Article co-rédigé par ÌýJeremyÌýRowley
L’internaute lambda ne réalise certainement pas toute la mécanique qui s’opère en coulisses pour sécuriser le monde ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ð. C’est pourtant grâce aux certificats ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ðs, émis par des autorités de certificationÌý(AC), qu’il peut utiliser les sites web, les e-mails, les serveurs et les logiciels en toute confiance. Et la fiabilité de ces AC est elle-même établie par des organismes de normalisation tels que le Certificate Authority/Browser (CA/B) Forum.Ìý
Or, en raison d’erreurs humaines et de bugs dans les codes, il arrive que les certificats émis ne répondent pas aux exigences de conformité strictes des opérateurs de rootÌýstores. Dans ce cas, il est attendu de l’AC qu’elle fasse preuve de transparence sur ce qu’il s’est passé, qu’elle révoque les certificats concernés et qu’elle aide la communauté à tirer des enseignements de cette situation.Ìý
Car comme on a pu le constater avec l’invalidation des certificats Entrust par GoogleÌýChrome, ne pas réagir dans les temps pour limiter les dommages peut avoir d’énormes conséquencesÌý– aussi bien pour les AC que pour leurs clients.Ìý
En juinÌý2024, l’équipe sécurité de GoogleÌýChrome a annoncé qu’à compter du 31ÌýoctobreÌý2024, elle . En effet, quelques mois auparavant, Entrust avait reconnu avoir émis qui ne répondaient pas aux standards établis.
Le délai de révocation stipulé dans les pour des certificats émis en dehors de ces standards est très courtÌý: 24Ìýheures ou cinqÌýjours, selon la nature du problème. L’AC peut généralement corriger la situation pour limiter l’impact sur les organisations, mais Entrust n’a pris aucune mesure pour révoquer ou remplacer les certificats concernés.Ìý
Interruptions de service, incertitude quant au statut de l’AC, érosion de la confiance des clients… une telle inaction a de multiples répercussions sur les organisations. Et pour des AC comme Entrust qui ne font rien pour révoquer ou remplacer leurs certificats non conformes, ces conséquences peuvent se traduire par une perte de confiance des éditeurs de navigateursÌýweb, ce qui explique la décision prise par Google.
Les bugs étant fréquents dans les logiciels, des problèmes d’émission de certificats peuvent se produire même dans les cycles de développement ultra-sophistiqués. Le cas échéant, le premier objectif de l’AC doit être de déterminer l’origine de l’erreur et de mettre en place de mesures pour éviter que la situation se reproduise.
En 2023, ¶ºÒõ¹Ý a découvert que 300Ìýcertificats émis pour un équipementier mondial ne respectaient pas les exigences de profil strictes définies par le CA/BÌýForum. Conformément à ces exigences, nous disposions de cinqÌýjours pour révoquer ces certificats afin de maintenir notre conformité aux standards, lesquels sont acceptés par toutes les AC en tant qu’entités de confiance publique.
Mais nos discussions avec le client ont révélé un problème de tailleÌý: révoquer les certificats en cinqÌýjours entraînerait une forte perturbation des systèmes critiques et pourrait mettre en danger la sécurité des consommateurs. Nous avons alors travaillé en étroite collaboration avec ce client et conclu qu’il lui faudrait unÌýmois pour remplacer les certificats concernés.
Or, s’il était impensable pour nous de ne pas suivre les règles du CA/B Forum, il était également impossible de révoquer les certificats sans les remplacer par des certificats correctement émis. Nous nous sommes donc rapprochés de la communauté et avons travaillé sans relâche avec notre client pour que leurs nouveaux certificats soient opérationnels à temps.Ìý
Bien que cette expérience ait été stressante pour toutes les personnes impliquées, les enseignements tirés ont permis à notre client de prendre les mesures nécessaires pour éviter toute récidive.
Voici ce que nous recommandons aux organisations qui s’appuient sur des certificats pour assurer leur sécuritéÌý:
Le CA/BÌýForum ne définit que les standards relatifs aux certificats de confiance publique. Le délai de révocation de cinqÌýjours ne s’applique pas aux certificats de confiance privée. Pour notre client, le fait d’installer des certificats de confiance publique sur des ressources qui n’en avaient pas besoinÌý– en l’occurrence, des appareils connectésÌý– a engendré des problèmes inutiles.
Notre conseilÌý? Faites un point sur l’utilisation de vos certificats. Pour éliminer tout risque de révocation susceptible de perturber votre activité, remplacez les certificats de confiance publique par des certificats de confiance privée lorsque ces derniers sont suffisants.ÌýÌý
Principaux cas d’usage des certificats de confiance privéeÌý:
¶ºÒõ¹Ý recommande également d’utiliser pkilint, son linter de certificats open source gratuit pour effectuer des contrôles de conformité automatisés sur les certificats.
De nombreuses entreprises utilisent encore des feuilles de calcul pour gérer leurs certificats. Une solution de gestion du cycle de vie des certificatsÌý(CLM) permet de respecter sans problème le délai de cinqÌýjours fixé par le CA/B Forum. Sans une telle solution, le remplacement de certificats émis en dehors des standards établis peut nécessiter un processus manuel lourd pouvant s’étaler sur plusieurs semaines.
Votre organisation ne dispose pas encore d’une solutionÌýCLM complèteÌý? Optez pour ¶ºÒõ¹Ý Trust Lifecycle Manager et ses nombreuses fonctionnalitésÌý:
La confiance ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ð dont nous parlons tant chez ¶ºÒõ¹Ý n’est pas un concept abstrait, mais une notion objective et mesurable. Soit les sitesÌýweb et les produits ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ðs des organisations sont protégés par des certificats fiables, soit ils ne le sont pas. De même, soit les AC respectent les standards établis par des organismes tels que le CA/BÌýForum, soit elles ne les respectent pas. Il n’y a pas de demi-mesure.
Lorsqu’une AC accepte de faire partie d’une communauté de confiance, sa fiabilité est jaugée à son niveau de transparence et à sa disposition à agir selon les règles. À elle seule, une erreur dans le processus d’émission d’un certificat ne conduit pas automatiquement à une invalidation. L’origine de cette erreur, les enseignements tirés par l’AC, et la manière dont celle-ci a géré l’incident, voilà ce qui importe le plus.
Envie d’en savoir plus sur la gestion du cycle de vie des certificats, la confiance ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ð ou les solutions ¶ºÒõ¹Ý de confiance ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ðÌý? Abonnez-vous au blogÌý¶ºÒõ¹Ý pour découvrir nos derniers articles sur toutes ces thématiques.