Il n'y a pas si longtemps, les certificats TLS duraient cinq ans. Ensuite, ils ont duré un peu plus d'un an (398 jours). Aujourd'hui ? Le secteur est confronté à une baisse radicale, avec des propositions visant à réduire la validité des certificats à seulement 47 jours d'ici à 2029. Il ne s'agit pas d'une hypothèse lointaine : les principaux navigateurs et autorités de certification ont déjà voté en faveur de la mise en œuvre de ce changement.
L'heure tourne et la gestion manuelle des certificats ne peut tout simplement pas suivre.
Pourquoi ce changement ? Une durée de vie plus courte signifie des fenêtres d'attaque plus petites. C'est une bonne chose pour la sécurité. Mais pour votre équipe, cela signifie que le rythme des renouvellements est sur le point d'exploser. Ce qui était auparavant une tâche annuelle pourrait bientôt devenir une course quotidienne - à moins que vous ne l'automatisiez.
Une approche pratique et progressive de l'automatisation des certificats l'automatisation des certificats n'est plus une "bonne chose" - c'est une nécessité pour rester sécurisé, conforme et sain d'esprit.
Lisez la suite pour savoir pourquoi, si votre stratégie de certification n'évolue pas, elle est en train de prendre du retard.
Du raccourcissement de la durée de vie au quantum : Pourquoi l'automatisation intelligente est importante aujourd'hui
La volonté de réduire la durée de validité des certificats est motivée par deux réalités : une vague croissante de risques liés aux certificats aujourd'hui, et le risque cryptographique existentiel posé par l'informatique quantique. En extrapolant à partir de l'état actuel de l'informatique quantiquenous pouvons dire que le "jour Q", c'est-à-dire le jour où les ordinateurs quantiques pourront rendre redondants tous les algorithmes et méthodes de cryptage actuels, est proche.
Le NIST a déjà déclaré une date d'obsolescence pour les algorithmes traditionnels à partir de 2030. Quelle que soit la date à laquelle les algorithmes avancés tels que RSA seront compromis par le quantum, la transition vers la cryptographie post-quantique (PQC) doit commencer dès maintenant. Cette évolution commence par l'automatisation des certificats.
Alors que la durée de vie des certificats se réduit à 200, 100 et finalement 47 jours, les organisations doivent passer de mises à jour périodiques à un renouvellement continu. Ce rythme opérationnel reflétera les exigences futures de la CQP, qui nécessitera une fréquente agilité cryptographique au fur et à mesure que de nouveaux algorithmes seront introduits, testés et déployés.
La gestion du cycle de vie des certificats doit suivre le rythme de leur émission
Presque toutes les organisations ont connu une situation dans laquelle un site web ou une application critique est affecté par des erreurs ou complètement arrêté à cause d'un certificat TLS expiré.
Il est vrai que certaines organisations ont commencé à adopter des durées de vie de certificat plus courtes avec leur PKI privée interne dans le but d'améliorer la sécurité et d'automatiser les processus, ainsi que de suivre le rythme d'émission des certificats pour les conteneurs à courte durée de vie et les charges de travail en nuage.
Toutefois, les délais de remplacement obligatoires constitueront un changement majeur.Les délais de remplacement obligatoire constitueront un changement majeur. Avec les réductions échelonnées à venir visant 200 jours d'ici 2026, 100 jours d'ici 2027 et 47 jours d'ici 2029, la pression est forte pour automatiser tôt et souvent.
En réalité, peu d'organisations ont confiance dans leurs processus de gestion du cycle de vie des certificats.
TLS certificatsTLS peuvent provoquer des pannes ou des interruptions de service même dans les organisations les plus soucieuses de la sécurité. Cela s'explique par le fait que la conception des systèmes d'entreprise modernes est plus complexe et plus décentralisée que ce que les solutions PKI existantes peuvent gérer. En outre, les organisations qui dépendent de l'PKI n'accordent généralement pas assez d'importance à ce défi.
Les équipes PKI en sous-effectif, qui ont souvent d'autres responsabilités en matière de sécurité, n'ont que peu de moyens pour accomplir la tâche essentielle de gestion du cycle de vie des certificats, et l'expansion des environnements informatiques rend leur tâche de plus en plus difficile. Dans de nombreuses applications d'entreprise, telles que les serveurs Exchange et SQL, les certificats ne peuvent pas être installés automatiquement au départ.
La solution à long terme consiste à s'orienter vers l'automatisation du déploiement et de la révocation des certificats à l'aide de technologies basées sur une combinaison d'approches, notamment des protocoles comme ACME, des API et des outils d'automatisation basés sur un agent ou sans agent fournis par les solutions d'automatisation du cycle de vie des certificats. Le suivi manuel, les feuilles de calcul et les files d'attente de tickets ne seront pas adaptés lorsque les certificats expireront toutes les quelques semaines au lieu de tous les quelques mois. Cependant, le statu quo actuel de l'importance de la gestion des certificats dans la plupart des organisations signifie que l'adoption de l'automatisation n'est pas la norme par défaut.
