Modifications des exigences de base

39 mois de validité maximum pour les certificats : avril 2015

Exigence : à partir du 1er avril 2015, les certificats auront une validité maximum limitée à trente-neuf mois.

Dates importantes à venir :

  • 30 mars 2015 : GlobalSign ne fournira plus de certificats d'une validité de quatre ou cinq ans. La validité des certificats sera limitée à trente-neuf mois afin de se conformer aux exigences de base du CA/B Forum.

  • 30 mars 2015 : la période de validité d'un certificat réémis sera limitée à trente-neuf mois. Cela s'appliquera également à la réémission des certificats dont le nombre de noms de domaines aura été modifié.

Remarque :

Les personnes qui achètent aujourd'hui des certificats d'une validité de quatre ou cinq ans seront affectées en cas de réémission. Si un certificat d'une validité de plus de trente-neuf mois est réémis après le mois d'avril 2015, sa période de validité sera raccourcie, car la réémission n'est possible que pendant les trente-neuf premiers mois de sa validité. A l’heure actuelle, le système de commande de GlobalSign alerte les utilisateurs de ces changements à venir s'ils décident d'acheter un certificat d'une validité de quatre ou cinq ans.

Recommendations :

GlobalSign vous recommande fortement de ne pas émettre de certificat d'une validité de quatre ou cinq ans. Si vous êtes un partenaire de GlobalSign, nous vous encourageons à revendre des certificats d'une validité de un à trois ans et de décourager l'utilisation de certificats de quatre ou cinq ans, afin de garantir la satisfaction de vos clients et éviter qu'ils ne reçoivent des certificats d'une période de validité plus courte que celle de leurs certificats précédents.

39 mois de validité maximum des informations de vérification : avril 2015

Exigence : à partir du 1er avril 2015, les données utilisées pour vérifier les informations d'un certificat ne seront valides que pour trente-neuf mois (cela s'applique à l'émission et la réémission). Lorsqu'un certificat est émis, les données utilisées pour son émission (vérification de l'organisation et contrôle du nom de domaine) devront avoir moins de trente-neuf mois. Si les données sont plus anciennes que trente-neuf mois, elles devront être revérifiées avant l'émission du nouveau certificat.

Dates importantes à venir :

30 mars 2015 : GlobalSign limitera la période de validité des certificats réémis aux trente-neuf premiers mois de leur validité afin de se conformer aux exigences de base du CA B Forum.

Remarque :

Les personnes qui achètent aujourd'hui des certificats d'une validité de quatre ou cinq ans seront affectées en cas de réémission de leurs certificats. Si un certificat d'une validité de plus de trente-neuf mois est réémis après le mois d'avril 2015, sa période de validité sera raccourcie, car la réémission n'est possible que pendant les trente-neuf premiers mois de sa validité. A l’heure actuelle, le système de commande de GlobalSign alerte les utilisateurs de ces changements à venir s'ils décident d'acheter un certificat d'une validité de quatre ou cinq ans.

Recommendations :

GlobalSign vous recommande fortement de ne pas émettre de certificat d'une validité de quatre ou cinq ans. Si vous êtes un partenaire de GlobalSign, nous vous encourageons à revendre des certificats d'une validité de un à trois ans et de décourager l'utilisation de certificats de quatre ou cinq ans, afin de garantir la satisfaction de vos clients et éviter qu'ils ne reçoivent des certificats d'une période de validité plus courte que celle de leurs certificats précédents.

Dépréciation des noms de serveur interne : novembre 2015

Exigence : le 22 novembre 2011, le CA/B Forum exposait ces grandes lignes de ses exigences de base : « les Autorités de Certification devront cesser d'émettre des certificats dont la date d'expiration s'étendra au-delà du 1er novembre 2015 et contenant une adresse IP réservée ou un nom de serveur interne dans les champs nom de domaine ou sous-domaine. A compter du 1er octobre 2016, les Autorités de Certification devront révoquer tous les certificats valides contenant une adresse IP réservée ou un nom de serveur interne dans les champs nom de domaine ou sous-domaine. »

Dates importantes à venir :

26 octobre 2015 : GlobalSign stops issuing certificates with internal Names in the CN or SAN

01 octobre 2016 : CAs shall revoke all unexpired Certificates whose subjectAlternativeName extension of Subject common Name field contains a Reserved IP Address or Internal Name

Recommendations :

Pour davantage d'information sur cette exigence de base, veuillez visiter : https://support.globalsign.com/customer/portal/articles/1467819

Dépréciation de SHA-1 : janvier 2017

Exigence : à partir du 1er janvier 2017, Microsoft ne reconnaîtra plus les certificats SHA-1 émis depuis une racine publique. Cela s'appliquera à tous les certificats SSL, les certificats de signature de code et d'identité, et les certificats d'AC (à l'exception des certificats d'AC racine) émis depuis une racine de confiance publique. Bien que le CA/B Forum n'ait pas encore spécifié dans ses exigences de base l'utilisation obligatoire du chiffrement SHA-256, GlobalSign a déjà pris la décision de soutenir la décision initiée par Microsoft.

