Les certificats numériques sont délivrés pour un (ou plusieurs) usage(s) définis et ont une durée de vie limitée. Leur non-renouvellement, à l’heure du « tout numérique », est lourd de conséquences : failles de sécurité, indisponibilité d’applications critiques, pertes de chiffre d’affaires, dégradation de la relation client ou encore de l’image de marque. Comment éliminer les interruptions de service dues à l’expiration des certificats numériques ?
Qu’est-ce qu’un certificat numérique ?
Un certificat numérique (également appelé certificat numérique ou certificat de clé publique) est une sorte de « pièce d’identité électronique », émise par des tiers de confiance, qui garantit l’identité de son propriétaire : une personne, un serveur, un logiciel (une application), une appliance ou encore une organisation.
Ces certificats numériques sont alors utilisés pour répondre à différents objectifs de sécurité informatique, tels que :
- La confidentialité par le chiffrement
- L’authentification des personnes et des machines
- La sécurité des communications
- L’intégrité et la non-répudiation des signatures numériques
- La disponibilité des applications et services numériques
- La traçabilité et les preuves numériques
Comment se présente un certificat numérique ?
Concrètement, un certificat numérique se présente de la façon suivante :
Il contient notamment les informations relatives à :
- Une clé publique
- Un nom, un prénom, un domaine
- Une autorité de confiance (AC) qui a délivré le certificat, un lien vers la CRL (Liste de révocation des certificats)
- Un usage
II s’agit d’un fichier de taille moyenne, en langage machine. Il existe également différents formats de fichiers et différentes extensions comme .pem , .p12 , .cert ou .crt.
Durée de vie limitée et risque d’interruption de service
Depuis sa création jusqu’à son expiration, le certificat numérique passe par plusieurs étapes, résumées dans le schéma ci-dessous :
La durée de vie moyenne d’un certificat est de deux à trois ans. Il est préconisé de réduire au minimum la durée de validité des certificats, afin de prévenir des failles de sécurité au niveau du système d’information ou encore de l’autorité émettrice. Par exemple, la durée de vie des certificats SSL de Let’s Encrypt est de 90 jours.
C’est pour cela que pour assurer leur renouvellement avant leur expiration et fin de vie, il est nécessaire de superviser l’intégralité des certificats numériques… sous peine de s’exposer à des interruptions de service ! C’est ainsi que nombreuses organisations l’ont appris à leurs dépens. On peut ainsi citer Microsoft (2013), LinkedIn (2019), Ericsson (2018), le service FreeWifi, ou même la Maison Blanche.
Voici ci-dessous une capture d’écran montrant ce que les utilisateurs qui se rendent sur un site dont un certificat a expiré voient :
Comment se prémunir contre les interruptions de services ?
Qu’il s’agisse de limiter les failles de sécurité, de garantir la disponibilité des applications critiques, de ne pas risquer de perdre du chiffre d’affaires, de dégrader la relation client ou l’image de marque, les organisations ont tout intérêt à se protéger contre les interruptions de services dues à l’expiration de certificats. Or, elles utilisent des milliers de certificats numériques. Que ce soit sur leurs serveurs web (Apache, Tomcat, IIS, protocole DNSSEC), pour leurs transactions bancaires, dans les solutions de signature électronique ou d’archivage, au sein de leur blockchain, etc, les certificats numériques ont des usages multiples.
Gérer manuellement les milliers de certificats s’avère non seulement chronophage et sans réelle valeur ajoutée, mais également source d’erreur. Ainsi, pour éliminer les interruptions de service dues à l’expiration de certificats numériques, il est conseillé de s’équiper d’un outil de gestion des certificats numériques pour :
- Automatiser la découverte de l’ensemble des certificats utilisés dans le SI
- Analyser les certificats et leur conformité aux politiques de sécurité
- Superviser les non-conformités et les expirations à venir
- Gagner en réactivité en cas d’incident ou de compromission
- Renouveler automatiquement les certificats intégrés et connectés aux différentes PKI internes et externes en usage dans l’organisation
- Déployer les nouveaux certificats et garantir leur prise en compte effective par les éléments du réseau ainsi que par les applications métiers
- Générer des rapports d’état des systèmes
