Dans n'importe quelle entreprise, des dizaines de milliers, voire des centaines de milliers de certificats numériques sont utilisés pour protéger des éléments tels que les serveurs web par l'authentification des périphériques et le cryptage des données. À cette échelle, l'inventaire et le suivi de chaque certificat peuvent sembler une bataille sans fin. En raison de leurs ressources informatiques limitées, de nombreuses organisations choisissent de restreindre la portée des certificats qu'elles gèrent plutôt que de s'atteler à la tâche de tout sécuriser. Les certificats émis manuellement retiennent toute l'attention (c'est-à-dire les certificats SSL/TLS ), tandis que les certificats d'inscription automatique à l'Active Directory (AD) sont facilement négligés.
Vue d'ensemble de l'inscription automatique à un certificat
Si vous ne connaissez pas l'inscription automatique, il s'agit d'une fonction des services de certificats Active Directory (ADCS) activée par une stratégie de groupe (GPO), qui permet aux utilisateurs et aux appareils de s'inscrire pour obtenir des certificats. Dans la plupart des cas, aucune interaction n'est requise de la part de l'utilisateur.
L'inscription automatique automatise l'émission de certificats dans le magasin de certificats de Microsoft sur les PC et les serveurs Windows (pour en savoir plus sur l'inscription automatique, consultez ce blog sur les Conseils pour l'émission de certificats par inscription automatique). Par exemple, Internet Information Services (IIS) et Exchange Server utilisent le magasin de certificats de Microsoft. Il permet également de renouveler et de mettre à jour automatiquement les certificats. C'est simple, non ?
Des certificats dans une botte de foin
Dans un monde parfait, les équipes informatiques et de sécurité responsables de l'infrastructure à clé publique (PKI) n'auraient jamais à se soucier de l'enrôlement automatique des certificats. Mais la réalité est que ces certificats peuvent entraîner des failles de sécurité considérables ou des pannes perturbatrices s'ils ne sont pas correctement contrôlés tout au long de leur cycle de vie.
Chaque certificat expire. Pour surveiller l'inscription automatique, il faut passer en revue tous les renouvellements de certificats réussis afin de repérer ceux qui risquent d'échouer prochainement. Imaginez un instant que vous disposiez de 10 000 postes de travail, chacun doté d'un certificat client, et qu'une poignée d'entre eux n'aient pas été renouvelés dans les limites du seuil de renouvellement défini dans votre GPO. Trouver et remplacer ces certificats avant qu'ils n'expirent peut s'apparenter à la recherche d'une aiguille dans une botte de foin, surtout si vous n'utilisez pas de plateforme d'automatisation du cycle de vie des certificats.
L'importance de l'inscription automatique aux certificats
Avec la pression accrue qui pèse aujourd'hui sur les équipes informatiques, il n'est pas surprenant que les professionnels de l'informatique et de la sécurité ignorent parfois les problèmes lorsqu'ils n'en voient pas l'issue immédiate. Cependant, ces problèmes s'aggravent souvent au fil du temps s'ils sont négligés, ce qui entraîne des problèmes plus graves à terme. Voici trois raisons pour lesquelles l'inscription automatique des certificats doit faire partie de votre stratégie globale PKI .
1. Crypto-Agilité
Les normes cryptographiques évoluant, il est constamment nécessaire d'auditer les certificats émis et d'identifier ceux qui ne sont pas conformes à la politique ou qui utilisent des clés ou des algorithmes obsolètes. Votre organisation compte sur vous pour être proactif et préventif. C'est pourquoi vous devez être en mesure d'établir des rapports sur le profil de sécurité de l'ensemble de votre paysage de certificats, ce qui inclut bien sûr les certificats auto-enrôlés. Par exemple, un administrateur AD pourrait émettre des certificats auto-enrôlés de 1048 bits qui sont encore dans leur période de validité, même si le modèle actuel est modifié en 2048 bits. La possibilité d'identifier et de réémettre rapidement ces certificats non conformes en vrac permet d'éviter des situations perturbatrices nécessitant une remédiation.
2.) Mauvaise configuration
Les politiques de groupe déterminent l'émission et l'utilisation des certificats auto-enrôlés, ce qui nécessite des modifications et des mises à jour régulières au fil du temps. Ces modifications étant effectuées manuellement, les erreurs et les oublis ne sont pas rares. Dans un environnement PKI à fort volume, une erreur de configuration mineure peut entraîner un problème à grande échelle. Les modèles de certificats peuvent facilement être mal configurés, vous laissant avec des milliers de certificats à localiser, à révoquer et à réémettre sur votre réseau.
Sans les bons outils pour surveiller votre Microsoft CA, une politique mal configurée peut conduire à une émission excessive de certificats, ou pire, à des certificats qui ne sont pas conformes à vos politiques de sécurité. Dans certains cas, nous avons vu des certificats d'utilisateurs auto-enrôlés se voir accorder une période de validité supérieure à ce qui est acceptable par leur organisation. D'autres fois, nous avons constaté des problèmes plus graves, tels que l'autorisation d'exporter des clés privées (un problème de sécurité important). C'est là que la définition de seuils d'émission sur votre site Microsoft CA et la surveillance continue de votre paysage de certificats peuvent vous aider à repérer les certificats erronés ou non conformes qui peuvent causer des ravages dans votre environnement.
3.) Renouvellements manqués
Il arrive que des certificats inscrits automatiquement ne soient pas renouvelés, ce qui peut être difficile à détecter, du moins jusqu'à ce que l'utilisateur final en subisse les conséquences. En fonction de votre déploiement, l'impact d'un certificat expiré peut aller d'un désagrément mineur pour un seul utilisateur à une panne généralisée ou à une panne d'application critique. Dans tous les cas, cela entraîne des interruptions inutiles de la productivité et généralement un certain temps d'arrêt pour y remédier.
Toutes les organisations n'ont pas vocation à sauver des vies. Mais pour celles qui le sont, un certificat expiré peut faire la différence entre la vie et la mort. Prenons l'exemple des soins de santé - et d'une équipe chirurgicale qui a besoin d'un accès continu à ses postes de travail dans la salle d'opération. Les chirurgiens ne peuvent pas risquer de perdre l'accès à des informations médicales critiques pendant les interventions chirurgicales simplement parce qu'un certificat sur la machine n'a pas été renouvelé. C'est là que les outils de surveillance peuvent fournir des alertes sur les expirations à venir et prévenir les temps d'arrêt qui pourraient affecter la vie du patient.
Pour en savoir plus sur l'automatisation des certificats, cliquez ici.