A l'heure actuelle, les membres du CA/B Forum discutent de nouvelles exigences de bases qui s'aligneront sur les politiques de Microsoft et de Google qui interdiront les certificats SSL SHA-1 valides au-delà du 31 décembre 2016. La date prévue d'entrée en vigueur de ces nouvelles exigences est le 16 janvier 2015. GlobalSign continue de participer aux discussions du secteur et annoncera tout changement rendu publique, afin de tenir nos clients informés de chaque changement important.

Dates importantes à venir :

  • 17 novembre 2014 : la période de validité maximum des certificats SSL SHA-1 de GlobalSign sera raccourcie de trois à un an.

  • 19 décembre 2015* : GlobalSign cessera d'émettre ou réémettre des certificats utilisant l'algorithme de hachage SHA-1.

  • Janvier 2017*: GlobalSign will no longer re-issue SHA-1 Certificates.

  • Janvier 2017*: Microsoft cessera de reconnaître les certificats SSL utilisant SHA-1

  • *Dans le cas où Microsoft changerait sa date de janvier 2017, GlobalSign se réserve le droit de réviser ses propres dates.

Changements à venir de Google et Mozilla

Calendrier Google

Le navigateur Chrome/ Chromium de Google réagira de façon différente selon la version et la date d'expiration du certificat SSL. Veuillez noter que Chromium 41 indiquera que les certificats SSL SHA-1 valides au-delà du 1er janvier 2016 ne sont pas fiables. Notre expérience nous permet d'estimer que Chrome 41 sera disponible le 10 février 2015.

Pour plus d'informations, veuillez lire le blog de GlobalSign : Google affichera bientôt des messages d'alerte sur tous les sites sécurisés par un certificat SSL SHA-1.

Calendrier Mozilla

Le calendrier de Mozilla dépend également des dates d'expiration des certificats et il est davantage aligné avec le calendrier de Microsoft. Veuillez noter qu'après le 1er janvier 2017, Firefox ne reconnaîtra plus les certificats SHA-1.

  • Expiration du certificat après le 1er janvier 2017: message d'alerte affiché sur Firefox.

  • Expiration du certificat après le 1er janvier 2016: message d'alerte de « connexion non-sécurisée » affiché sur Firefox.

Pour plus d'informations, veuillez lire le blog de GlobalSign : SHA-1 : Mozilla affiche à son tour des alertes de sécurité.

Remarque :

Nous conseillons aux utilisateurs de se procurer des certificats SHA-256 et de vérifier qu'il n'y a aucun problème avec leur client web ou leur système. Si un certificat SHA-256 ne convient pas à vos besoins, vous pouvez le réémettre avec l'algorithme SHA-1.

Recommendations :

Pour davantage d'informations sur la migration vers l'algorithme SHA-256 et pour vérifier que vos serveurs et applications sont compatibles, veuillez visiter :
https://support.globalsign.com/customer/portal/articles/1447169+

Transparence des certificats (RFC 6962)

Exigence : à partir du 1er février 2015, Google Chrome n'affichera plus la barre verte associée aux certificats EV SSL si ceux-ci ne sont pas conformes à la règle de transparence des certificats (Certificate Transparency, CT).

Google promeut la transparence des certificats, afin d'aider les utilisateurs dans les entreprises à détecter, le plus tôt possible, une mauvaise émission de leurs certificats. Cette exigence requiert l'ajout des certificats EV SSL à des listes qualifiées de transparence de certificats accessibles au public. Ces listes peuvent être surveillées par les entreprises qui peuvent suivre l'émission des certificats pour leurs domaines et prendre les mesures nécessaires en cas d'émission non conforme. Si des certificats EV SSL ne sont pas conformes à la règle de transparence des certificats au 1er février 2015, Chrome n'affichera pas la barre verte caractéristique lorsqu'ils seront utilisés.

En 2014, GlobalSign affichera tous ses certificats EV SSL visibles au public sur les listes qualifiées de transparence des certificats, afin que Google les ajoute à sa liste blanche. Les certificats non visibles sur Internet ne seront pas affichés, sauf en cas de demande particulière. Si un certificat EV SSL n'est pas ajouté à la liste blanche, il pourra être réémis et affiché par la suite.

A partir de janvier 2015, les certificats EV SSL de GlobalSign seront publiés sur les listes de transparence des certificats par défaut au moment de leur émission. Cependant, les utilisateurs pourront choisir de se désengager s'ils ne veulent pas de certificats conformes à la règle de transparence des certificats (ex : les certificats utilisés en interne qui peuvent contenir des noms de serveur internes et peuvent être confidentiels). Les pages de commande et les API de GlobalSign seront mises à jour, afin de permettre aux utilisateurs de se désengager de l'affichage automatique de leur certificat sur les listes de transparence des certificats.

Dates importantes à venir :

  • 01 décembre 2014 : GlobalSign affichera ses certificats EV SSL visibles au public sur les listes qualifiées de transparence de certificats en vue d'être ajoutés sur les listes blanches de Google.

  • 15 décembre 2014 : Les pages de commande et les API de GlobalSign seront mises à jour, afin de permettre aux utilisateurs de se désengager de l'affichage automatique de leur certificat sur les listes de transparence des certificats. Par défaut, les certificats EV SSL émis seront conformes à la règle de transparence des certificats.

Recommendations : veuillez continuer à surveiller les mises à jour concernant la transparence des certificats.