Redirecting you to
Article de blog mars 13, 2023

Google impose des certificats TLS de 90 jours : Pourquoi l’automatisation est essentielle

Le 3 mars, Google a annoncé dans sa feuille de route « Moving Forward, Together » son intention de réduire la validité maximale possible des certificats TLS publics de 398 jours à 90 jours, dans le cadre d'une future mise à jour de sa politique ou d'une proposition de vote du CA/B Forum. Cette réduction à 90 jours de la validité maximale entraînera des changements majeurs pour l'industrie.

Table des Matières

La tendance à la réduction de la durée de vie des certificats est une tendance que Sectigo avait déjà prédite en 2019. Ces dernières années, la durée maximale d'un certificat public TLS (également appelé SSL) est passée de trois ans à deux ans, puis Google a déclaré qu'il avait l'intention de réduire encore cette durée de vie à 90 jours.

Dans cet article, l'équipe Sectigo revient sur la signification de cette annonce et son impact sur la gestion des certificats, ainsi que sur l'importance d'une gestion automatisée des certificats et sur la manière de la mettre en œuvre.

L'annonce de Google concernant les certificats de 90 jours et ce qu'elle signifie

La déclaration de Google selon laquelle il appliquera cette mesure par le biais d'une « future mise à jour des règles ou d'une proposition de vote du forum CA/B » est un détail subtil mais important qui mérite d'être souligné. Google semble dire que si le CA/B Forum choisit d'apporter ce changement industriel par le biais d'un processus de vote, c'est très bien. Toutefois, Google est prêt à imposer unilatéralement ce changement en en faisant une exigence pour le programme racine de Chrome, ce qui en ferait une norme de facto que toutes les autorités de certification publiques commerciales devront respecter. Comme les navigateurs contrôlent leurs propres exigences en matière de programme racine, ce changement peut se produire même en l'absence d'un mandat du CA/B Forum.

Google annonce délibérément ses intentions afin de donner à l'industrie et aux consommateurs de certificats le temps de se préparer à l'inévitable transition et aux implications qui l'accompagnent.

Pour les RSSI et leurs équipes, l'implication la plus évidente est la manière dont ils aborderont la gestion des certificats numériques dont la durée de vie est plus courte. La gestion manuelle des certificats deviendra une pratique insoutenable et il sera essentiel de commencer à réfléchir au passage à l'automatisation.

Les risques liés au renouvellement manuel des certificats

Si, techniquement, les entreprises peuvent encore gérer manuellement des certificats numériques d'une durée de vie maximale de 90 jours, le renouvellement et le déploiement manuels deviendront rapidement de plus en plus risqués. Les risques de la gestion manuelle sont les suivants

  • Risque d'erreurs - Plus de renouvellements signifie plus de risques d'erreurs humaines, car cette tâche devra être effectuée quatre fois par an au lieu d'une.
  • Nécessite des ressources importantes - Des certificats de 90 jours signifient non seulement un risque d'erreur humaine quatre fois plus élevé, mais aussi quatre fois plus de travail que les équipes de sécurité informatique consacrent actuellement à cette tâche déjà ardue.
  • Non évolutif - Au fur et à mesure que les organisations se développent et ont davantage de certificats numériques à gérer, l'émission et le renouvellement manuels des certificats deviendront de moins en moins viables.
  • Interruptions potentielles et violations de données - L'utilisation incorrecte des renouvellements de certificats numériques peut entraîner des interruptions SSL/TLS et des violations de données.

Risques globaux pour la cybersécurité - Les acteurs malveillants créent sans cesse des techniques plus sophistiquées pour exploiter les faiblesses de la cybersécurité d'une organisation, ce qui peut avoir de graves conséquences. L'une des principales faiblesses qu'ils s'empresseront d'exploiter ? Le manque de cryptage fourni par un certificat SSL. Ces risques sont aggravés par le fait que, pour presque toutes les organisations, le nombre de certificats numériques qu'elles doivent gérer continue d'augmenter rapidement. Il ne s'agit pas d'un certificat dont il faut s'occuper quatre fois par an, mais de dizaines, de centaines ou de milliers de certificats numériques. .

Si l'on ajoute les difficultés existantes telles que les certificats frauduleux, la visibilité sur les décisions cryptographiques et le déploiement individuel, la gestion manuelle devient irréalisable. Ce n'est pas un travail qui peut être facilement effectué manuellement aujourd'hui et, à l'avenir, les organisations qui adoptent encore une approche manuelle en paieront très certainement le prix.

La voie à suivre est claire : il est temps d'automatiser.

