Mercredi dernier, à l’occasion de la 49e rencontre du Certification Authority Browser Forum en Slovakie, Apple a unilatéralement décidé de ne plus reconnaître comme valide, à partir du premier septembre 2020, tout nouveau certificat TLS dont la durée de validité dépasse 398 jours, pour son navigateur Safari.
La validité des certificats en cours n’est pas remise en question, du moment qu’elle ne dépasse 825 jours.
Si l’entreprise californienne justifie sa décision par la ‘protection des utilisateurs’, elle nous semble regrettable.
Comme Safari est utilisé sur tous les appareils Apple, toute entreprise ne pouvant faire l’impasse sur 1 milliard d’utilisateurs ou de clients potentiels, devra se plier au diktat unilatéral.
Et donc modifier et renouveler plus souvent leurs certificats. Or le non-renouvellement à temps des certificats est déjà l’une des causes principales d’interruption de services en ligne.
Il est vrai toutefois que, quand un certificat est compromis, une durée courte de validité occasionne moins de travail pour les éditeurs de navigateurs et est plus sûre.
Le succès d’internet s’est basé sur des standards adoptés universellement. Que va-t-il se passer si chaque entreprise de technologie décide d’appliquer ses propres standards ?
D’autant qu’en août 2019, Google avait déjà demandé un vote afin d’abaisser la validité maximale d’un certificat à un an, et qu’après consultations avec leurs clients, les autorités de certification avaient rejeté cette demande.