Durée de validité SSL de 47 jours : Impacts et préparation des entreprises

Les entreprises doivent s'adapter aux nouvelles exigences en matière de sécurité pour protéger leurs activités et leurs clients. L'un de ces changements importants est la récente proposition d'Apple au sein du CA/Browser Forum (CA/B Forum) visant à réduire la période de validité maximale des certificats SSL/TLS de 398 jours à 47 jours seulement. Parrainée par Sectigo, la proposition présente un plan visant à réduire progressivement la durée maximale des certificats SSL/TLS publics à seulement 47 jours d'ici mars 2028. Le bulletin de vote propose également de réduire la période de réutilisation de la validation du contrôle du domaine (DCV), pour finalement atteindre une limite de 10 jours également d'ici mars 2028.

Cette mise à jour fait suite à la proposition précédente d'Apple, en octobre 2024, de réduire progressivement la durée de vie des certificats à 45 jours d'ici à 2027. Bien que le raccourcissement du cycle de vie des certificats ne soit pas encore obligatoire, la proposition de réduction à 47 jours signale un changement auquel les entreprises doivent se préparer. Voici ce que cela signifie pour le secteur, l'impact que cela aura et comment les organisations peuvent garder une longueur d'avance.

Qu'est-ce que la proposition de certificat de 47 jours ?

Historiquement, les certificats SSL/TLS avaient une période de validité pouvant aller jusqu'à dix ans avant 2012, qui a ensuite été réduite à trois ans, puis à deux ans, et enfin à un an (398 jours) en 2020. La durée de vie proposée de 47 jours constituerait un changement important, destiné à renforcer la sécurité en ligne en permettant des réponses plus rapides aux menaces émergentes et en limitant les risques potentiels associés à des certificats compromis. La réduction constante de la durée de vie des certificats reflète un changement substantiel dans l'approche du secteur en matière de confiance et de résilience numériques.

La motivation première de ce changement est le renforcement de la sécurité. Des cycles de vie des certificats plus courts réduisent le temps dont disposent les attaquants pour exploiter les vulnérabilités potentielles ; lorsque les certificats restent valides pendant de longues périodes, ils sont plus susceptibles d'être compromis sans être détectés, ce qui pose de sérieux risques. En ramenant la durée de validité des certificats à 47 jours, les entreprises seraient tenues de mettre à jour et de revalider leurs certificats plus fréquemment, ce qui réduirait le délai pendant lequel un pirate pourrait tirer parti d'un certificat compromis.

Un autre facteur clé de cette proposition est la nécessité d'encourager l'automatisation de la gestion des certificats. La durée de vie des certificats étant de plus en plus courte, l'automatisation passe du statut de commodité à celui de pratique essentielle pour les organisations. Avec une durée de vie de 47 jours, les entreprises devront automatiser leurs processus de renouvellement des certificats, car les méthodes de renouvellement manuel qui suffisaient pour des périodes plus longues ne seront plus réalisables. L'accent mis sur l'automatisation est donc un aspect central de la proposition d'Apple.

Qu'est-ce que cela signifie pour l'industrie ?

La période de 47 jours proposée pour les certificats a plusieurs conséquences pour le secteur, notamment en ce qui concerne l'augmentation de la charge administrative pour les entreprises qui dépendent encore de processus de renouvellement de certificats manuels ou semi-automatisés. Les renouvellements devenant plus fréquents, les entreprises devront adopter des systèmes et des processus plus efficaces pour éviter les interruptions de service. Cette évolution nécessite une réévaluation des pratiques actuelles, de nombreuses organisations étant susceptibles d'être confrontées à une charge administrative plus lourde si elles n'adaptent pas leurs systèmes en conséquence.

En outre, ce changement poussera l'industrie vers une plus grande automatisation et des déploiements sans contact. Des solutions d'automatisation robustes deviennent essentielles pour gérer efficacement les tâches liées aux certificats, telles que le déploiement, la surveillance, le renouvellement et les mises à jour, sans qu'aucune intervention manuelle ne soit nécessaire. Les entreprises adopteront de plus en plus des outils avancés de gestion du cycle de vie des certificats (CLM), comme le protocole ACME (Automatic Certificate Management Environment), pour rationaliser ces processus. Cette évolution pourrait également inciter les autorités de certification (AC) à ajuster leurs offres, en introduisant éventuellement de nouvelles capacités API et de nouveaux services qui prennent en charge les renouvellements automatisés et facilitent l'intégration dans les pipelines CI/CD (intégration continue/déploiement continu).

