{"id":1789,"date":"2025-12-11T12:02:59","date_gmt":"2025-12-11T11:02:59","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/certificats-https-la-validation-par-email-et-telephone-cest-bientot-fini\/"},"modified":"2025-12-11T12:02:59","modified_gmt":"2025-12-11T11:02:59","slug":"certificats-https-la-validation-par-email-et-telephone-cest-bientot-fini","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/certificats-https-la-validation-par-email-et-telephone-cest-bientot-fini\/","title":{"rendered":"Certificats HTTPS – La validation par email et t\u00e9l\u00e9phone c’est bient\u00f4t fini"},"content":{"rendered":"

Google et le CA\/Browser Forum viennent d\u2019annoncer la mise \u00e0 mort de 11 m\u00e9thodes de validation de domaine pour les certificats HTTPS<\/strong>. Bye bye les emails, les coups de fil, les fax (oui, y\u2019en avait encore qui utilisaient \u00e7a) et le courrier postal pour valider les certificats car d\u2019ici mars 2028, tout \u00e7a sera du pass\u00e9.<\/p>\n

Car quand vous demandez un certificat SSL\/TLS pour votre site, l\u2019autorit\u00e9 de certification doit v\u00e9rifier que vous \u00eates bien le proprio du domaine. Historiquement, \u00e7a pouvait se faire via un email envoy\u00e9 \u00e0 l\u2019adresse WHOIS, un coup de t\u00e9l\u00e9phone, ou m\u00eame un courrier papier mais le probl\u00e8me, c\u2019est que ces m\u00e9thodes sont faciles \u00e0 falsifier.<\/p>\n

Des chercheurs en s\u00e9curit\u00e9 ont montr\u00e9 qu\u2019il \u00e9tait possible de manipuler les donn\u00e9es WHOIS ou d\u2019intercepter les communications pour obtenir des certificats frauduleux et quand, malheureusement, un attaquant peut se faire passer pour le propri\u00e9taire l\u00e9gitime d\u2019un domaine et obtenir un vrai certificat, \u00e7a ouvre la porte \u00e0 des attaques man-in-the-middle bien m\u00e9chantes.<\/p>\n

Donc le
\nCA\/Browser Forum a vot\u00e9 le ballot SC-090<\/a>
\npour \u00e9liminer progressivement ces vieilles m\u00e9thodes. Juin 2025 a vu la fin de la validation WHOIS par email, mars 2026 d\u00e9couragera l\u2019utilisation des m\u00e9thodes email en g\u00e9n\u00e9ral, et mars 2028 ce sera le grand m\u00e9nage final.<\/p>\n

\n $\"\"$ \n<\/p>\n

\u00c0 la place, il faudra donc passer par des m\u00e9thodes plus directes tels qu\u2019un enregistrement DNS TXT avec une valeur al\u00e9atoire que l\u2019autorit\u00e9 v\u00e9rifiera, ou un fichier HTTP plac\u00e9 \u00e0 un endroit pr\u00e9cis de votre serveur. Ces m\u00e9thodes permettent de prouver cryptographiquement que vous contr\u00f4lez bien le domaine, sans interm\u00e9diaire chelou.<\/p>\n

Pour les utilisateurs lambda, \u00e7a ne change rien \u00e9videmment, vous continuerez \u00e0 voir le petit cadenas dans votre navigateur. Mais pour les admins syst\u00e8me et les responsables de sites, \u00e7a veut dire qu\u2019il va falloir automatiser tout \u00e7a. Si vous utilisez encore des certificats valid\u00e9s par email, c\u2019est donc le moment de migrer vers des outils comme
\n ACME<\/a>
\n(le protocole derri\u00e8re Let\u2019s Encrypt).<\/p>\n

Ce mouvement s\u2019inscrit \u00e9galement dans une tendance plus large puisque le
\n ballot SC-070<\/a>
\npr\u00e9voit aussi de r\u00e9duire la dur\u00e9e de validit\u00e9 des certificats pour les passer \u00e0 10 jours de r\u00e9utilisation de la validation d\u00e8s mars 2028, puis des certificats de 47 jours seulement en mars 2029. Donc autant dire que sans automatisation, \u00e7a va devenir ing\u00e9rable.<\/p>\n

Google pousse donc clairement l\u2019\u00e9cosyst\u00e8me vers plus de s\u00e9curit\u00e9, quitte \u00e0 forcer la main aux retardataires. Moins de maillons dans la cha\u00eene, c\u2019est moins d\u2019opportunit\u00e9s pour les attaquants et je trouve que c\u2019est plut\u00f4t une bonne nouvelle.<\/p>\n

\n Source<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"