Pierre Codis (Keyfactor) "Le marché des solutions qui gèrent le cycle de vie des certificats TLS connaît une forte croissance"
Directeur commercial Europe de l'ouest chez Keyfactor, Pierre Codis évoque les conséquences que provoque la réduction à 47 jours de la durée de validité des certificats TLS.
Avant toutes choses, pouvez-vous nous rappeler ce qu'est un certificat public TLS ?
Le certificat public sert à authentifier et chiffrer tout ce qui est exposé sur Internet. La plupart du temps, il s'agit d'un certificat transport layer security (TLS). L'adresse d'un site web sécurisé par ce certificat commence par https. Quand un utilisateur navigue sur un tel site, un certificat TLS est nécessairement consommé. Celui-ci permet de garantir qu'il existe un lien entre le site et son propriétaire, d'authentifier le site, de chiffrer les échanges entre le site, le navigateur et ses utilisateurs, de protéger l'accès aux serveurs web, etc.
Ce certificat est émis par des autorités de certification (AC) qui doivent respecter les exigences du certification authority browser forum (CA/B Forum). Le CA/B Forum réunit les éditeurs de navigateurs comme Google Chrome, Firefox, Internet Explorer, etc. Actuellement, la durée de validité de ce certificat est de 398 jours. Mais le CA/B Forum a décidé de réduire cette durée à 200 jours en 2026, 100 jours en 2027 et 47 jours en 2029.
Pourquoi le CA/B Forum décide-t-il de réduire la durée de validité ?
Cette réduction a été décidée pour réduire la surface temporelle pendant laquelle un attaquant peut compromettre un certificat. Quand une organisation demande un certificat pour chiffrer les communications entre le site web et l'utilisateur, une paire de clés est créée : la clé publique pour chiffrer les données et la clé privée pour les déchiffrer. Cependant, des organisations ne sécurisent pas assez bien le stockage de la clé privée. Celle-ci traîne parfois simplement dans une clé USB, un disque dur, etc. C'est pourquoi, quand des attaquants pénètrent dans un système d'information, ils espèrent toujours récupérer ce type de clés pour compromettre des certificats et déchiffrer des données.
Y-a-t-il d'autres raisons ?
Cette réduction de durée sert aussi à limiter les risques que provoque l'oubli de la révocation d'un certificat. Les certificats doivent en effet souvent être révoqués pour deux raisons. Soit parce qu'un propriétaire découvre que ses certificats sont compromis. Soit parce qu'il y a eu des changements dans la propriété des domaines. Dans la vie d'une entreprise, il peut en effet y avoir des acquisitions, des fusions, des changements de départements et autres événements qui nécessitent de changer le titulaire du certificat. Pour révoquer un certificat, l'organisation doit faire un signalement à une AC pour l'inclure dans la liste de révocation de certificats (CRL). Or cette liste est mise à jour manuellement et pas en temps réel. Il faut donc faire confiance à ses administrateurs de ne pas faire d'oublis. Réduire le temps de validité du certificat permet d'atténuer les faiblesses de ce système de révocation peu automatisé.
Enfin, conscient de la menace post-quantique, le CA/B Forum a réduit cette durée pour favoriser la crypto-agilité. Les algorithmes cryptographiques ont en effet tendance à être mis à jour plus régulièrement. Par exemple, les navigateurs Google Chrome et Firefox supportent déjà l'algorithme post-quantique ML-KEM utilisé dans le TLS. Les navigateurs vont être de plus en plus amenés à intégrer toujours plus de nouveaux algorithmes pour faire face à cette menace. Réduire la durée de validité des certificats permet donc de changer les algorithmes et la taille des clés qu'ils utilisent beaucoup plus rapidement.
Quel risque provoque la réduction du temps de validité ?
Le risque est que les organisations ne parviennent pas à les renouveler à temps. Notre dernier rapport State of machine identity report démontre que les 1 200 responsables de la sécurité des systèmes d'information interrogés subissent entre une et trois interruptions de service à cause de certificats expirés. Par exemple, un VPN ne peut pas établir de connexion si le certificat du serveur est expiré. Cela peut être très problématique pour les organisations qui permettent le télétravail à leurs salariés.
De manière générale, on sait que les certificats ne sont pas renouvelés correctement. Leur renouvellement est géré manuellement. Donc si la durée de validité tombe à 47 jours seulement, une organisation ne peut pas éviter des oublis de renouvellement si elle en a des milliers à gérer. D'autant que renouveler un certificat prend environ 30 minutes. Chez Keyfactor, on a fait les calculs : quand leur durée de vie sera de 47 jours, il faudra en moyenne 10 à 12 fois plus de temps, pour une organisation, pour les renouveler. Une organisation qui a des milliers de certificats ne pourra pas gérer leur renouvellement manuellement, c'est impossible.
Quelle solution existe pour automatiser le renouvellement ?
Il existe des solutions de gestion du cycle de vie des certificats (CLM) qui permettent d'automatiser à grande échelle le renouvellement des certificats publics et privés. Elles permettent au responsable de la sécurité de l'information de programmer le renouvellement que la solution effectue auprès de l'AC. Puis, elle interagit avec tous les serveurs web pour s'assurer qu'ils installent bien les certificats. Aussi, elles permettent de modifier automatiquement les algorithmes qu'utilisent les certificats afin d'automatiser leur transition vers le post-quantique. Actuellement, le marché des solutions qui gèrent le cycle de vie des certificats TLS connaît une forte croissance. De plus en plus d'organisations les adoptent à cause de la réduction de cette durée de validité.