Sectigo FAQ

FAQ - Private PQC Sectigo

Généralités

Qu'est-ce que Private PQC dans Sectigo Certificate Manager (SCM) ?

Private PQC est une capacité expérimentale de cryptographie postquantique (PQC) privée intégrée à Sectigo Certificate Manager (SCM). Elle permet aux organisations d'émettre et de gérer des certificats SSL/TLS PQC privés en utilisant les mêmes flux de travail d'approbation, la visibilité de l'inventaire, l'audit et les contrôles du cycle de vie qu'ils utilisent déjà pour les certificats traditionnels.

L'objectif est simple : permettre aux équipes informatiques d'apprendre par la pratique, dans des conditions opérationnelles réelles, sans les obliger à prendre des décisions de production prématurées ou à effectuer des changements architecturaux qui n'ont pas fait leurs preuves.

En quoi Private PQC est-il différent de Sectigo Quantum Labs ?

Ils répondent à des étapes différentes du parcours PQC :

Sectigo Quantum Labs: Un environnement léger, basé sur le web, pour les premières explorations et expérimentations de PQC. Il est idéal pour les tests et les évaluations pratiques, sans nécessiter de produits Sectigo.
Private PQC dans SCM: étend cette expérimentation à un environnement PKI d'entreprise, où la gouvernance, la visibilité et la gestion du cycle de vie sont importantes. Les équipes peuvent importer des certificats de Sectigo Quantum Labs et les gérer avec d'autres certificats privés en utilisant des flux de travail SCM familiers.

Ensemble, ils fournissent une progression claire de l'expérimentation à la préparation opérationnelle, permettant aux équipes informatiques de commencer à petite échelle, puis d'apporter ce qu'ils apprennent dans les opérations de certificats réels sans changer d'outils ou de fournisseurs.

Accompagnement et accès

Comment puis-je accéder au Private PQC de Sectigo ?

Si vous êtes un client existant de SCM Private CA et que vous êtes hébergé en dehors de l'Union Européenne :
Vous pouvez demander l'accès directement depuis le portail SCM en utilisant votre login MRAO. Une fois la demande soumise, l'accès est généralement activé dans un délai de deux jours ouvrables.
Si vous êtes un client SCM mais n'avez pas encore d'AC privée, ou si votre compte est hébergé dans une région de l'UE :
Contactez votre chargé de clientèle Sectigo. Il peut vous aider à comprendre vos options et vous guider dans la demande d'accès.
Si vous n'êtes pas encore client SCM :
Vous pouvez commencer à explorer la cryptographie postquantique dès aujourd'hui en utilisant Sectigo Quantum Labs, notre environnement léger basé sur le web pour l'expérimentation PQC.
Si vous souhaitez en savoir plus sur SCM ou activer Private PQC dans le cadre de votre stratégie de certificat, contactez-nous dès aujourd'hui pour une démonstration du produit :
Contactez-nous pour une démo du produit dès aujourd'hui.

Je suis un utilisateur de l'AC privée SCM MRAO, mais je ne vois pas le bouton de demande ?

Si le bouton de demande n'est pas visible, il se peut que notre fonction de messagerie in-app soit désactivée pour votre compte en raison des restrictions de sécurité du navigateur de votre organisation. Veuillez contacter votre gestionnaire de compte pour activer l'accès.

Dois-je payer pour activer Private PQC dans SCM ?

Non. L'accès à Private PQC est fourni sans frais supplémentaires aux clients éligibles de SCM Private CA pendant la phase expérimentale. Pour commencer, il suffit de soumettre le formulaire de demande dans SCM. Une fois la demande soumise, l'accès est généralement activé dans un délai de deux jours ouvrables.

Comment fonctionne Private PQC dans SCM ?

Private PQC est intégré directement dans SCM en utilisant l'expérience existante de Private CA.

Vous pouvez

Demander et approuver des certificats PQC
Suivre l'inventaire PQC parallèlement aux certificats traditionnels
Renouveler, révoquer et auditer les certificats à l'aide de flux de travail familiers.

Cela permet aux équipes d'évaluer PQC dans des conditions opérationnelles réelles, et non dans le cadre de tests isolés en laboratoire.

Private PQC nécessite-t-elle une nouvelle infrastructure ?

Sectigo héberge et exploite l'AC Private PQC et fournit un HSM virtuel entièrement géré. Les clients n'ont pas besoin de déployer, de sécuriser ou de maintenir eux-mêmes une infrastructure expérimentale de CA ou de HSM.

Puis-je utiliser mon propre HSM ?

Sectigo gère et exploite l'infrastructure Private PQC CA, y compris le HSM virtuel. Cela permet d'introduire la cryptographie expérimentale de manière responsable sans reporter le risque opérationnel ou cryptographique sur les clients.

