tbs news #48 - Novembre 2024

LES TITRES

Éditorial Durée de vie des certificats SSL Petit tour des outils TBS Dossier / Disparition des produits Certigna Page de connexion DCV et WHOIS Horodatage eIDAS DCV Mél

Édito


Fin 2024, nous dirons définitivement au revoir aux produits Certigna et opérerons les dernières opérations de transition.

Il sera également temps de nous tourner vers 2025 et les challenges qui nous attendent, en particulier le sujet de la diminution durée de vie des certificats SSL et des conséquences à prévoir.

Vous découvrirez également, de nouvelles règles concernant les validations DCV, de nouveaux produits et bien plus encore !

L'équipe de TBS CERTIFICATS

thawte digicert Sectigo tbs x509 geotrust globalsign chambersign positiveSSL Harica

Durée de vie des certificats SSL - Calendrier en proposition

Finalement ce n'est pas Google mais Apple qui relance le sujet de la réduction de la durée des certificats SSL.

Le document de travail contient un calendrier reproduit ci-dessous. De fortes oppositions se sont exprimées et aucune proposition ne sera soumise au vote du CA/B Forum avant 2025.


  1. Depuis septembre 2020 la durée maximale des certificats SSL est de 398 jours, soit 1 an et 1 mois. Selon ce calendrier il serait possible d'émettre des certificats valides 398 jours jusqu'en septembre 2025.
  2. Ce délai pourrait être amené à 200 jours, soit à 6 mois et 1 semaine pour les certificats émis entre septembre 2025 et septembre 2026.
  3. une nouvelle baisse pourrait être envisagée pour atteindre 100 jours, soit 3 mois et 10 jours.
  4. en 2027 une réduction supplémentaire pour atteindre 45 jours.
  5. enfin, fin 2027 le délai maximal serait de 10 jours. Ce jalon devrait être le dernier.

Petit tour des outils à votre disposition

Pour rappel, nous avons développé de nombreux outils permettant de faciliter et d'accélérer le traitement de vos demandes de certificats, ainsi que d'autres visant à automatiser certaines opérations.

La plupart de ces outils sont disponibles depuis les espaces client, n'hésitez pas à les tester et à les utiliser !
Outils d'automatisation

TBSCertBot
TBSCertBot est un outil en ligne de commande vous permettant de gérer vos demandes de certificats et d’exécuter des scripts d’installation.

Monitoring
Cet outil vous permet de vérifier à livraison puis périodiquement la bonne installation de vos certificats sur vos serveurs accessibles sur internet.

ACME
L'offre ACME de DigiCert vous permet d'utiliser le client ACME tiers de votre choix pour automatiser l’obtention de vos certificats.

Renouvellement & refabrication automatiques
Le dépôt de vos demandes est effectué de manière automatique avant expiration du certificat à renouveler ou à refabriquer dans le cas d'un forfait.
Préparation de commande

Pré-validation
Utilisé par DigiCert et Sectigo, le mécanisme de pré-validation permet de mettre en place des automatismes pour le traitement de vos demandes de certificats.

Domaines DigiCert
Gérez vos domaines ou soumettez-en de nouveaux à DigiCert en préparation de commande : CAA, DCV, verrouillage...

dossier (partie 2) // LA FIN D'UNE COLLABORATION
LES PRODUITS CERTIGNA QUI QUITTENT LE CATALOGUE EN DÉCEMBRE


Nous vous annoncions début septembre le fin de notre collaboration avec Certigna au 31 décembre 2024.

Fin septembre la première phase de transition était amorcée avec la suppression de notre catalogue des produits serveur et de certains cachets de l'autorité.

Et ensuite ?
En décembre ce sont tous les produits restants qui seront supprimés de notre catalogue :
  • Certigna Cachet Signature eIDAS
  • Certigna Cachet Signature eIDAS
  • Certigna Chiffrement RGS*
  • Certigna ID RGS*
  • Certigna ID RGS**
  • Certigna pack horodatage

Quand ?
Le retrait sera effectif le 20 décembre. Cela laissera le temps suffisant aux dossiers déposés avant la date butoir d'être traités et livrés.

Que se passera-t-il pour les dossiers non livrés au 31 décembre ?
Ces derniers seront automatiquement annulés car nous seront alors dans l'incapacité de les livrer.
Rappel : Les certificats SSL RGS ont été remplacés dans notre cataloque par des certificats QWAC (Qualified Website Authentication Certificate). Ces certificats sont utilisés pour authentifier les sites web et sécuriser les communications en ligne. Ils sont eIDAS qualifié.

‣ Pourquoi remplacer le SSL RGS* par du QWAC ?

Proposerez-vous des produits de remplacement ?
Oui. Chaque certificat sera remplacé par un équivalent chez ChamberSign (pour la norme RGS) ou Harica (pour la norme eIDAS).

Lors du renouvellement de vos produits, vous serez automatiquement redirigés vers le produit de remplacement.

Quelles différences en terme d'audit ?
Tout dépendra du produit de remplacement. Chez ChamberSign par exemple, le face à face est gratuit et a lieu dans l'une des CCI du réseau.


‣ Tout savoir sur la situation

Page de connexion


Le design de la page d'accès à votre espace client a récemment été complètement revue.

Un espace clair, épuré et une utilisation simplifiée pour les connections 2-facteur et WebAuthn notamment.

‣  Ouvrir un compte

DCV et WHOIS


Jusqu'à présent, la validation DCV par mél permettait l'utilisation d'une liste d'adresses liées aux domaines à sécuriser et d'adresses présentes dans l'enregistrement du domaine (WHOIS).

Or, certaines autorités de certification souhaitent proposer au CA/B Forum d’interdire l'utilisation des adresses méls trouvées au WHOIS lors de la validation DCV.

Il faut donc s'attendre, et se préparer, à une interdiction dans les prochaines semaines.

Horodatage eIDAS


Il y a quelques temps, nous vous présentions le Harica Cachet eIDAS qualifié sur HSM. Ce certificat, disponible via une API en mode SAAS, vous permet de cacheter vos PDFs (entre autres) de manière automatique.

Aujourd'hui nous complétons l'offre avec des jetons d'horodatage qualifié.

Disponibles par lots de 1000 ou en illimité ils pourront, couplés au Cachet Signature eIDAS qualifié de l'autorité, être utilisés pour générer des factures PDF à valeur fiscale.

DCV Mél


Fin 2018, le CA/B Forum votait une nouvelle option pour la validation du challenge DCV. Il est depuis possible de renseigner une adresse mél directement dans la configuration DNS avec un enregistrement TXT. Cette adresse peut alors être utilisée pour l'envoi du challenge DCV.

Cette méthode est désormais prête à être utilisée pour l'obtention de certificats GlobalSign et sera mise disposition dans les semaines à venir pour les certificats DigiCert (DigiCert, Thawte et Geotrust).

ET TOUJOURS DE NOMBREUX SERVICES DISPONIBLES EN LIGNE
CopiBot
Êtes-vous certain de la bonne installation de vos certificats serveur ? Faites le test maintenant !
Assistants
Un peu perdu ? ils vous aideront dans le choix de vos certificats serveur, client ou solutions PKI !
Foire aux questions
1 300 pages de conseils et d'infos techniques !
TBSCertBot
L'outil en ligne de commande pour la gestion de vos commandes de certificats.
TBS CERTIFICATS - 22 rue de Bretagne, 14000 Caen - marc.hello@tbs-certificats.com - Tél : 0805 696 344 (Appel gratuit depuis un poste fixe en France)
Si vous ne souhaitez plus recevoir cette newsletter rendez-vous sur votre page statut ou cliquez ici