Nameshield signe l’Appel de Paris afin de contribuer activement à la stabilité de l’Internet

Nameshield, signe l’Appel de Paris afin de contribuer activement à la stabilité de l’Internet

Il y a tout juste un an, dans le cadre du 1er Forum de Paris sur la paix, le Président de la République Française, Emmanuel Macron, lançait l’Appel de Paris pour la Confiance et la Sécurité dans le Cyberespace. Cet appel est une déclaration politique destinée à marquer une mobilisation sur la stabilité dans le cyberespace et vient renforcer les efforts de la communauté internationale et de nombreux acteurs impliqués dans les enjeux de sécurité numérique. Ce texte rappelle certains principes que nous estimons fondamentaux, comme l’application du droit international et des droits de l’Homme dans le cyberespace. Il souligne aussi la nécessité d’une approche multi-acteurs pour élaborer les normes qui nous permettront de profiter pleinement, c’est-à-dire de manière fiable et sécurisée, des opportunités offertes par la révolution numérique. Enfin, l’Appel de Paris promeut le renforcement de la sécurité des produits et services numérique, que nous utilisons par exemple dans notre vie quotidienne. Le texte vise en ce sens à empêcher les cyberattaques commises par des acteurs malveillants qui mettent en danger l’ensemble des usagers du cyberespace.

Conscient que le développement de notre Société, tant sur les plans économiques, culturels et démocratiques, passe par une confiance renforcée de l’information qui transite par internet, la société Nameshield, qui œuvre depuis 25 ans pour protéger l’identité numérique de ses clients ; entreprises, collectivités et administrations via l’usage de leurs noms de domaine, a souhaité s’associer à cette démarche et signer l’Appel de Paris.

Son métier consiste à assurer l’intégrité et la résilience de l’identité des personnes morales et physiques sur internet, représentée aujourd’hui par le nom de domaine. En protégeant hautement les données renseignées sur la carte d’identité du nom de domaine (Whois) et en assurant un service de haute disponibilité et de haute performance via le Domain Name System (DNS) associé, Nameshield contribue ainsi dans une large mesure au deuxième principe de l’Appel de Paris : Protéger l’internet. Empêcher les activités qui portent atteinte intentionnellement et dans une large mesure à la disponibilité ou à l’intégrité du cœur public de l’internet.

Le Domain Name System peut être comparé à l’annuaire de l’internet. Ce protocole traduit un nom de domaine en adresse IP, en s’appuyant sur une base de données distribuée sur des milliers de machines. Pierre angulaire du web, si le DNS tombe, notamment par une corruption des données ou une attaque par déni de services, ce sont tous vos sites web et vos emails qui deviennent inaccessibles : cela devient purement impensable aujourd’hui ! Le DNS doit donc être protégé et rester hautement disponible. Protocole créé dans les années 1980, des failles de sécurité ont été depuis identifiées quant au fonctionnement usuel du DNS. C’est pourquoi un nouveau protocole sécurisé, DNSSEC, a été développé afin de garantir l’authenticité des échanges via une signature certifiée. D’autres solutions peuvent venir compléter la résilience de votre identité sur internet : le Registry Lock, les certificats SSL

Les solutions de sécurité proposées par Nameshield, société indépendante française, stockant ses données en France, disposant de sa propre infrastructure DNS anycastée et résiliente, certifiée ISO 27001 sur l’ensemble de son activité noms de domaine, sont conformes aux recommandations de l’ANSSI sur les « bonnes pratiques pour l’acquisition et l’exploitation de noms de domaine ».

Dans le cadre du 2ème Forum de Paris sur la paix, le Ministère des Affaires étrangères a souhaité illustrer le deuxième principe de l’Appel de Paris : Protéger l’internet en mettant en avant les services proposés par Nameshield. La société est ainsi fière de pouvoir s’associer, à son niveau, aux acteurs impliqués dans les enjeux de sécurité numérique afin de rendre l’internet plus fiable et contribuer ainsi à la sécurité du cyberespace.

https://pariscall.international/fr/principles

Changer de nom de domaine sans perdre son référencement : quelques conseils

Nom de domaine et référencement (SEO)
Source de l’image : DiggityMarketing via Pixabay

Lors d’un rebranding, pour des raisons marketing, dans le cadre d’une fusion ou d’un rachat par exemple, une société peut être amenée à changer de nom de domaine pour son site.

