Essai Gratuit
Contact
Sectigo Blog

Certificats AWS vs certificats d'autorité publique (CA)

Flux RSS

Les entreprises modernes d'aujourd'hui doivent sécuriser leurs données et leurs applications qui s'exécutent et sont hébergées dans le cloud à l'aide d'Amazon Web Services (AWS). Les certificats numériques basés sur une infrastructure à clé publique (PKI), tels que les certificats SSL/TLS et les certificats de signature de code, constituent la norme en matière d'authentification et de chiffrement des données et des applications dans le cloud. Mais les organisations qui utilisent AWS ont le choix entre plusieurs autorités de certification (CA) qui peuvent émettre des certificats. Cet article vous aide à comprendre les différences entre les certificats d'autorité de certification publique et ceux fournis par Amazon.

7 juillet 202112 min de lecture

Table des matières

Qu'est-ce qu'une autorité de certification ?

Une autorité de certification (CA) est une organisation qui délivre des certificats numériques qui authentifient et chiffrent les données, les appareils et les applications à l'aide de la PKI. Elles sont essentielles pour permettre une utilisation généralisée de la cryptographie à clé publique. Elles agissent en tant qu'autorités de confiance, stockant et publiant les clés publiques associées aux clés privées correspondantes. Ces autorités de confiance permettent aux expéditeurs de s'assurer qu'ils utilisent une clé publique correctement liée à la clé privée du destinataire. Sans elles, il serait possible pour quelqu'un de s'emparer des informations transmises et d'utiliser toute information sensible trouvée.

Les CA ne délivrent des certificats qu'à des domaines spécifiques qui ont envoyé une demande de signature de certificat (CSR). Une CSR est envoyée à une autorité d'enregistrement et contient la clé publique, des informations d'identification et une signature numérique ou une autre mesure d'authenticité. Les informations d'identification sont souvent l'organisation, l'unité organisationnelle, le nom du pays, l'État, la localité et le nom commun. Le nom commun est généralement le nom de domaine ou l'adresse IP de l'emplacement.

Lorsqu'un domaine affiche un certificat délivré par une autorité de certification de confiance reconnue par un navigateur moderne, tel que Google Chrome, Mozilla Firefox ou Microsoft Edge, la connexion est considérée comme sécurisée.

Les autorités de certification publiques de confiance, telles que Sectigo, sont des membres conformes du forum des autorités de certification/navigateurs, qui a été créé uniquement pour délivrer des certificats. Le CA/Browser Forum est un groupe de réglementation autonome pour les autorités de certification, chargé de créer et de mettre à jour les règles régissant l'utilisation, la délivrance et l'expiration des certificats.

Les autorités de certification publiques délivrent des millions de certificats chaque année. Ces certificats sont utilisés pour diverses fonctions, notamment la protection des communications sécurisées via SSL/TLS, les signatures numériques, les certificats de signature de code et les certificats de messagerie S/MIME.

Les certificats SSL/TLS permettent spécifiquement aux navigateurs Web modernes d'établir des connexions cryptées SSL/TLS avec des serveurs Web en s'identifiant correctement. Ces certificats sont utilisés avec une infrastructure à clé publique (PKI). Les PKI fournissent des méthodes permettant à des individus d'établir leur identité mutuelle s'ils font tous deux confiance à l'autorité de certification utilisée.

Autorités de certification publiques et privées

Comme mentionné précédemment, les autorités de certification publiques sont des entités indépendantes qui ont été désignées comme fiables par les principaux navigateurs Web et qui respectent les normes et directives en matière de certificats identifiées par le CA/Browser Forum. Les autorités de certification publiques effectuent plusieurs étapes avant de délivrer le certificat, notamment la validation des informations fournies dans la CSR, principalement les informations DNS. Les autorités de certification publiques disposent de clés cryptographiques spécifiques qu'elles utilisent pour signer les certificats qu'elles émettent. Ces fichiers de clés spécifiques sont souvent reconnus comme appartenant à une autorité de certification de confiance. Cela permet de sécuriser immédiatement les communications, car elles savent qu'elles peuvent leur faire confiance. Les certificats publics sont le plus souvent utilisés pour sécuriser les terminaux qui nécessitent une communication avec les utilisateurs et ne sont généralement pas utilisés pour les environnements internes ou de test.

Les autorités de certification privées et publiques présentent de nombreuses similitudes. Elles ont des infrastructures similaires et remplissent des fonctions similaires. Cependant, alors qu'une autorité de certification publique délivre des certificats pour des entités sur Internet en général, les autorités de certification privées délivrent des certificats uniquement pour des réseaux privés. Les autorités de certification privées délivrent et valident des fichiers de certificats qui sont téléchargés vers une infrastructure à clé publique (PKI) interne plutôt que vers un tiers de confiance. Elles sont généralement limitées au périmètre de l'organisation à laquelle appartient le réseau, souvent de grandes organisations ou entités.