Les certificats Private PQC doivent-ils être utilisés en production ?

Non. Private PQC doit être considérée comme une capacité d'apprentissage et de préparation. Les organisations doivent continuer à s'appuyer sur des normes cryptographiques établies et largement reconnues pour les environnements de production.

Les certificats PQC peuvent-ils être automatisés comme les autres certificats TLS privés ?

À ce stade, Private PQC se concentre sur l'expérimentation pratique et régie plutôt que sur les flux de travail automatisés des certificats. L'objectif est de fournir un aperçu opérationnel précoce tout en évitant les hypothèses prématurées sur les flux de travail PQC à long terme. Les capacités d'automatisation évolueront en fonction des normes et du retour d'information des clients.

J'ai des difficultés à configurer la racine de ma Private PQC. Qui puis-je contacter pour obtenir de l'aide ?

Private PQC est une fonctionnalité expérimentale, le support formel est donc actuellement limité.

Pour vous aider à démarrer, nous mettons à votre disposition

Une vidéo de démonstration
Une documentation technique
Un formulaire de retour d'information dans le portail SCM pour faire part de vos suggestions ou de votre intérêt pour les améliorations futures.

Vos commentaires nous aident à définir les prochaines étapes de Private PQC au fur et à mesure de l'évolution du produit.

Que se passe-t-il si je veux cesser d'utiliser Private PQC ou le désactiver ?

Aucune désactivation formelle n'est nécessaire.

Si vous décidez que Private PQC ne vous convient pas, vous pouvez simplement cesser de demander ou d'utiliser des certificats PQC dans SCM. Il n'y a pas d'impact sur votre AC privée existante ou sur les certificats traditionnels.

Nous apprécierions vraiment votre retour d'information. Si quelque chose n'a pas fonctionné comme prévu, ou si vous avez des idées sur la manière dont Private PQC pourrait être amélioré, veuillez soumettre le formulaire de retour d'information dans SCM. Vos commentaires contribuent directement à façonner l'évolution de Private PQC dans les étapes futures et à garantir qu'il prenne mieux en charge les cas d'utilisation réels.

Champ d'expérimentation

Le Private PQC de Sectigo est-il prêt pour la production ?

Non. Private PQC est explicitement expérimental. Il est conçu pour aider les équipes à apprendre et à se préparer, et non pour remplacer la PKI de production ou soutenir les cas d'utilisation de la confiance publique. Des garde-fous sont intentionnellement mis en place pour éviter toute dépendance accidentelle à l'égard d'une cryptographie en constante évolution.

Quels sont les types de certificats pris en charge ?

Private PQC prend actuellement en charge

Certificats privés uniquement
Cas d'utilisation des certificats SSL/TLS uniquement
Algorithmes PQC expérimentaux (ML-DSA44, ML-DSA65, ML-DSA87)
Validité maximale d'un certificat d'un an

Ces contraintes réduisent les risques à long terme tout en permettant une évaluation significative.

Pourquoi Private PQC de Sectigo choisit-elle de supporter les algorithmes ML-DSA ?

Sectigo a choisi ML-DSA parce que c'est l'un des premiers algorithmes de signature post-quantique normalisés par le NIST avec des spécifications IETF définissant son utilisation dans les certificats X.509, y compris les OID et les conseils d'encodage.

Le RFC 9881 définit la manière dont ML-DSA (tel que spécifié dans le NIST FIPS 204) est représenté et utilisé au sein de l'ICP Internet, y compris les signatures de certificats, les clés publiques des sujets et les listes de révocation de certificats (CRL), ce qui en fait l'option de signature PQC la plus clairement spécifiée et interopérable disponible aujourd'hui pour l'expérimentation basée sur les certificats.

Pourquoi les certificats ML-DSA dans Private PQC sont-ils limités à une validité d'un an ?

Les certificats ML-DSA ont une durée de validité d'un an afin de garantir la sécurité des tests post-quantiques.

La cryptographie postquantique étant toujours en évolution, des durées de vie de certificat plus courtes permettent de maintenir la sécurité et la flexibilité des expérimentations.

Une validité d'un an est utile :

d'éviter que les certificats ne soient bloqués au fur et à mesure de l'évolution des algorithmes
réduire l'exposition cryptographique à long terme
d'éviter la dépendance accidentelle à l'égard de la cryptographie expérimentale.

Cela permet d'apprendre en toute sécurité pendant que les normes et les meilleures pratiques continuent d'évoluer.

L'utilisation de ML-DSA signifie-t-elle que Sectigo pense qu'il s'agit de la solution postquantique finale ?

