Fin 2024, nous dirons définitivement au revoir aux produits Certigna et opérerons les dernières opérations de transition.
Il sera également temps de nous tourner vers 2025 et les challenges qui nous attendent,
en particulier le sujet de la diminution durée de vie des certificats SSL et des conséquences à prévoir.
Vous découvrirez également, de nouvelles règles concernant les validations DCV, de nouveaux produits et bien plus encore !
L'équipe de TBS CERTIFICATS
Durée de vie des certificats SSL - Calendrier en proposition
Finalement ce n'est pas Google mais Apple qui relance le sujet de la réduction de la durée des certificats SSL.
Le document de travail contient un calendrier reproduit ci-dessous. De fortes oppositions se sont exprimées et aucune proposition ne sera soumise au vote du CA/B Forum avant 2025.
Depuis septembre 2020 la durée maximale des certificats SSL est de 398 jours, soit 1 an et 1 mois.
Selon ce calendrier il serait possible d'émettre des certificats valides 398 jours jusqu'en septembre 2025.
Ce délai pourrait être amené à 200 jours, soit à 6 mois et 1 semaine pour les certificats émis entre septembre 2025 et septembre 2026.
une nouvelle baisse pourrait être envisagée pour atteindre 100 jours, soit 3 mois et 10 jours.
en 2027 une réduction supplémentaire pour atteindre 45 jours.
enfin, fin 2027 le délai maximal serait de 10 jours. Ce jalon devrait être le dernier.
Petit tour des outils à votre disposition
Pour rappel, nous avons développé de nombreux outils permettant de faciliter et d'accélérer
le traitement de vos demandes de certificats, ainsi que d'autres visant à automatiser certaines opérations.
La plupart de ces outils sont disponibles depuis les espaces client, n'hésitez pas à les tester et à les utiliser !
Outils d'automatisation
TBSCertBot TBSCertBot est un outil en ligne de commande vous permettant de gérer vos demandes de certificats et d’exécuter des scripts d’installation.
Monitoring Cet outil vous permet de vérifier à livraison puis périodiquement la bonne installation de vos certificats sur vos serveurs accessibles sur internet.
ACME L'offre ACME de DigiCert vous permet d'utiliser le client ACME tiers de votre choix pour automatiser l’obtention de vos certificats.
Renouvellement & refabrication automatiques Le dépôt de vos demandes est effectué de manière automatique avant
expiration du certificat à renouveler ou à refabriquer dans le cas d'un forfait.
Préparation de commande
Pré-validation Utilisé par DigiCert et Sectigo, le mécanisme de pré-validation permet de mettre en place des automatismes pour le traitement de vos demandes de certificats.
Domaines DigiCert Gérez vos domaines ou soumettez-en de nouveaux à DigiCert en préparation de commande : CAA, DCV, verrouillage...
dossier (partie 2) // LA FIN D'UNE COLLABORATION LES PRODUITS CERTIGNA QUI QUITTENT LE CATALOGUE EN DÉCEMBRE
Nous vous annoncions début septembre le fin de notre collaboration avec Certigna au 31 décembre 2024.
Fin septembre la première phase de transition était amorcée avec la suppression de notre catalogue des
produits serveur et de certains cachets de l'autorité.
Et ensuite ? En décembre ce sont tous les produits restants qui seront supprimés de notre catalogue :
Certigna Cachet Signature eIDAS
Certigna Cachet Signature eIDAS
Certigna Chiffrement RGS*
Certigna ID RGS*
Certigna ID RGS**
Certigna pack horodatage
Quand ? Le retrait sera effectif le 20 décembre. Cela laissera le temps suffisant aux dossiers déposés avant la date butoir d'être traités et livrés.
Que se passera-t-il pour les dossiers non livrés au 31 décembre ? Ces derniers seront automatiquement annulés car nous seront alors dans l'incapacité de les livrer.
Rappel : Les certificats SSL RGS ont été remplacés dans notre cataloque par des certificats QWAC (Qualified Website Authentication Certificate).
Ces certificats sont utilisés pour authentifier les sites web et sécuriser
les communications en ligne. Ils sont eIDAS qualifié.
Proposerez-vous des produits de remplacement ? Oui. Chaque certificat sera remplacé par un équivalent chez ChamberSign (pour la norme RGS) ou Harica (pour la norme eIDAS).
Lors du renouvellement de vos produits, vous serez automatiquement redirigés vers le produit de remplacement.
Quelles différences en terme d'audit ? Tout dépendra du produit de remplacement. Chez ChamberSign par exemple, le face à face est gratuit et a lieu dans l'une des CCI du réseau.
Jusqu'à présent, la validation DCV par mél permettait l'utilisation d'une liste d'adresses liées aux domaines à sécuriser
et d'adresses présentes dans l'enregistrement du domaine (WHOIS).
Or, certaines autorités de certification souhaitent proposer au CA/B Forum d’interdire l'utilisation des adresses méls trouvées au WHOIS lors de la validation DCV.
Il faut donc s'attendre, et se préparer, à une interdiction dans les prochaines semaines.
Il y a quelques temps, nous vous présentions le Harica Cachet eIDAS qualifié sur HSM.
Ce certificat, disponible via une API en mode SAAS, vous permet de cacheter vos PDFs (entre autres) de manière automatique.
Aujourd'hui nous complétons l'offre avec des jetons d'horodatage qualifié.
Disponibles par lots de 1000 ou en illimité ils pourront, couplés au Cachet Signature eIDAS qualifié de l'autorité, être utilisés pour générer des factures PDF à valeur fiscale.
Fin 2018, le CA/B Forum votait une nouvelle option pour la validation du challenge DCV.
Il est depuis possible de renseigner une adresse mél directement dans la configuration DNS avec un enregistrement TXT.
Cette adresse peut alors être utilisée pour l'envoi du challenge DCV.
Cette méthode est désormais prête à être utilisée pour l'obtention de certificats GlobalSign et sera mise disposition dans
les semaines à venir pour les certificats DigiCert (DigiCert, Thawte et Geotrust).