Au niveau des moteurs de recherche, c’est alors toutes les pages qui changent, comme si il s’agissait d’un nouveau site web. Dès lors, comment ne pas perdre le travail effectué sur le référencement et opérer une transition réussie, notamment si le site est ancien ?

Dans le cas d’un site assez ancien, avec un référencement optimal sur le nom de domaine existant, transférer le site sur un nouveau nom peut anéantir ce travail de longue haleine que représente le SEO. Si une baisse de trafic naturel est normale (et temporaire), quelques conseils peuvent permettre d’amoindrir ce ralentissement, à tout le moins pendant la période de transition.

Copier son site à l’identique et mettre en place des redirections 301

Le premier conseil est de conserver intégralement l’architecture du site, afin que seul le nom de domaine change dans l’URL.

Il faudra ensuite créer des redirections permanentes (redirections 301) de chacune des pages de l’ancien site vers la page correspondante du nouveau site. Veuillez à ne pas mettre en place de redirections multiples.

Ce processus doit être suivi de près, afin de s’assurer que chaque redirection 301 est opérante. Les moteurs de recherche vont ainsi savoir qu’il n’est plus nécessaire d’indexer l’ancien nom mais qu’il faut désormais indexer le nouveau. Pour cela, il faut vérifier qu’aucune des anciennes pages n’est accessible via l’ancien nom de domaine.

Faire mettre à jour les backlinks

Google use dans son algorithme des paramètres liés à des indices de confiance et donc des sites de confiance, jugés comme tels par le moteur (des facteurs comme l’ancienneté du site, la clarté des mentions légales, le ratio nombre de liens/nombre de mots par page, le nombre de liens pointant depuis d’autres sites vers celui-ci, les extensions comme .edu, .gov, les sites institutionnels, les sites médias, etc.) Aussi peut-il être intéressant d’obtenir assez vite au moment de la migration des liens venant de ce type de site de confiance. Dans la même lignée, revoir vos backlinks et demander aux sites qui renvoient vers vous de bien vouloir mettre à jour ces liens, pour qu’ils adressent vers le nouveau nom est un atout. Bien sûr, si vos backlinks sont très nombreux, concentrez-vous sur les plus importants en matière de référencement.

Informer Google

Enfin, il est possible d’informer directement Google du changement via la Google Search Console, le moteur actualisera ensuite son index.

Déclarer le sitemap

En soumettant un fichier sitemap pour le nouveau site aux moteurs de recherche, vous gagnez en temps de référencement en donnant immédiatement aux moteurs les pages à indexer.

Garder le même titulaire pour le nouveau nom de domaine

Faites en sorte que le nouveau nom de domaine ait les mêmes informations propriétaires sur son whois que l’ancien nom de domaine. Google peut être amené à vérifier ces données.

Être patient

A noter, sur Bing il vous faudra en moyenne 2 mois pour retrouver votre référencement, sur Google environ 6 à 7 mois.

[New gTLD] Lancement du .NEW par Google

Lancement du .NEW par Google
Source de l’image : 377053 via Pixabay

Après le lancement du .APP, .PAGE et .DEV entre autres, Google (Charleston Road Registry), lance la nouvelle extension .NEW dès le 15 octobre 2019 en phase Sunrise.

Prérequis à respecter pour l’enregistrement d’un .NEW

  • Tous les noms de domaine en .NEW ont pour obligation d’aboutir à une page dédiée à la création de contenu en ligne ou à la génération d’actions. L’internaute devra en effet pouvoir « créer » quelque chose depuis la page affichée sans navigation supplémentaire. Par exemple, docs.new propose une page dédiée proposant l’utilisation directe du logiciel de traitement de texte en ligne de Google, permettant ainsi la création d’une nouvelle page document.
  • Les domaines en .NEW devront être mis en ligne dans un délai de 100 jours suivant l’enregistrement.

Si ces prérequis ne sont pas respectés, le registre considérera que l’enregistrement n’est pas conforme. Dans ce cas, le nom sera mis en attente, le titulaire sera alors notifié pour corriger et appliquer ces conditions, à défaut, le nom sera bloqué puis supprimé.