Non. Private PQC est conçue pour l'apprentissage, pas pour la permanence. Sectigo ne suppose pas que les algorithmes, les paramètres ou les formats de certificat actuels représentent l'état final post-quantique.

Sectigo suit activement :

Les travaux de normalisation de l'IETF, y compris les spécifications de l'ICP post-quantique
Les orientations du programme racine du navigateur
Algorithmes cryptographiques normalisés par le NIST

Private PQC est délibérément conçu pour évoluer en même temps que ces directives, ce qui permet aux clients de conserver leurs flux de travail et leur apprentissage, même si les algorithmes, les modèles de certificats ou les architectures de confiance changent. La philosophie est simple : commencer à apprendre tôt, rester adaptable et éviter les engagements de production prématurés.

Les certificats ML-DSA sont-ils destinés à être déployés sur le web public ?

Non. Les certificats Private PQC de Sectigo sont :

Privés uniquement
Ne sont pas reconnus par les navigateurs
Ne sont pas destinés à un déploiement HTTPS public

Les fournisseurs de navigateurs, y compris Google, ont déclaré qu'ils n'avaient pas de plans immédiats pour inclure des certificats X.509 post-quantiques traditionnels dans les magasins de racines des navigateurs, ce qui renforce l'importance de garder l'expérimentation PQC séparée des environnements de confiance publique à ce stade.

Private PQC s'aligne sur ces conseils en gardant l'expérimentation contenue, privée et gouvernée.

Si Google explore de nouveaux modèles de certificats tels que les certificats Merkle Tree (MTC), pourquoi expérimenter ML-DSA maintenant ?

Expérimenter ML-DSA maintenant aide les équipes à comprendre rapidement les compromis opérationnels post-quantiques.

Les travaux de Google sur les MTC mettent en évidence une réalité importante : la cryptographie postquantique introduit de véritables compromis opérationnels, et pas seulement des compromis cryptographiques.

La PQC privée est intentionnellement conçue pour aider les organisations à comprendre ces compromis dès le début, notamment :

Des tailles de clés et de signatures plus importantes
Les impacts sur les cycles de vie et les inventaires de certificats
Les implications en matière de gouvernance, d'approbation et d'audit.

En expérimentant dès maintenant, les équipes peuvent développer une sensibilisation et une préparation opérationnelles, tandis que l'écosystème plus large continue d'évoluer.

Préparation future

Comment Private PQC contribue-t-il à la préparation au PQC de mon organisation ?

Private PQC aide les organisations à se préparer à la cryptographie postquantique en transformant l'apprentissage en expérience opérationnelle réelle.

Il permet aux équipes de

D'acquérir une expérience pratique des certificats PQC
De comprendre les impacts opérationnels tels que les approbations, les audits et le suivi des stocks
D'identifier les lacunes en matière de préparation avant l'adoption à grande échelle.

Cela renforce une réalité importante : La préparation à la PQC est autant un défi opérationnel qu'un défi cryptographique.

Private PQC évoluera-t-elle en même temps que les normes ?

Oui. Private PQC est conçu pour évoluer et non pour durer. Au fur et à mesure que les RFC, les directives du CA/B Forum et les recommandations cryptographiques évoluent, Sectigo a l'intention d'adapter les capacités de PQC sans obliger les clients à changer de plateforme ou à reconstruire leurs flux de travail. Les premiers retours d'expérience des clients permettront d'orienter directement cette évolution.

Comment Sectigo s'aligne-t-il sur l'évolution des navigateurs et des normes ?

Sectigo suit activement et participe à :

Le travail de normalisation de l'IETF, y compris les spécifications PKI postquantiques
Les directives du programme racine des navigateurs, y compris les initiatives Moving Forward, Together de Chrome
Les algorithmes cryptographiques normalisés du NIST

Private PQC est délibérément conçu pour évoluer en même temps que ces directives, permettant aux clients de conserver leurs flux de travail et leur apprentissage même si les algorithmes, les modèles de certificats ou les architectures de confiance changent.

Où puis-je en savoir plus sur le développement de PQC ?

Pour rester informé sur la cryptographie postquantique et sur la façon dont Sectigo s'approche de la préparation à la PQC, vous pouvez.. :

Suivre Sectigo pour les mises à jour de produits, les annonces et les perspectives de l'industrie.
S'abonner au podcast Root Causes pour obtenir les dernières informations des experts PKI de l'industrie sur les changements cryptographiques et l'évolution de la sécurité postquantique.
Explorez nos ressources sur la cryptographie post-quantique (PQC), où nous partageons des recherches, des conseils et du contenu éducatif pour aider les organisations à se préparer.

Ces ressources sont mises à jour en fonction de l'évolution des normes, des orientations des navigateurs et des meilleures pratiques de l'industrie.