Mises à jour du forum CA/B et de la proposition d'Apple

La proposition d'Apple a suscité d'importantes discussions au sein du CA/B Forum, l'organisme de réglementation du secteur qui supervise les normes de certification. Apple, ainsi que d'autres grands fournisseurs de navigateurs comme Google, ont plaidé en faveur d'une réduction de la durée de vie des certificats afin d'améliorer la sécurité de l'internet. Voici un résumé des principales mises à jour :

• Apple prône la réduction de la durée de vie des certificats : Apple a été l'un des plus ardents défenseurs de la réduction de la durée de vie des certificats. La période de 47 jours proposée est considérée comme une progression logique après la réduction à 398 jours. Apple soutient que des certificats plus courts favoriseront une meilleure hygiène de sécurité et obligeront l'industrie à moderniser ses pratiques, notamment en ce qui concerne l'automatisation.

• L'industrie divisée: Si certains acteurs du secteur sont d'accord avec la proposition d'Apple, d'autres estiment qu'une période de validité aussi courte pourrait être contraignante pour les entreprises qui n'ont pas encore entièrement automatisé la gestion de leurs certificats. Sectigo soutient fermement la réduction de la durée de validité des certificats et a même parrainé le vote.
• Aucune date de mise en œuvre: Bien que la proposition ait gagné du terrain, elle n'a pas encore été adoptée en tant qu'exigence. Les entreprises ont donc le temps de se préparer, mais il est clair que la tendance est au raccourcissement des périodes de validité. Les entreprises qui commencent à s'adapter dès maintenant seront en meilleure position lorsque la nouvelle règle sera appliquée.

Comment les entreprises se préparent-elles ?

Étant donné la probabilité que le cycle de vie des certificats de 47 jours devienne une norme industrielle, les entreprises doivent commencer à se préparer dès maintenant. Voici quelques mesures que les entreprises peuvent prendre pour créer un plan de préparation :

• Investir dans des outils d'automatisation: Si votre entreprise n'utilise pas encore de solutions CLM automatisées, il est temps d'investir dans des outils qui prennent en charge l'ACME ou des protocoles similaires. Ces outils peuvent gérer l'ensemble du cycle de vie d'un certificat - émission, surveillance, renouvellement et révocation - sans intervention manuelle. L'automatisation réduit le risque d'expiration des certificats, garantissant ainsi une disponibilité et une sécurité continues.

• Évaluez votre infrastructure de certificats existante: Examinez l'état actuel de votre infrastructure de certificats et identifiez les domaines qui nécessitent une modernisation. Les entreprises devraient procéder à un audit complet afin de déterminer le nombre de certificats dont elles disposent, l'endroit où ils sont utilisés et si elles ont la capacité de prendre en charge le renouvellement automatisé.

• Mettre en œuvre des systèmes de gestion centralisés: Les systèmes de gestion centralisée des certificats permettent aux équipes informatiques de superviser tous les certificats en un seul endroit, offrant ainsi une meilleure visibilité et un meilleur contrôle. Cette approche simplifie le processus de renouvellement et garantit qu'aucun certificat ne passe inaperçu.

• Sensibilisez et formez votre équipe: Le passage à un cycle de vie des certificats de 47 jours exige de nouvelles compétences de la part des équipes informatiques. Investissez dans des programmes de formation pour vous assurer que votre personnel comprend les outils d'automatisation et les pratiques nécessaires pour gérer efficacement les durées de vie plus courtes des certificats.

Perspectives d'avenir

La proposition d'un cycle de vie des certificats de 47 jours reflète la volonté du secteur de renforcer la sécurité et l'automatisation. Même si ce changement n'est pas encore obligatoire, les entreprises devraient commencer à s'y préparer dès maintenant. En investissant dans des outils d'automatisation, en centralisant la gestion des certificats et en formant les équipes, les entreprises peuvent prendre de l'avance et minimiser les risques liés à la réduction de la durée de vie des certificats. Cette approche proactive garantit non seulement la conformité aux normes émergentes, mais renforce également la sécurité et la fiabilité des opérations commerciales dans un monde de plus en plus numérique.