Google Chromium a récemment provoqué une onde de choc parmi les professionnels de l'informatique déjà pressés en annonçant qu'il réduirait la durée de vie des certificats TLS de 398 à 90 jours.
Cette décision était prévue depuis longtemps, et ceux d'entre nous qui étaient conscients de l'influence de Google Chromium avaient déjà prédit qu'elle apparaîtrait dans une future mise à jour de la politique ou dans une proposition de vote de l'autorité de certification/du forum des navigateurs.
Cette baisse de la validité maximale entraînera des changements majeurs pour l'industrie et les entreprises.
Ces dernières années, la durée maximale d'un certificat TLS (ou SSL) public s'est rétrécie, passant de trois ans à deux ans, puis à un an. Google Chrome a l'intention de réduire encore cette durée de vie à 90 jours, une mesure qui entrera potentiellement en vigueur d'ici fin 2024, bien qu'aucune date n'ait été précisée à l'heure actuelle.
La raison de la réduction proposée de la durée de vie des certificats est d'encourager l'automatisation dans l'ensemble de l'écosystème.
Ces changements conduiront à une adoption plus rapide des capacités de sécurité et des meilleures pratiques à venir, encourageant l'écosystème à s'adapter et à passer plus rapidement à des algorithmes résistants au quantum, tout en réduisant également la dépendance à l'égard de solutions de vérification de la révocation “cassées” qui ne peuvent pas être fermées en cas d'échec et qui, par conséquent, offrent une protection incomplète. De plus, les certificats à durée de vie plus courte réduiront l'impact des disqualifications inattendues des journaux de transparence des certificats.
Ce qui est caché dans le sous-texte de la feuille de route “Aller de l'avant, ensemble” de Google Chromium, c'est la façon dont le processus va se dérouler. Si le CA/B Forum choisit de s'aligner sur Google Chromium et d'apporter ce changement par le biais d'un processus de vote, c'est une façon d'en faire une exigence. Toutefois, si ce n'est pas le cas, Google Chromium laisse entendre qu'il est prêt à imposer unilatéralement ce changement. La façon dont il le ferait est de rendre ce changement obligatoire pour le programme racine de Chrome, ce qui signifie qu'il deviendrait immédiatement une norme de facto que toutes les autorités de certification publiques commerciales devront suivre. Étant donné que les navigateurs contrôlent leurs propres exigences en matière de programme racine indépendamment des mandats du CA/B Forum, ce changement peut avoir lieu, que le CA/B Forum l'approuve ou non.
Google avertit l'industrie qu'elle doit se préparer à des durées de vie des certificats numériques radicalement plus courtes. Cette annonce précoce de son intention vise à donner aux utilisateurs le temps de déployer la transition vers des systèmes capables de prendre en charge de manière transparente la réduction des délais de validité, et les implications qui en découlent, et les organisations ont tout intérêt à tirer parti de cet avertissement précoce.
La première question, et la plus évidente, que se poseront les RSSI est de savoir comment ils vont aborder la gestion des certificats numériques dont la durée de vie est plus courte.
Dans les entreprises, nous voyons déjà des dizaines ou des centaines de milliers de certificats déployés dans n'importe quel environnement informatique, chacun avec des dates de renouvellement disparates. Pour presque toutes les organisations, le nombre de certificats numériques qu'elles doivent gérer continue à augmenter rapidement. Ce seul fait a fortement augmenté les niveaux de risque et est devenu un problème urgent qui exige des solutions automatisées.
Les certificats numériques permettent aux entreprises d'effectuer des transactions en toute sécurité au sein de leurs propres écosystèmes et au-delà. Les certificats numériques sécurisent des systèmes et des processus presque illimités, des téléphones portables aux appareils IoT sophistiqués déployés dans les infrastructures nationales critiques, et tout ce qui se trouve entre les deux.
Les méthodes manuelles ne sont plus une option alors que la gestion devient 4x plus difficile
Les organisations doivent comprendre les dangers que présente une approche manuelle de la gestion des certificats numériques. On ne peut ni ne doit plus travailler en toute confiance uniquement avec des outils de base tels que des feuilles de calcul et des solutions ponctuelles en silo. Cela entrave la visibilité de toutes les identités numériques et conduit à rater des choses, ce qui peut entraîner des pannes ou pire créer une opportunité à exploiter pour les mauvais acteurs. L'introduction des certifications à 90 jours ne fera qu'aggraver le problème, et continuer à les gérer manuellement ne fera qu'augmenter la probabilité d'une violation ou d'une panne.
Avec le nouveau changement de durée de vie, le travail va augmenter pour les services informatiques, ils devront gérer le renouvellement et le déploiement de ces certificats de serveur plus de quatre fois par an. L'augmentation de la charge de travail augmentera considérablement le potentiel d'erreur.
Les RSSI doivent déjà faire face aux obstacles existants tels que les certificats voyous, la visibilité sur les décisions cryptographiques et le déploiement individuel, et cela ne fait qu'aggraver le problème. La gestion manuelle devient tout simplement irréalisable et quiconque adopte encore cette approche en paiera très certainement le prix.
Automatiser ou risquer des brèches et des pannes
Les acteurs de la menace sont devenus de plus en plus sophistiqués et efficaces dans leurs attaques. Alors que les entreprises sont généralement devenues plus sophistiquées dans l'identification et l'arrêt des attaques potentielles, le changement annoncé par Google signifie que les acteurs malveillants se préparent à tirer parti de cette situation. Les organisations qui souffriront le plus seront celles qui ne parviendront pas à gérer au mieux les identités des humains et des machines une fois que la durée de vie des certificats numériques sera réduite à 90 jours.
Les organisations doivent automatiser l'ensemble du cycle de vie des certificats numériques, du renouvellement à la révocation, à grande échelle.
L'option la plus avancée pour automatiser leur processus de gestion des certificats est celle des plateformes de gestion du cycle de vie des certificats (CLM) agnostiques à l'autorité de certification. Ces solutions peuvent aider à la découverte des certificats dans les environnements d'entreprise, indépendamment de l'autorité de certification qui les a émis à l'origine. Ces plates-formes facilitent la tâche en notifiant les expirations imminentes et en fournissant et installant automatiquement les certificats de renouvellement et de remplacement. De cette façon, les entreprises peuvent se prémunir contre les pannes découlant d'une utilisation ou d'un renouvellement incorrect des certificats et garder le contrôle de leur sécurité.
Les certificats de 90 jours de Google arrivent. Avec suffisamment de temps pour se préparer et l'automatisation facilement à leur disposition, les entreprises n'ont plus d'excuse pour se faire surprendre.
Tim Callan est directeur de l'expérience chez Sectigo
Tu pourrais aussi lire :
Cybersécurité : Se préparer pour l'année à venir:
Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel £5 par mois ou £50 par an. S'inscrire