Les autorités de certification publiques délivrent des certificats qui sont immédiatement reconnus et approuvés par les navigateurs et les applications. Ce n'est pas le cas des certificats numériques délivrés par des autorités privées. Ceux-ci nécessitent qu'un administrateur configure spécifiquement tout système avec lequel le certificat entre en contact afin de le reconnaître et de le valider.

En outre, les autorités de certification publiques sont tenues de respecter des exigences strictes, de se conformer aux normes de sécurité imposées par les fournisseurs et d'atteindre certains niveaux de transparence. Si elles ne le font pas, elles risquent de perdre leur statut de confiance et la possibilité de faire valider instantanément leurs certificats. Ces restrictions ne s'appliquent pas aux autorités de certification privées. Les administrateurs peuvent plutôt créer leurs propres règles concernant la délivrance des certificats, y compris les informations qui doivent figurer dans une CSR et être représentées dans un certificat.

AWS est-elle une autorité de certification ?

Amazon Web Services (AWS) est une autorité de certification privée et commerciale. Comme elle n'est pas membre du CA/Browser Forum, elle n'est actuellement pas considérée comme une autorité de certification publique de confiance. Les clients AWS peuvent déployer des certificats AWS Certificate Manager (ACM) dans divers services AWS, notamment AWS Elastic Load Balancing, Amazon CloudFront, Amazon API Gateway, Amazon EC2 instance et d'autres services intégrés gérés par la console de gestion AWS. Grâce à ACM, vous pouvez provisionner et gérer des certificats publics et privés de certains types.

Lorsque vous déployez des certificats provenant d'autorités de certification commerciales privées telles qu'ACM, il est important d'étudier en profondeur l'émetteur, car des modifications importantes devront être apportées à votre environnement pour accepter correctement les certificats privés. De plus, un administrateur doit configurer explicitement les applications pour qu'elles acceptent les nouveaux certificats émis. Une étape cruciale consiste à télécharger les fichiers de certificat vers AWS Identity and Access Manager (IAM).

AWS fournit-il des certificats SSL ?

AWS Certificate Manager (ACM) est capable de provisionner, stocker et renouveler des certificats SSL/TLS publics et privés conformes à la norme X.509. Cela peut être réalisé avec n'importe quel service Amazon avec lequel ACM est intégré. ACM automatise le renouvellement et la mise à jour des certificats ACM arrivant à expiration. Quelques points à noter concernant les certificats de serveur AWS :

  • ACM ne fournit pas de certificats à validation étendue ni de certificats de validation d'organisation, mais uniquement des certificats de validation de domaine.
  • ACM fournit uniquement des certificats pour les protocoles SSL/TLS.
  • ACM ne peut pas être utilisé pour le chiffrement des e-mails.

Un certificat ACM est un certificat numérique pour un service AWS intégré qui a été émis directement par AWS Certificate Manager (ACM). Vous pouvez importer des certificats tiers dans ACM. De plus, vous pouvez créer une infrastructure à clé publique au sein d'AWS, ce qui vous permet de créer des certificats privés internes. Les clients AWS peuvent utiliser ACM pour demander et déployer des certificats sur plusieurs ressources AWS différentes, notamment les API utilisant API Gateway, les distributions Amazon CloudFront et les équilibreurs de charge élastiques.

Les certificats CA publics fonctionnent-ils sur AWS ?

Les certificats provenant d'une autorité de certification publique, telle que Sectigo, peuvent être déployés dans les services AWS à l'aide d'ACM ou d'une plateforme de gestion des certificats CA, telle que Sectigo Certificate Manager.

Il convient de noter que les certificats ACM émis par Amazon sont uniquement validés par domaine. En revanche, les certificats SSL/TLS émis par des autorités de certification publiques font l'objet de trois niveaux de validation.

  • Validation de domaine (DV) : l'autorité de certification vérifie si le demandeur dispose des droits sur le nom de domaine spécifique (généralement par le biais d'une vérification par e-mail). Aucune information supplémentaire n'est vérifiée et les certificats DV peuvent être émis en quelques minutes.
  • Validation d'organisation (OV) : l'autorité de certification vérifie non seulement que le demandeur dispose des droits sur le nom de domaine spécifique, mais effectue également des investigations supplémentaires de base sur l'organisation du demandeur. Ces informations sont affichées sur le certificat afin de renforcer la confiance des utilisateurs finaux du site.
  • Validation étendue (EV) : l'autorité de certification vérifie la propriété de l'entreprise et les documents acceptables concernant la société, ainsi que les informations relatives à la propriété qui doivent être fournies par le demandeur. Outre la vérification des droits du demandeur sur le domaine spécifique, une enquête approfondie est menée sur la société et ces informations sont affichées sur le certificat. De plus, un cadenas sécurisé s'affiche dans l'adresse Web du navigateur, ce qui garantit à l'utilisateur que le site Web peut être consulté en toute sécurité.

