Apple a annoncé son intention d'augmenter la sécurité de Safari lors de la navigation sur des pages Web sécurisées à partir du 1er septembre. À partir de cette date, il n'acceptera que les certificats HTTPS émis au cours des treize derniers mois.
HTTPS est la version sécurisée du protocole Web HTTP standard (S signifie "Secure") et certifie que la communication entre l'utilisateur et le serveur est cryptée dans les deux sens.
HTTPS protège contre les attaques de routage, où quelqu'un crée un hotspot WiFi avec un nom apparemment fiable et se consacre à capturer tout le trafic qui le traverse. Avec le protocole HTTP standard, tout le contenu, y compris les noms d'utilisateur et les mots de passe, est envoyé en texte brut. En utilisant HTTPS, l'attaquant n'obtient qu'une salade de lettres et de symboles.
Lorsqu'un navigateur se connecte à une page Web qui utilise HTTPS, il vérifie que la page possède un certificat de sécurité valide. Il s'agit essentiellement de la preuve d'un tiers que les pages Web sont bien cryptées.
Les certificats garantissent uniquement que le site Web utilisait la norme de cryptage valide qui existait au moment de la création [de la page Web]. Ainsi, un ancien certificat peut impliquer qu'une technologie de cryptage déjà obsolète ou nouvelle a été utilisée. que les vulnérabilités ont été découvertes et corrigées dans les versions ultérieures.
Par conséquent, la réduction de la fenêtre de validité d'un certificat augmente la sécurité en garantissant que les dernières versions de chiffrement sont utilisées.
Jusqu'à ce que le changement de politique se produise, Safari accepte les certificats créés il y a jusqu'à 825 jours (c'est-à -dire plus de deux ans). À compter du 1er septembre 2020, Safari n'acceptera que les certificats de sécurité d'une durée maximale de 398 jours (13 mois).
Si le certificat de la page Web est plus ancien, Safari affichera un avertissement et vous conseillera de ne pas vous connecter au Web.
Si cette politique n'est pas généralisée, l'utilisation de Safari pourrait commencer à produire de nombreux avertissements "non fondés" qui confondront l'utilisateur non averti qui tente de visiter une page qu'il connaît et en laquelle il a confiance.