Google se méfie des certificats SSL/TLS d'Entrust : Ce que cela signifie pour l'industrie
Afin de renforcer la sécurité des certificats numériques, Google Chrome a annoncé sa décision de ne plus faire confiance aux certificats SSL/TLS publics émis par Entrust après le 11 novembre 2024.
Article mis à jour le 11 septembre 2024 suite à la dernière annonce de Google.
Cette annonce a fait des vagues dans l'industrie, en particulier parmi les clients d'Entrust qui doivent maintenant passer à de nouvelles autorités de certification (AC) pour leurs besoins en matière de certificats numériques. Les clients actuels d'Entrust peuvent contacter notre équipe chez Sectigo pour obtenir de l'aide sur la marche à suivre.
Le déclencheur de la méfiance
La décision de Google de se méfier est due à une série de manquements de la part d'Entrust. Au cours des derniers mois, Entrust a connu des problèmes importants, notamment des révocations extrêmement tardives et de multiples manquements aux normes de sécurité établies. Le blog de Google sur la sécurité indique : « Au cours des six dernières années, nous avons observé un schéma de manquements à la conformité, des engagements d'amélioration non tenus et l'absence de progrès tangibles et mesurables en réponse à des rapports d'incidents rendus publics ». Ce manque de progrès et ces problèmes persistants ont justifié la révocation de la confiance dans les racines publiques d'Entrust.
Pour obtenir la confiance d'un navigateur, une autorité de certification doit se conformer à des exigences de base spécifiques définies par le CA/Browser Forum. La transparence est cruciale, car les autorités de certification sont censées travailler de bonne foi avec les navigateurs pour résoudre et prévenir les problèmes. De récents audits du programme racine ont révélé un manque de confiance dans les pratiques d'émission de certificats TLS d'Entrust. Cette nouvelle n'était donc pas totalement inattendue pour l'industrie et a motivé la décision de Google de se méfier des certificats Entrust dans le navigateur Chrome.
Ce que vous devez faire si vous avez des certificats Entrust
Pour les entreprises qui utilisent actuellement les services de certificats Entrust, cette évolution nécessite une action immédiate. Tout site web utilisant un certificat Entrust émis après le 11 novembre sera traité comme un site non sécurisé dans Google Chrome, et il est probable que d'autres grands navigateurs suivront.
Cela signifie que les entreprises doivent mettre en place une nouvelle autorité de certification pour remplacer les certificats expirant après le 11 novembre 2024 afin d'éviter que leurs sites web ne soient signalés comme non fiables. Nous recommandons vivement aux clients d'Entrust de commencer à chercher un nouveau fournisseur de certificats SSL et de s'assurer qu'il n'y aura pas de perturbation des opérations commerciales au moment du changement.
Choisir une autorité de certification réputée
Compte tenu des défaillances d'Entrust, les entreprises doivent réévaluer leurs relations avec les autorités de certification. Une autorité de certification réputée doit faire preuve d'une grande conformité avec les normes du secteur, d'un fonctionnement transparent et d'un bilan avéré en matière de cybersécurité et de fiabilité. Des sociétés comme Sectigo, qui est l'autorité de certification commerciale la plus choisie au monde, proposent des certificats SSL de premier ordre ainsi que des solutions complètes de gestion du cycle de vie des certificats, constituant ainsi des alternatives viables pour les clients d'Entrust.
Les options de certificats SSL/TLS de Sectigo comprennent :
Au-delà de la fourniture de certificats SSL, Sectigo Certificate Manager (SCM) est une plateforme cloud-native qui offre une visibilité totale et une gestion automatisée du cycle de vie de tous les certificats publics et privés, quelle que soit l'autorité de certification émettrice. Elle peut contribuer à assurer une transition en douceur des certificats Entrust et à maintenir des postures de sécurité robustes.
Impact sur l'ensemble du secteur
La décision de Google a des implications plus larges que le besoin immédiat de trouver une nouvelle autorité de certification. Elle met en évidence le rôle essentiel des autorités de certification dans le maintien de la confiance numérique et la nécessité permanente de mesures de conformité et de sécurité rigoureuses. Les normes du CA/B Forum sont conçues pour protéger l'intégrité des communications numériques, et des défaillances comme celles d'Entrust peuvent éroder cette confiance, nécessitant des actions fermes de la part des fournisseurs de navigateurs comme Google.
Perspectives d'avenir :
Une surveillance accrue : Les autres autorités de certification feront probablement l'objet d'une surveillance accrue, ce qui entraînera une réévaluation de leurs pratiques en matière de conformité et de sécurité.
Renforcement des normes : Le CA/B Forum pourrait introduire des normes plus rigoureuses pour prévenir des incidents similaires, en veillant à ce que les AC adhèrent aux niveaux les plus élevés de sécurité et de fiabilité.
Mesures proactives : Les entreprises devraient adopter des mesures proactives dans la gestion de leurs certificats numériques, y compris des audits réguliers, des contrôles de conformité et se tenir informées des évolutions du secteur.
Aller de l'avant
La méfiance de Google à l'égard des certificats SSL/TLS d'Entrust rappelle brutalement le rôle crucial que jouent les autorités de certification dans l'écosystème numérique. Pour les entreprises, ce développement est un appel à l'action pour réévaluer et renforcer leurs stratégies de sécurité numérique, en s'assurant qu'elles s'associent à des autorités de certification fiables et conformes. Le secteur, quant à lui, doit continuer à évoluer, en adoptant des normes plus strictes et des mesures de conformité plus solides pour maintenir et renforcer la confiance numérique.
Cette transition peut s'avérer difficile, mais avec les bons outils et les bons partenaires, les entreprises peuvent assurer une transition transparente vers des certificats de confiance, protégeant ainsi leurs opérations et la confiance de leurs clients à l'ère numérique. En automatisant la gestion du cycle de vie des certificats et en pratiquant la crypto-agilité à l'échelle de l'entreprise, les organisations peuvent assurer une migration transparente des AC avec un minimum de perturbations et une sécurité maximale. Alors que le paysage de la cryptographie continue d'évoluer avec de nouveaux algorithmes à sécurité quantique et des certificats de 90 jours, les entreprises devraient mettre en œuvre l'automatisation et devenir crypto-agiles dès aujourd'hui en tant que meilleure pratique pour maintenir une posture de sécurité résiliente.
Comment Sectigo peut vous aider avec une simple migration de CA
Sectigo Certificate Manager (SCM) est une solution de gestion du cycle de vie des certificats (CLM) évolutive et agnostique qui automatise tous les processus de certificats de bout en bout. Vous pouvez découvrir, inventorier, surveiller, remplacer, révoquer et renouveler tous vos certificats publics et privés, à partir d'une console de gestion centrale. Les produits de Sectigo réunissent la visibilité, l'automatisation et le contrôle dans les environnements sur site, multicloud, cloud hybride, IoT et conteneurisés pour simplifier la gestion du cycle de vie des certificats, améliorer l'efficacité, développer la crypto-agilité et assurer une conformité continue.
Pour migrer rapidement d'Entrust CA à Sectigo, demandez dès aujourd'hui une démo de la plateforme SCM ou parcourez nos options de certificats SSL/TLS et nous vous accompagnerons dans cette transition.