Calendrier de lancement du .NEW

  • Phase Sunrise : du 15/10/2019 au 14/01/2020
  • LRP (Limited Registration Period) : du 14/01/2020  au 14/07/2020
  • Ouverture totale : à partir du 21/07/2020

Pour plus d’informations sur les conditions d’enregistrement de votre .NEW, n’hésitez pas à nous contacter.

Neuf fois plus d’attaques visant les objets connectés qu’en 2018 : le rapport alarmant de Kaspersky

Attaques objets connectés - IoT
Source de l’image : TheDigitalArtist via Pixabay

Le 15 octobre dernier, Kaspersky, éditeur d’antivirus, publiait un rapport édifiant quant au volume des cyberattaques visant directement les objets connectés.

Si le secteur s’attendait bien sûr à ce que cette nouvelle génération d’objets soit directement ciblée par des cyberattaques, la progression du nombre de ces dernières est alarmante et laisse aisément imaginer les failles de sécurité que présentent les objets connectés.

Selon l’estimation présentée par Kaspersky, entre le début de l’année 2018 et la mi-2019, les attaques auraient atteint le chiffre record de 105 millions, soit 9 fois plus que l’année précédente complète.

Afin de mener cette étude, Kaspersky a usé de la technique du piège, en déployant plus de 50 honey pots dans le monde. Un honey pot est un programme imitant la signature d’objets connectés créé spécifiquement pour attirer des cybercriminels. Il a ainsi été possible de détecter des attaques de pirates tombés dans le piège qui leur était tendu. Selon Kaspersky, durant cette expérience, plus de 20 000 sessions auraient été infectées et ce toutes les 15 minutes. 105 millions attaques provenant de 276 000 adresses IP uniques ont ainsi été détectées (contre 12 millions en 2018).

Le rapport indique de plus que, tant en 2018 qu’en 2019, la Chine et le Brésil se disputent la première place des pays d’origine des attaques lancées.

Les malwares principaux qui utilisent les failles de sécurité des objets connectés sont bien connus (Mirai par exemple, pour ne pas le citer) et identifiés.

Si nous sommes conscients que l’IoT est un terrain de jeu privilégié pour les pirates, les premières mesures de sécurité sont bien loin d’être systématiquement appliquées. Il est crucial par exemple de modifier le mot de passe installé par défaut à chaque achat d’appareil connecté.

Rappelons-le, si les technologies de cyber malveillances sont certes de plus en plus sophistiquées, la première porte d’entrée des pirates reste le manque de vigilance des utilisateurs.

Nouveau critère d’éligibilité du .EU

éligibilité .EU
Source de l’image : OpenClipart-Vectors via Pixabay

A partir du 19 octobre 2019, les citoyens européens résidant hors de l’Union Européenne peuvent désormais enregistrer des noms de domaine en .EU ou en .ею.

Le .EU est l’extension géographique destinée à l’Union Européenne. Plus de 3,6 millions d’enregistrements à travers l’Europe font de ce TLD une extension populaire. Initialement réservée aux entreprises et aux particuliers établis au sein des Etats membres de l’UE et de l’EEE, afin de répondre aux besoins d’un environnement digital en constante évolution, le registre du .EU, l’EURid modifie ce critère d’éligibilité pour l’étendre à l’ensemble des citoyens de l’Union Européenne à travers le monde.

« Nous sommes excités de pouvoir étendre le critère d’éligibilité de l’enregistrement d’un .EU à tous les citoyens de l’UE du monde. Le .EU est maintenant plus proche de vos ambitions, vos réussites et vos rêves. Il s’agit du pont vous connectant à vos amis et votre famille même si vous vivez en dehors de l’UE. Il montrera toujours vos racines, votre vision et vos valeurs culturelles » Marc Van Wesemael, président de l’EURid.

Pour plus d’informations sur les conditions d’enregistrement de votre .EU, n’hésitez pas à nous contacter.

[REPLAY WEBINAR] Protéger et défendre vos marques sur Internet : Quelles sont les procédures existantes ? Pourquoi et comment les utiliser ?

Webinar protection des marques - Protéger et défendre vos marques sur Internet

Saviez-vous qu’un nouveau record de plaintes pour cybersquattage déposées auprès de l’OMPI a été atteint en 2018 ?

