DSI, écoutez : planifiez une gestion des certificats évolutive, sinon ils disparaîtront

Ironiquement, La proposition de Google visant à réduire la validité des certificats TLS à seulement 90 jours pourrait alléger ce fardeaucar les exigences de validité de la racine tomberaient entre cinq et sept ans. Mais si cela devient une réalité, les entreprises devront alterner les certificats si fréquemment qu’elles auront besoin d’automatisation pour suivre le rythme. Les certificats TLS destinés au public étaient auparavant valables jusqu’à trois ans, mais ont d’abord été réduits à 825 jours (deux ans plus les 30 jours avant l’expiration, date à laquelle ils doivent être renouvelés), et maintenant à 398 jours (un an plus 30 jours). ) . Google a récemment proposé de le raccourcir à seulement 90 jours, ce qui signifie que les certificats devraient être renouvelés tous les deux à trois mois. Il n’est pas clair si le CA/Browser Forum prendra en charge le changement, mais si Google décide quand même de l’appliquer à Chrome, sa part de marché considérable pourrait pousser les autorités de certification à fixer la durée par défaut à 90 jours, ce qui nécessiterait jusqu’à six fois plus de renouvellements de certificats.

Il s’agit peut-être d’un délai trop agressif pour la plupart des organisations. Palanisamy a qualifié cela de fonction forcée qui nécessiterait de meilleurs contrôles, pratiques et bases de sécurité. « En pratique, il n’est pas possible de le faire manuellement, pour chaque appareil et chaque certificat de l’organisation », précise-t-il.

La révocation et le remplacement manuels des certificats impliquent l’utilisation de plusieurs systèmes pour générer et distribuer des clés, ce qui prend généralement une à deux heures par certificat.; cependant, les domotiques pourraient le faire en 15 ou 30 minutes. Des systèmes automatisés efficaces intégrés à une série d’autorités de certification, ce qui signifie travailler avec une série d’API, de SDK, d’agents et le protocole ACME, ainsi qu’avec les systèmes d’entreprise et les outils DevOps populaires, peuvent générer de nouvelles clés en quelques secondes ou minutes s’il y a lieu. constituent un coût pour le certificat qui doit être approuvé dans le cadre du flux de travail. Cela devrait être suffisamment efficace pour être effectué de manière proactive peu de temps avant son expiration, en tirant le meilleur parti des certificats de courte durée.