Applications
Pour plus de sécurité, Safari sévit envers le HTTPS
Il ne sera bientôt plus possible d’accéder à des sites qui prennent trop de temps pour renouveler leur certificat. Une pratique pour garantir moins de risques aux visiteurs, mais contraignante pour les administrateurs.
Lorsque vous naviguez sur le net, la plupart des pages qui vous accueillent incluent le préfixe https:// devant leur URL. Cette technique permet de confirmer que leur contenu est protégé et sûr, en se basant sur le standard du TLS (auparavant SSL). Des fraudes peuvent toujours survenir, mais être en présence de ce gage de confiance est la plupart du temps l’assurance de la confidentialité.
Ceux qui gèrent les serveurs sur lesquels sont hébergées les plateformes en question doivent, quant à eux, mettre à jour la version de ce protocole qu’ils diffusent en ligne. L’un des fournisseurs gratuits les plus connus, Let’s Encrypt, nécessite par exemple d’effectuer cette opération manuellement tous les douze mois si on ne choisit pas un forfait payant.
Des conséquences à l’échelle mondiale
Mais pour éviter de passer par la case renouvellement chaque année, certains services permettent de l’automatiser et ainsi de conserver son certificat pendant beaucoup plus longtemps, jusqu’à plus de deux ans. Certains grands acteurs de la Tech comme Microsoft ou GitHub sont ainsi clients de ce genre de solution à rallonge.
Le problème, c’est qu’au fil du temps, et très rapidement, les outils des hackers évoluent et deviennent de plus en plus performants face aux protections. Et leur vitesse de progression se compte davantage en jours qu’en mois, ce qui signifie qu’un chiffrement trop vieux peut vite être dépassé par de potentiels pirates.
Pour lutter contre ce fléau, Apple vient donc d’annoncer que Safari afficherait un avertissement sur tous les sites n’ayant pas renouvelé leur certificat HTTPS depuis 13 mois. Ce qui signifie que bon nombre d’éditeurs devront trouver une alternative à leur méthode actuelle pour continuer à proposer leur contenu sans accroc sur les Mac et les iPhone.
Heureusement, ce changement n’aura pas lieu avant septembre prochain, le temps pour les développeurs de se mettre à la page. Par ailleurs, Google Chrome reste plus utilisé globalement et les consommateurs ne devraient donc en majorité pas être concernés par cette nouveauté.