Le taux de plaintes en 2018 a augmenté de 12% et ces 3447 plaintes déposées auprès de l’OMPI selon les principes de l’UDRP (règlement uniforme des litiges relatifs aux noms de domaine) portaient sur pas moins de 5655 noms.

Dans le monde impitoyable des noms de domaine, nombreux peuvent être les litiges opposant des titulaires de marques à des tiers frauduleux.

Les noms de domaine impliqués dans des opérations de fraude, de vente de contrefaçon ou encore de phishing sont en effet une menace tant pour les entreprises que pour les consommateurs finaux.

Découvrez avec Nameshield comment protéger et défendre efficacement votre territoire numérique et vos marques en ligne.

Au programme de ce webinar, nos experts reviennent sur :

  • Les atteintes aux marques et la cybercriminalité en chiffres
  • Comment réagir efficacement face aux usages abusifs de votre marque

Retrouvez ce webinar animé par Maxime BENOIST, Juriste en Propriété Intellectuelle et Lucie LOOS, Directrice Marketing Experte cybersécurité de Nameshield group, en replay sur la plateforme Webikeo :

VISIONNER LE REPLAY  

Actualité ccTLD : les dépôts de nom de domaine de premier niveau en .AR pour l’Argentine sont ouverts

Ouverture des enregistrements de noms de domaine en .AR
Source de l’image : Mampu via Pixabay

L’Argentine offre à présent la possibilité d’enregistrer des noms de domaine en .AR. Jusqu’à maintenant, il n’était en effet possible que d’enregistrer des noms de domaine de troisième niveau en .COM.AR notamment.

Voici les phases prévues :

Sunrise – Du 11/09/2019 au 09/11/19

  • Priorité aux titulaires des noms enregistrés dans les zones .com.ar, .net.ar, .org.ar, .int.ar, .tur.ar, avant le 1er décembre 2015 et en vigueur au 27 août 2019.
  • À la fin de cette phase, si une seule demande est reçue, l’utilisateur qui a effectué la demande peut enregistrer le domaine en payant la taxe correspondante. Si plusieurs demandes sont reçues par le registre pour un même nom, un tirage au sort déterminera le titulaire à qui sera attribué le nom.

Phase intermédiaire – Du 27/11/2019 au 27/01/2020

Pendant cette phase, toute la communauté peut demander l’enregistrement des noms de domaine disponibles en .AR.

Les domaines réservés et restreints sont exclus, et certains noms de domaine seront susceptibles d’être soumis à une approbation.

  • Domaines réservés : les noms de domaine identiques à des noms enregistrés en ‘.gob.ar’ et ‘.mil.ar’ seront exclusivement réservés aux propriétaires de ces derniers. A noter : Même un nom de domaine enregistré dans l’une des zones du .AR peut être classé comme réservé par le registre argentin.
  • Domaines restreints : même un nom de domaine enregistré dans l’une des zones du .AR peut être classé comme restreint par le registre argentin, le rendant par conséquent indisponible à l’enregistrement.
  • Termes sujets à approbation: mots ou expressions normaux qui, s’ils font partie d’un nom de domaine, doivent être approuvés par le registre argentin. Ils incluent des noms aggravants, discriminatoires ou contraires à la loi, à la morale ou aux bonnes coutumes, ou pouvant prêter à confusion, tromperie ou usurpation d’identité.

N’hésitez pas à contacter votre conseiller pour toute information.

Ouverture générale : le 15/09/2020 (Mise à jour)

A compter du 15/09/2020, les noms de domaine disponibles pourront être enregistrés en .AR par tout utilisateur, selon les conditions établies par le règlement en vigueur du registre argentin.

Pour rappel, les conditions d’enregistrement d’un .AR comprennent la fourniture de documents justificatifs. Si votre parc actuel de noms de domaine ne contient pas de COM.AR, NET.AR, etc. et que vous souhaitez déposer un .AR au moment de l’ouverture générale, nous vous recommandons d’anticiper et de contacter votre conseiller pour connaître le détail des documents à fournir.

