Les normes continuent d'évoluer et d'ici le 1ermai nous assisterons, une nouvelle fois, à la diminution de la durée de vie maximale pour les certificats SSL.
Pourquoi ? Quels sont les produits concernés ? Quelles conséquence pour les certificats déjà émis ?
Tout ce qu'il faut retenir est présent dans ce nouveau numéro de tbs news.
L'équipe de TBS INTERNET
DOSSIER CA/B FORUM : LE VOTE 193 SIGNE LA FIN DES CERTIFICATS 3 ANS
CA/B Forum ? Le CA/B Forum ou Certification Authority Browser Forum est un consortium d'autorités de certification et de navigateurs se réunissant pour édicter les règles entourant l'émission de certificats SSL.
Créé en 2005, le CA/B Forum est aujourd'hui à l'origine de la plupart des évolutions majeures de l'industrie.
Et l'objet du vote 193 ? Le vote 193 étudiait le projet de réduire la durée de vie des certificats SSL Domain Validation (DV) et Organization Validation (OV), la durée de vie des certificats Extended Validation (EV) étant déjà fixée à 2 ans maximum.
Pourquoi ? Simplement pour renouveler les audits de manière plus régulière et garantir une plus grande fiabilité des informations à long terme.
Et concrètement ?
Les documents probants pour l'audit auront une durée de vie maximale de 27 mois (soit 2 ans et 3 mois ou 825 jours)
Il ne sera plus possible d'émettre de certificat SSL valides plus de 27 mois (nouvelle commande, renouvellement ou refabrication)
Les certificats refabriqués et ayant une durée de vie restante de plus de 27 mois seront automatiquement tronqués
Il ne sera pas possible de refabriquer un certificat émis plus de 27 mois plus tôt
Quand prendront effet ces nouvelles règles ? Les autorités de certification seront obligées de se mettre en conformité au 1er mars 2018 cependant il est à parier que les CA prendront des mesures avant cette date (voir article suivant).
Quels sont les produits concernés ? Pour le moment, ces nouvelles règles s'appliqueront aux certificats SSL serveur uniquement. Les produits clients ne seront probablement pas impactés et les Code Signing (développeur) ne sont pas mentionnés.
UN PEU D'HISTOIRE... RAPPEL DES VOTES IMPORTANTS DU CA/B FORUM
Vote 22Fin de l'utilisation du 1024-bit pour la génération des clés
Vote 62Création des Baseline Requirements donnant un cadre formel aux règles régissant la fabrication des certificats SSL
Vote 98Les votes des membres du CA/B Forum deviennent publics
Vote 118Abandon de l'algorithme de hachage SHA1
1er mai : Fin des certificats valides 3 ans
Nous avons décidé de prendre un peu d'avance sur la fin prévue des certificats SSL valides 3 ans votée par le CA/B Forum (voir article ci-dessus). Au 1er mai 2017 ils auront disparu de notre catalogue.
Quels sont les produits concerné ? Tous les certificats SSL serveur à l'exception des produits émis par Certigna (ces derniers, ne pouvant être refabriqués que pendant les 3 mois suivant leur fabrication, seront moins touchés par cette mesure).
L'objectif ? Éviter le plus possible d'avoir à tronquer des certificats émis en 2017 lors de refabrication.
Et les certificats déjà émis ? Ces derniers ne devraient subir aucune conséquence liée à cette évolution.
⚠ INFO CA ⚠ Notez que GlobalSign, en pleine période d'adaptation, annonce des perturbations à prévoir lors des 2 prochains mois sur les demandes de refabrication.
Nouveau produit : Le GlobalSign HSM
Lorsque l'on parle de signature de documents, la demande varie peu : pouvoir automatiser la signature et générer des PDFs reconnu en standard par Adobe. C'est ce que propose le GlobalSign HSM.
Particularité : Remplaçant les produits CDS de l'autorité, ce certificat doit être installé sur un boitier HSM en interne ou sur un hébergement HSM fourni par GlobalSign.
Les certs développeur pour particuliers disparaissent
Les dernières normes concernant les certificats développeur (Code Signing) ont mis un terme à la commercialisation de ces certificats pour les particuliers. Seuls des professionnels enregistrés pourront se doter de ce type de produit.
Les auto-entreprises et professions libérales sont également impactées.
De nouveaux SANs pour le Comodo EV Multiple Sites
Nous distinguons désormais simples SANs de SANs de domaines pour les Comodo EV Multiple Sites et avons baissé, dans le même temps, le tarif des SANs standards.
Nous avons constaté que ces produits sécurisent généralement des FQDNs liés au même domaines. Objectif : une nouvelle catégorisation pour des coûts plus justes.
Un nouveau compte pour tbs internet
tbs internet a récemment mis en place un nouveau compte bancaire qui remplacera à terme l'actuel compte. Vous avez déjà pu le voir sur nos factures les plus récentes.
Il est encore possible d'utiliser "l'ancien" compte, mais notez que ce dernier est voué à disparaitre.