fatalement impacter le taux de reconnaissance des certificats SSL.
Tous les certificats serveurs DV, OV et EV émis sur une racine SHA1 sont concernés.
Liste des racines concernées
Nom de la racine | Date de suppression de la racine |
---|---|
Sectigo AAA Certificate Services | 15 avril 2025 |
GlobalSign Root CA | 15 avril 2025 |
DigiCert Assured ID Root CA | 15 avril 2026 |
DigiCert Global Root CA | 15 avril 2026 |
DigiCert High Assurance EV Root CA | 15 avril 2026 |