Le nom de domaine est un actif immatériel intégral

Élément clé indispensable à tout échange de flux de données dématérialisé, le nom de domaine est devenu un actif immatériel stratégique de grande valeur. Selon les travaux académiques, il existe une corrélation réelle entre la qualité des actifs immatériels et la performance économique des entreprises. Identifier et évaluer les noms de domaine devient une nécessité pour le directeur financier. Explications dans La revue de la Société Française des Analystes Financiers (SFAF), de Jean-Manuel Gaget, directeur Stratégie et Consulting de la société Nameshield, membre fondateur et administrateur de l’Institut de Comptabilité de l’Immatériel.

Dans les années 1990, le nom de domaine était un élément accessoire de la marque. Au fil de son expansion planétaire, il est devenu l’élément principal de la marque, notamment dans le monde du e-commerce. Il suffit de regarder comment Amazon ou Easyjet ont fait évoluer leur logo pour le considérer comme vecteur de communication unique.
Le nom de domaine a cette particularité unique d’être un actif immatériel à 4 dimensions. Il est à la fois et en même temps :

  1. un objet informatique permettant d’accéder à des services sur Internet en faisant le lien entre l’adresse IP (constituée d’une suite de chiffres) d’un objet physique [ordinateur, serveur, smartphone…] et un nom littéral (rôle du Domain Name Server ou DNS) ;
  2. un outil de communication permettant d’asseoir son identité sur internet et conquérir un territoire digital ;
  3. un élément juridique par un contrat d’usage temporaire avec un registre internet ;
  4. un actif financier, comptabilisable en tant qu’actif incorporel dans certaines conditions.

Désormais élément clé indispensable à tout échange de flux de données dématérialisé, que ce soit pour l’envoi d’email, l’accès à des sites web, aux réseaux sociaux et aux objets connectés, tout échange de données sur internet passe par l’usage d’un nom de domaine et toute interruption de service a des conséquences importantes sur l’activité des organisations.

Pourquoi et comment noter son capital nom de domaine ?

Aujourd’hui, les travaux académiques, notamment portés par le référentiel français de mesure du capital immatériel Thesaurus Capital Immatériel, montrent une corrélation réelle entre la qualité des actifs immatériels et la performance économique des entreprises. Plus la qualité des actifs immatériels (capital humain, capital système d’information, capital client…) est forte et plus les fondamentaux de l’entreprise sont solides, durables et économiquement performants sur le moyen et long terme. D’où l’importance de mesurer ce capital immatériel et son évolution dans le temps.
Or, autant la littérature est abondante sur les méthodes d’évaluation et de valorisation des marques, autant elle est quasi inexistante sur celle des noms de domaine. C’est pourquoi l’Institut de comptabilité de l’immatériel a souhaité, en 2019, enrichir le Thesaurus Capital Immatériel d’un volet spécifique sur la notation du capital nom de domaine. De la même façon que sont notés les actifs client, humain, informatique, savoir, nous avons cherché à noter le capital nom de domaine en association avec celui de la marque. Car marques et noms de domaine sont désormais indissociables !

Principes de comptabilisation applicables aux noms de domaine

Dans une décision du Conseil d’État du 7 décembre 2016 (affaire ebay.fr), il est rappelé que si l’usage d’un nom de domaine :

  • constitue une source régulière de profits ;
  • est doté d’une pérennité suffisante (notamment s’il peut être renouvelé régulièrement) ;
  • est susceptible de faire l’objet d’une cession ;

alors, il constitue un actif incorporel de l’entreprise et doit suivre les règles comptables et fiscales associées. À ce titre, les noms de domaine doivent être comptabilisés soit à leur coût de création, soit à leur valeur d’acquisition, soit à leur valeur vénale (valeur de marché) pour ceux acquis à titre gratuit.
Les noms de domaine ne sont donc pas à considérer comme une simple charge informatique, mais bien comme de véritables actifs qu’il convient de gérer à leur juste valeur. À ce titre, une attention accrue sur les enjeux fiscaux liés à la valeur des noms de domaine doit être apportée dans le cadre des prix de transfert.

Quelles méthodes d’évaluation financière utiliser ?

