Comment se préparer au passage à des certificats TLS de 90 jours ?
En 2023, Google prévoit de réduire la durée de vie des certificats de 398 jours à 90 jours. Quelles conséquences pour les entreprises et comment doivent-elles se préparer aux changements à venir ?
En mars dernier, Google a annoncé une proposition visant à réduire la durée de vie des certificats TLS publics de 398 jours, actuellement, à 90 jours seulement. Si ce n’est pas nouveau pour les équipes IT et sécurité - qui ont assisté à une réduction constante de la durée de vie des certificats au cours de la dernière décennie - elles doivent continuer à améliorer leur gestion des certificats. Une visibilité optimale est, en effet, nécessaire pour repérer rapidement les certificats arrivant à expiration, avant qu'ils ne posent problème et induisent des pannes et interruptions coûteuses.
Alors que va changer le projet "Moving Forward together" de Google et comment se préparer au mieux aux évolutions à venir ?
Des cycles de vie plus courts qui nécessitent une gestion plus fréquente des certificats
Les entreprises émettent des certificats à grande échelle et, selon le rapport annuel State of Machine Identity de Keyfactor, le volume moyen de certificats émis au sein d'une entreprise est de 256 000. Mais un plus grand nombre de certificats peut entraîner davantage de problèmes si l'entreprise ne peut pas les gérer.
Près des deux tiers (62%) des personnes interrogées (environ 1300 RSSI, CISO, CTO, responsables sécurités en Amérique du Nord, Europe, Moyen-Orient et Afrique EMEA). ont déclaré ne pas savoir combien de certificats elles possédaient. Sans visibilité, elles ne peuvent pas déterminer qui est propriétaire de quels certificats, qui les a émis ou sur quelles applications ou serveurs ils sont installés. Le problème ne fera que s'aggraver avec la réduction de la durée de vie des certificats, car 72 % des personnes interrogées déclarent que l'utilisation croissante des clés et des certificats exerce une pression accrue sur leurs équipes.
En réalité, ce ne sont pas les certificats qui posent problème mais le facteur humain. Les gens ont tendance à oublier de les renouveler et ne peuvent se concentrer que sur un nombre limité de tâches. Ce constat est clé à l’heure où la durée de vie des certificats diminue et que la charge de travail liée à leur renouvellement est multipliée par 4 ou 5.
Gain de sécurité versus gestion opérationnelle fastidieuse
Le projet "Moving Forward, Together" de Google comprend plusieurs évolutions, dont la plus importante est sans doute la période de validité maximale des certificats de 90 jours. L'objectif est d'améliorer la sécurité en réduisant la disponibilité du certificat. Cela s’appuie sur le même principe que le changement fréquent de mot de passe.
Mais face à une gestion toujours plus fastidieuse des certificats, le « gain de sécurité » en vaut-il la peine ? Pour alléger la charge opérationnelle, l’automatisation des tâches liées aux certificats, telles que l'inscription, le renouvellement et le provisionnement, est devenue essentielle.
Certes l'ACME (Automated Certificate Management Environment) peut aider les entreprises à adopter l'automatisation, il ne s'agit pas d'une solution universelle. Les équipes informatiques et de sécurité ont besoin d'une approche pluridimensionnelle de l'automatisation, comprenant l'utilisation de protocoles d'inscription standard comme ACME, SCEP et EST, ainsi que d'outils d'automatisation du cycle de vie des certificats, afin de s'assurer qu'elles peuvent répondre à tous les cas d'usage.
Elles doivent également s'assurer que le renouvellement est automatisé, tout comme le provisionnement et l'installation des certificats. Or c'est là que résident les difficultés. Un propriétaire d'application renouvelle un certificat, mais oublie de l'installer, l'installe de manière incorrecte ou perd tout simplement des heures précieuses qui pourraient être consacrées à d’autres priorités. L'automatisation du cycle de vie complet d'un certificat permet de réduire ces erreurs humaines et de diminuer, voire d'éliminer complètement, le temps consacré à des tâches chronophages et fastidieuses comme celle-ci.
Ne pas paniquer et anticiper
Personne ne sait quand, et si, le passage à des certificats de 90 jours aura bien lieu. Le changement nécessite un vote qui pourrait prendre de six à douze mois, suivi d'une période de transition. En outre, cette évolution se heurte déjà à l'opposition des lois antitrust de l'UE.
En matière de sécurité, la seule constante est le changement, et il s'agit simplement de savoir quand et comment il interviendra. Se préparer à une telle transition ne se fait pas du jour au lendemain, et demande du temps et une planification minutieuse.
Alors, quelles mesures les entreprises peuvent-elles prendre pour se préparer ? En réalité, il s'agit exactement des mêmes mesures que pour les certificats de 398 jours. La visibilité est la 1ère étape. Il est essentiel de savoir localiser chaque certificat présent sur le réseau. Il faut ensuite pouvoir déterminer qui est propriétaire du certificat et déléguer la responsabilité du cycle de vie du certificat. Il est également conseillé de simplifier les demandes et les approbations de certificats grâce à l'inscription en libre-service. Enfin, il faut automatiser l'ensemble du cycle de vie avec des alertes, des renouvellements et du provisionnement.
Il est important de préciser que l'automatisation ne se limite pas à l'acheminement du certificat vers l'équipement. Il s'agit de configurer l'équipement pour qu'il utilise le certificat, puis de signaler que celui-ci a été mis à jour et qu'il est désormais utilisé par l'appareil. Ainsi, si quelque chose ne s'est pas déroulé comme prévu, cela laisse aux équipes le temps de réagir et de prendre des mesures correctives.