Apple annonçait la semaine dernière au consortium CA/Browser forum, qui rassemble à la fois les développeurs de navigateurs web et les autorités délivrant les certificats HTTPS, que son navigateur Safari refuserait à compter du 1er septembre prochain les certificats HTTPS trop longs. Une nouvelle date de “péremption” a ainsi été fixée par la firme à la pomme : 389 jours, c’est à dire 13 mois. En clair, les certificats délivrés avec une période de validité supérieure à ce délais ne seront tout simplement plus acceptés par Safari. Relativement minoritaire sur ordinateurs de bureau et portables (réservé aux Mac, le navigateur évolue par ailleurs dans l’ombre de Chrome), Safari est très utilisé sur smartphones et tablettes de part sa vocation de navigateur installé par défaut sur l’immense quantité d’iPhone et d’iPad en circulation. La décision d’Apple n’a donc rien d’anodine et pourrait contribuer à bousculer l’ordre établi en matière de certificats de sécurité.

Réduire les délais… pour déployer plus rapidement des nouveautés

Comme le souligne MacGeneration, une partie des certificats de sécurité accordés (les certificats payants, jugés plus sûrs par les navigateurs puisqu’ils impliquent une vérification approfondie de l’identifié du site demandeur) profitent d’une durée maximale de 825 jours. C’est ici qu’Apple veut agir en divisant cette durée de validité par un peu plus de deux sur son navigateur. Cette mesure ne concernerait cependant que les certificats créés à partir du 1er septembre, rapporte le site britannique The Register. Les certificats accordés avant cette date seront donc toujours pris en charge par Safari. Dans la même idée, les certificats gratuits, délivrés par Let’s Encrypt et nécessitant d’être renouvelés tous les trois mois, ne seront pas concernés non plus par la nouvelle politique d’Apple.

Au travers de cette mesure, l’objectif d’Apple est de permettre des transitions technologiques plus rapides. Réduire de moitié le temps maximum entre deux renouvellements de certificats est une bonne méthode pour parvenir à déployer plus rapidement d’éventuelles nouveautés. Notons qu’Apple arrive après Google sur cette initiative. En août dernier, la firme de Mountain View (également membre du consortium CA/Browser forum) avait déjà proposé de limiter les certificats à une durée d’un peu plus d’un an. Une proposition rejetée par le conseil, qu’Apple reprend aujourd’hui à son compte… quitte à se passer de l’avis des autres membres du collectif pour l’appliquer sur son navigateur maison. Rien de très surprenant de la part du groupe, habitué à ce genre d’opérations coup de poing.