En s’inspirant de la norme ISO 10668 sur l’évaluation monétaire des marques, nous avons développé un corpus scientifique solide, en finançant la thèse de Clément Genty (2016-2019), dont le titre est « Gouvernance de l’Internet et Économie Mondiale : Proposition d’un Modèle d’Évaluation de la Valeur d’un Nom de Domaine en tant qu’Actif Immatériel ». C’est dans ce cadre que trois approches de valorisation monétaire ont été étudiées :

  • une approche par les coûts historiques ;
  • une approche par le marché (sur la sémantique) ;
  • une approche par la perte (coût de remplacement).

L’approche par le marché a pour objectif de mesurer la valeur sémantique d’un nom de domaine par référence aux transactions monétaires passées. Pour ce faire, nous avons constitué une base de données de plus de 1,4 million de transactions passées. Cette approche permet de donner une valeur de prix, par des comparables.

Finalité : mesurer la performance digitale des organisations

Ces trois approches distinctes de valorisation des noms de domaine par les coûts historiques, le marché et la perte, conjuguées à la notation du capital nom de domaine sont des outils qu’il convient de mettre à la disposition des directions financières afin qu’elles puissent mieux mesurer la performance digitale de leurs organisations.

Retrouvez ci-dessous la vidéo de Jean-Manuel Gaget « Le nom de domaine, un actif immatériel », également disponible sur notre chaîne YouTube.

Botnet Satori : Le pirate encourant 10 ans d’emprisonnement n’agissait pas seul

Botnet Satori
Source de l’image : TheDigitalArtist via Pixabay

Nous en savons désormais plus sur le cyberpirate, Nexus Zeta, Kenneth Currin Schuchman de son vrai nom, qui s’est illustré notamment avec la création du botnet Satori.

Plaidant coupable aux charges d’accusation relatives à la création du botnet Satori, ses aveux détaillent la mise en œuvre de cette attaque utilisant les failles IOT.

Pour rappel, un botnet est un ensemble d’ordinateurs infectés et contrôlés à distance par un cybercriminel. Les machines appartenant à un botnet sont souvent appelés « bots » ou « zombies ». Le but : transmettre un malware ou virus au plus grand nombre de machines possible.

Le pirate Nexus Zeta n’a pas agi seul mais en collaboration avec deux autres cybercriminels : Vamp qui serait le développeur/codeur principal de Satori et Drake qui aurait géré les ventes du botnet en question.

Le botnet Satori a été créé à partir du code public du malware Mirai IOT. Souvenons-nous, en 2016, Mirai est à l’origine de l’un des plus gros DDoS encore jamais vu en 2016, avec pour cible notamment le fournisseur américain DYN. Le fonctionnement de Mirai reposait sur la recherche permanente sur Internet des adresses IP correspondant à des objets connectés (IoT). Une fois les objets connectés vulnérables identifiés, Mirai s’y connectait pour y installer le logiciel malveillant.

Si le botnet Satori s’attaquait essentiellement à des appareils présentant des mots de passe configurés par défaut en usine ou faciles à deviner, dès son premier mois de déploiement, il a infecté plus de 100 000 machines.

Entre 2017 et 2018 les trois complices vont continuer à développer Satori, qu’ils rebaptiseront d’ailleurs Okiru et Masuta, allant jusqu’à infecter plus de 700 000 machines.

Officiellement accusé par les autorités américaines, Kenneth Currin Schuchman demeure libre jusqu’à son procès. Toutefois, il rompt sa liberté conditionnelle en accédant à Internet et en développant un nouveau botnet. C’est en octobre 2018 qu’il est cette fois-ci arrêté et emprisonné. Plaidant coupable, il risque jusqu’à dix ans de prison et 250 000 dollars d’amende.

Bientôt une durée maximale d’1 an pour les certificats SSL ?

Certficats SSL TLS - HTTPS

Que se passe-t-il ?

Les acteurs de l’industrie envisagent de réduire la durée de vie des certificats SSL/TLS, permettant l’affichage du HTTPS dans les navigateurs, à 13 mois, soit environ la moitié de la durée actuelle de 27 mois, afin d’améliorer la sécurité.

Google, via le CA/Browser Forum a en effet proposé cette modification, approuvée par Apple et une autorité de certification, la rendant éligible au vote. Si le vote est accepté lors des prochaines réunions du CA/B Forum, la modification des exigences entrera en vigueur en mars 2020. Tout certificat délivré après la date d’entrée en vigueur devra respecter les exigences de la période de validité abrégée.