L'importance de la gestion automatisée du cycle de vie des certificats

Les acteurs malveillants ont souvent une longueur d'avance et ils seront prêts à profiter des organisations qui ne repenseront pas leur approche de la gestion de l'identité des personnes et des machines dans le sillage de la réduction de la durée de vie des certificats numériques. C'est maintenant qu'il faut agir. En fin de compte, les entreprises doivent disposer d'une solution de bout en bout pour automatiser les cycles de vie des certificats numériques, à grande échelle.

Pour réduire les risques, l'automatisation est cruciale. Ce n'est pas seulement la durée de vie des certificats qui diminue, mais aussi la durée de réutilisation de la validation du domaine. Aujourd'hui, les exigences de base autorisent la réutilisation de données ou de documents liés à des validations de domaine précédemment effectuées pendant une durée maximale de 398 jours. Google a également fait part de son intention de réduire les périodes de réutilisation de la validation de domaine à 90 jours, en déclarant qu'« une validation de domaine plus rapide protégera mieux les propriétaires de domaines tout en réduisant le risque qu'une autorité de certification s'appuie par erreur sur des informations périmées, obsolètes ou non valides, ce qui entraîne une mauvaise émission de certificats et des abus potentiels ». Il s'agit là d'un détail important, car les entreprises doivent non seulement gérer les certificats numériques dans leurs systèmes, mais aussi revérifier leurs domaines tous les 90 jours.

Comment automatiser l'émission et le renouvellement des certificats ?

Avec les bons outils et la bonne plateforme, l'automatisation de la gestion des certificats est un processus transparent. Tout d'abord, il est essentiel de trouver une plateforme de gestion du cycle de vie des certificats (CLM) indépendante de l'autorité de certification. Ce type de solution de gestion des certificats facilite la découverte des certificats numériques dans de vastes environnements d'entreprise, quelle que soit l'autorité de certification émettrice, vous informe de l'expiration imminente des certificats et provisionne et installe automatiquement les certificats de renouvellement et de remplacement. Ce faisant, elles permettent d'éviter les interruptions et les violations dues à une mauvaise utilisation ou au renouvellement des certificats numériques, tout en facilitant le suivi des cycles de vie par votre équipe dans un emplacement centralisé.

S'adapter à des durées de vie des certificats plus courtes

Lors du passage à l'automatisation, il est important d'utiliser un CLM provenant d'une autorité de certification de confiance. C'est là que Sectigo intervient. Sectigo Certificate Manager (SCM) est le CLM agnostique de l'autorité de certification le plus robuste du marché. SCM est conçu pour automatiser le cycle de vie de tous les certificats numériques, quelle que soit leur origine. SCM offre :

  • La prise en charge du protocole ACME (Automated Certificate Management Environment).
  • Prise en charge du protocole SCEP (Secure Certificate Enrollment Protocol).
  • La prise en charge du protocole Enrollment Over Secure Transport (EST).
  • Un outil d'automatisation propriétaire qui permet la gestion des certificats pour une variété de systèmes, y compris Apache Tomcat, les serveurs web Windows IIS et les équilibreurs de charge F5 Big-IP.
  • API REST : Dans certains cas, les entreprises préfèrent intégrer des applications plus étroitement avec Sectigo, ce qui est possible en utilisant l'API REST de Sectigo.

SCM s'intègre également avec un large éventail de fournisseurs de technologies. Les équipes informatiques peuvent automatiser l'émission et la gestion des certificats numériques Sectigo, ainsi que ceux d'autres autorités de certification publiques et privées telles que Microsoft Active Directory Certificate Services (ADCS), AWS Cloud Services et Google Cloud Platform (GCP).

Cela s'ajoute aux intégrations avec des plateformes DevOps populaires comme Kubernetes, Docker, HashiCorp, et plus d'une douzaine de technologies de pointe, y compris les principales plateformes de Load Balancer comme Amazon, Google, F5, A10 Networks et Kemp, les CDN populaires comme Akamai et Amazon, et même les applications de notification comme Microsoft Teams et Slack.

Découvrez pourquoi Sectigo Certificate Manager est le premier et le plus complet des CLM agnostiques du marché.

Pour en savoir plus, téléchargez notre webinaire sur la validité des certificats à 90 jours.

Envie d'en savoir plus ? Contactez nous pour réserver une démo de Sectigo Certificate Manager !

Articles associés :

Découvrez les économies et avantages de Sectigo Certificate Manager

L'évolution du cycle de vie des certificats SSL/TLS et la manière de gérer les changements

Le rôle de l'automatisation du cycle de vie des certificats dans les environnements d'entreprise