Une organisation peut utiliser des milliers, voire des dizaines de milliers, de certificats pour sécuriser les applications internes et externes, tandis que les équipes PKI s'appuient souvent sur des feuilles de calcul pour suivre l'état de la PKI , ajoutant les certificats aux files d'attente lorsque l'expiration approche. Il en résulte que la majorité des organisations n'ont pas assez de personnel ou de ressources pour assurer la sécurité de leurs ICP.
Des fenêtres de validité des certificats plus courtes signifient des transferts plus fréquents entre les équipes, un travail plus sensible au temps et un risque accru de mauvaise communication.
Chaque renouvellement manqué devient une panne potentielle, et chaque panne a des conséquences en aval. Il en résulte un risque administratif accru. Les pannes sont à l'origine d'un coût de 400 milliards de dollars. 400 milliards de dollars de dollars par an. Un renouvellement plus fréquent des certificats augmente les risques d'échec, et davantage d'organisations se retrouveront prises au dépourvu.
Les temps d'arrêt dus à l'expiration des certificats ont un effet direct sur les résultats - la préparation est essentielle.
Par exemple, les courtes durées de vie créent des défis uniques pour les systèmes traditionnels et les systèmes à accès aérien. Ces systèmes, courants dans les technologies opérationnelles (OT), les infrastructures critiques, la défense et d'autres secteurs réglementés, dépendent souvent de mises à jour manuelles des certificats en raison d'une segmentation stricte du réseau et de politiques de sécurité.
Cela était possible lorsque les certificats ne devaient être renouvelés qu'une fois par an. Dans le cas d'une restriction de 90 ou 47 jours, le déploiement manuel devient rapidement intenable pour les systèmes à accès aérien nécessitant un accès physique, des mises à jour hors bande et une coordination entre des équipes et des chaînes d'outils déconnectées.
La technologie CLM est essentielle pour sécuriser efficacement les certificats
Étant donné qu'aucune organisation ne va ou ne devrait réduire l'utilisation des certificats, la meilleure réponse consiste à déployer une combinaison de technologies de centralisation et d'automatisation.
La gestion du cycle de vie des certificatsCLM s'est imposée comme une solution éprouvée pour développer rapidement et durablement des capacités SSL dans les environnements informatiques modernes et distribués.
Plus précisément, CLM apporte quatre fonctionnalités de gestion PKI essentielles qui aident les entreprises à gérer en toute sécurité des cycles de vie des certificats plus courts :
- Découverte. Outils CLM automatisent la découverte des certificats et classent l'environnement PKI d'une organisation. Même dans des environnements complexes, avec des problèmes hérités ou plus d'un fournisseur d'autorité de certification, une image actualisée de la situation de l'PKI peut être rapidement obtenue avec CLM.
- Centralisation. CLM centralise les données de gestion de l'PKI . Les équipes informatiques des entreprises ayant plusieurs fournisseurs d'AC peuvent suivre tous leurs certificats actifs et voir les dates d'expiration prochaines et futures, l'état des certificats et les vulnérabilités potentielles en temps réel. Cela permet d'éliminer le risque de perte, d'oubli ou de compromission des certificats à mesure que les cycles d'expiration se raccourcissent.
- Renouvellement et émission automatisés des certificats. Les solutions CLM peuvent automatiser l'ensemble du cycle de vie des certificats dans la plupart des systèmes avec la bonne combinaison de fonctionnalités. De l'émission au provisionnement, les flux de travail automatisés permettent de s'assurer que la grande majorité des certificats sont renouvelés bien avant leur expiration, minimisant ainsi les temps d'arrêt et les erreurs.
- Application automatisée des politiques de sécurité. Avec CLM, les entreprises peuvent appliquer des politiques de sécurité à tous leurs certificats. Il s'agit notamment de s'assurer que seuls des algorithmes cryptographiques sûrs sont utilisés, que seules des autorités de certification de confiance peuvent émettre des certificats et que les certificats non gérés sont signalés et font l'objet de mesures correctives.
Gestion évolutive des certificats
La gestion manuelle du cycle de vie des certificats peut fonctionner jusqu'à un certain point, mais comme la durée de vie des certificats est de plus en plus courte, très peu d'organisations peuvent se permettre le risque administratif créé par les processus manuels.
La seule réponse durable est d'adopter l'automatisation par défaut. Avec des renouvellements aussi fréquents que 47 jours, les flux de travail traditionnels ne pourront tout simplement pas suivre.
Qu'une organisation possède des centaines ou des dizaines de milliers de certificats, une plateforme CLM peut assurer la découverte, l'émission et la révocation de certificats de manière fiable et sûre, sans ajouter de charge de travail supplémentaire. Ces changements font écho à la transformation plus importante qui se profile avec la cryptographie post-quantique. La capacité de rotation continue des certificats aujourd'hui est la base de l'agilité cryptographique de demain.
L'automatisation du cycle de vie des certificats deKeyfactorAutomatisation du cycle de vie des certificats de Keyfactor de Keyfactor permet aux petites équipes de gérer les certificats dans plusieurs domaines, appareils et environnements. Alors que les délais des certificats se réduisent et que les exigences cryptographiques augmentent, l'automatisation n'est pas un avantage, c'est une mission essentielle.