L’objectif de cette réduction est de compliquer la tâche des cyber-attaquants en réduisant la durée d’utilisation des certificats potentiellement usurpés. Cela pourrait également obliger les entreprises à utiliser les algorithmes de chiffrement les plus récents et les plus sécurisés disponibles.

Si le vote échoue, il n’est pas à exclure que les navigateurs parrainant cette exigence l’implémentent de manière unilatérale dans leur programme racine, forçant ainsi la main aux autorités de certification. Il y a fort à parier que ce soit le chemin suivi, ce changement fait suite à l’initiative précédente de Google visant à réduire la durée de vie de trois à deux ans en 2018, époque à laquelle Google souhaitait déjà une durée réduite à 13 mois voire moins.

Qui est touché ?

Les modifications proposées par Google auraient une incidence sur tous les utilisateurs de certificats TLS de confiance publique, quelle que soit l’autorité de certification qui émet le certificat. Si le vote passe, tous les certificats de confiance émis ou réémis après mars 2020 auront une validité maximale de 13 mois. Les entreprises utilisant des certificats dont la période de validité est supérieure à 13 mois seront encouragées à revoir leurs systèmes et à évaluer l’incidence des modifications proposées sur leur déploiement et leur utilisation.

Les certificats TLS émis avant mars 2020 avec une période de validité supérieure à 13 mois resteront fonctionnels. Les certificats non-TLS public, pour la signature de code, le code privé TLS, les certificats clients, etc… ne sont pas concernés. Il ne sera pas nécessaire de révoquer un certificat existant à la suite de la mise en place de la nouvelle norme. La réduction devra être appliquée lors du renouvellement.

Qu’en pensent les acteurs du marché ?

Il s’agirait d’un changement global du secteur, qui aurait des répercussions sur toutes les autorités de certification. Celles-ci voient cette proposition d’un mauvais œil. On peut y voir avant tout un intérêt économique mais pas uniquement…

Leur argument principal est que le marché n’est pas encore prêt en termes de système d’automatisation des commandes et installations de certificats. De fait les interventions humaines seraient plus nombreuses, avec les risques associés à une mauvaise manipulation, ou tout simplement un risque plus élevé d’oubli de renouvellement d’un certificat.

Pour les autorités de certification, réduire à si court terme la durée des certificats présente surtout une augmentation significative des coûts humains liés à la gestion du portefeuille de certificats. Si elles ne sont pas fondamentalement contre cette décision, elles voudraient surtout des délais un peu plus long pour étudier notamment ce qu’en pensent les utilisateurs et les entreprises.

La position des fabricants de navigateurs ?  

Que ce soit Google ou Mozilla, fers de lance de l’adoption massive du HTTPS natif pour tous les sites web, et supporters de l’initiative Let’sEncrypt, l’important c’est le chiffrement de tout le trafic web. Une réduction de la durée des certificats réduit le risque d’usurpation des certificats sur une longue durée et favorise l’adoption massive de systèmes de gestion automatisés. Pour ces deux acteurs, un monde idéal contiendrait des certificats d’une durée maximale de 3 mois. S’ils sont à l’écoute du marché pour ne pas imposer trop rapidement leurs vues, il y a fort à parier qu’à long terme la durée de vie des certificats continuera à diminuer.

L’avis de Nameshield

Le marché poursuit son évolution vers des durées de certificats de plus en plus courtes, tout comme une diminution continuelle des niveaux d’authentification et en conséquence un besoin qui va aller croissant pour des solutions de gestion automatisées. Nous nous alignerons sur ces impératifs et conseillons à nos clients de se préparer à cette diminution qui arrivera, à n’en pas douter. Nos autorités de certification partenaires suivront également cette évolution et permettront d’offrir tous les systèmes d’inventaire permanent et d’automatisation requis.

Être entendu

Le forum CA/Browser accepte les commentaires de participants extérieurs et toutes les discussions sont publiques. Vous pouvez soumettre vos commentaires directement à la liste de diffusion du Forum : https://cabforum.org/working-groups/ (en bas de page). Nameshield est en contact avec des participants du CA/B forum et vous tiendra informés des décisions à venir.