Pourquoi automatiser la gestion des certificats dans AWS ?

Le déploiement et la gestion manuels des certificats dans les environnements AWS, en plus de tout autre environnement non cloud, prennent beaucoup de temps et peuvent entraîner des risques inutiles. Qu'une entreprise déploie un seul certificat SSL pour un serveur web hébergé sur AWS ou gère des millions de certificats sur tous ses appareils en réseau et identités utilisateur, le processus de bout en bout de délivrance, de configuration et de déploiement des certificats peut prendre des heures.

La gestion manuelle des certificats expose également les entreprises à un risque important de négligence, d'expiration inattendue et de lacunes en matière de propriété, ce qui peut entraîner des interruptions soudaines, des pannes critiques des systèmes métier, des failles de sécurité et des attaques.

Les clients et les utilisateurs internes comptent sur la disponibilité permanente des systèmes métier critiques hébergés dans le cloud. Mais ces dernières années, l'expiration de certificats a entraîné de nombreuses interruptions de services et de sites Web très connus. Il en a résulté des milliards de dollars de pertes de revenus, des pénalités contractuelles, des poursuites judiciaires et le coût incalculable de la détérioration de la réputation des marques et de la perte de la confiance des clients.

Comment automatiser la gestion des certificats dans AWS

Compte tenu des pièges et des conséquences financières inhérents à la gestion manuelle des certificats PKI mentionnés ci-dessus, le retour sur investissement de la gestion automatisée des identités numériques est évident pour les DSI et les RSSI. Les entreprises ont besoin d'une solution automatisée qui garantit que les certificats sont correctement configurés et mis en œuvre sans intervention humaine, tant dans AWS que dans l'ensemble de leur écosystème informatique. L'automatisation permet de réduire les risques, mais aide également les services informatiques à contrôler les coûts opérationnels et à rationaliser les délais de mise sur le marché des produits et services.

Récemment, la PKI a évolué pour devenir encore plus polyvalente. L'interopérabilité, la disponibilité élevée et la gouvernance restent des avantages clés. Mais les solutions PKI actuelles sont également capables d'améliorer l'administration et la gestion du cycle de vie des certificats grâce à :

  • Automatisation : réalisation des tâches individuelles tout en minimisant les processus manuels.
  • Coordination : utilisation de l'automatisation pour gérer un large portefeuille de tâches.
  • Évolutivité : gestion de centaines, de milliers, voire de millions de certificats.
  • Crypto-agilité : mise à jour de la force cryptographique et révocation et remplacement rapides des certificats à risque par des certificats quantiques sécurisés en réponse à des menaces nouvelles ou changeantes.
  • Visibilité : affichage de l'état des certificats dans un tableau de bord unique pour tous les cas d'utilisation.

Bien que l'ACM offre un certain degré d'automatisation, compte tenu de la diversité des systèmes, des applications et des appareils qui utilisent des certificats numériques, les équipes informatiques se retrouvent souvent à gérer différents services d'automatisation provenant de plusieurs fournisseurs. Cela se traduit généralement par une perte d'efficacité. En revanche, un tableau de bord unique de gestion des certificats qui automatise la découverte, le déploiement et la gestion du cycle de vie dans tous les cas d'utilisation et sur toutes les plateformes des fournisseurs offre l'efficacité promise par l'automatisation. Les équipes informatiques conservent le contrôle des définitions et des règles de configuration afin que les étapes d'automatisation soient exécutées correctement.

Sectigo fournit des solutions d'automatisation de la gestion des certificats qui permettent aux entreprises d'être agiles, efficaces et de contrôler entièrement tous les certificats de leur environnement. Sectigo prend en charge l'installation, la révocation et le renouvellement automatisés des certificats SSL/TLS et non SSL via des protocoles, des API et des intégrations tierces de pointe. Sectigo élimine également le problème des limites de volume de certificats qui peut se poser avec les alternatives open source.

En résumé, les solutions d'automatisation de Sectigo permettent à votre équipe de sécurité de :

  • Appliquer des politiques de sécurité cryptographique
  • Protéger les communications
  • Empêcher la perte de données personnelles via un accès non autorisé
  • Pérenniser les systèmes, les applications et les appareils dans toute l'entreprise

Pour en savoir plus sur la manière dont vous pouvez automatiser l'émission et la gestion des certificats numériques dans AWS et dans l'ensemble de votre écosystème informatique, consultez Sectigo Certificate Manager.

Envie d'en savoir plus ? Contactez nous pour réserver une démo de Sectigo Certificate Manager !

Articles associés :

Qu'est-ce qu'un certificat X.509 et comment fonctionne-t-il ?

Comment éviter les interruptions SSL et renouveler les certificats