Il y a beaucoup à apprendre des nouvelles de la semaine dernière concernant la décision de Google de se méfier d'Entrust pour Google Chrome. Tout certificat émis par les autorités de certification racine d'Entrust après le 31 octobre 2024 ne sera plus reconnu par le navigateur Google Chrome.
Selon les rapports, la décision de Google de se séparer des autorités de certification (AC) publiques d'Entrust est due à un "un schéma observé de défaillances de conformité, d'engagements d'amélioration non respectés et l'absence de progrès tangibles et mesurables en réponse aux rapports d'incidents divulgués publiquement". Des certificats numériques ont été émis à tort, ce qui a eu des répercussions sur la sécurité générale. Bien que regrettable, la réponse de Google vise à préserver l'intégrité de l'infrastructure à clé publique du Web (PKI). Dans le monde de plus en plus numérique d'aujourd'hui, PKI est essentiel pour protéger la confidentialité et l'authenticité des communications entre les navigateurs web et les serveurs de contenu web. PKI est ce qui garantit la confiance numérique dans notre monde en ligne.
Qu'est-ce que cela signifie pour les entreprises ?
Les entreprises qui souhaitent que leurs sites web et applications publics soient accessibles par le navigateur Chrome, qui représente plus de 65 % de tous les utilisateurs d'Internet, devront planifier la migration et veiller à ce que les certificats émis par Entrust qui arrivent à expiration soient renouvelés et remplacés par des certificats émis par une autre autorité de certification de confiance.
Que pouvons-nous apprendre de cette décision ?
Il y a quatre leçons à tirer de la récente décision de Google de se méfier d'Entrust.
Premièrement, l'importance de l'agilité de l'AC est l'importance de la flexibilité de l'autorité de certification. Lorsqu'il s'agit d'utiliser des AC publiques, il y a toujours un risque qu'une AC révoque des certificats ou que les navigateurs web ne lui accordent pas leur confiance (cela s'est produit à plusieurs reprises au cours des dernières années). Pour minimiser ce risque et éviter les perturbations, les entreprises doivent conserver la possibilité d'ajouter, de changer et de migrer facilement des autorités de certification, ou adopter une stratégie multi-AC.
Deuxièmement est le besoin critique de crypto-agilité. Chaque autorité de certification commet des erreurs et les navigateurs web sont contraints de prendre la décision difficile de révoquer les certificats. En fait, cela s'est produit à plusieurs reprises au cours de l'année écoulée, comme dans les cas suivants Mozilla la méfiance de Mozilla à l'égard des autorités de certification publiques d'Entrust en mai. Les organisations doivent être en mesure de gérer les révocations à grande échelle et d'installer de nouveaux certificats à la place des anciens, sans perturber les activités de l'entreprise.
Troisièmement, les entreprises ne devraient pas mettre tous leurs œufs dans le panier d'une seule autorité de certification publique. Elles devraient également éviter d'utiliser des AC publiques pour tout ce qui n'est pas des entités nécessitant la confiance du public, comme les sites web et les applications tournés vers le public (par exemple, pour une application mobile qui communique avec l'informatique en nuage). Avec l'AC privée PKI, le chiffrement des serveurs et systèmes internes d'une organisation est déployé pour vérifier l'authenticité des utilisateurs et des appareils. Dans ce cas, des autorités de certification privées sont créées pour émettre des certificats et elles sont gérées en interne, ce qui réduit le risque d'accès non autorisé et de compromission potentielle par des entités externes.
Dans notre monde numérique, la confiance est primordiale et le site privé PKI permet aux entreprises d'offrir à ceux qui se fient à leurs autorités de certification un degré de confiance plus élevé.
Quatrièmementcette situation est un signe avant-coureur de ce qui attend la cryptographie post-quantique. cryptographie post-quantique (PQC). Le remplacement de tous les certificats publics d'une autorité de certification est une goutte d'eau dans l'océan comparé à ce qui sera nécessaire pour migrer vers des algorithmes à sécurité quantique. Cette décision nous rappelle que les entreprises doivent commencer à planifier la transition vers les algorithmes PQC le plus tôt possible afin d'éviter des perturbations catastrophiques.
Comment Keyfactor peut-il vous aider ?
En prévision de la prochaine modification de Chrome, les responsables de l'informatique et de la sécurité doivent évaluer avec soin leurs sites PKI et leurs certificats. Les entreprises doivent agir rapidement pour identifier et remplacer les certificats affectés, et c'est un processus qui ne peut pas être réalisé manuellement.
Avec Keyfactor Commandles clients bénéficient de la visibilité et de l'automatisation nécessaires pour effectuer la transition vers une nouvelle autorité de certification en toute transparence. Keyfactor Command offre aux entreprises une vue de tous leurs certificats à partir d'un tableau de bord unique, ce qui leur permet d'identifier et de remédier rapidement aux risques grâce à un simple moteur de recherche et de clic.
Les utilisateurs peuvent également tirer parti de Keyfactor Orchestrators et de plugins prédéfinis pour automatiser le renouvellement, l'approvisionnement et l'installation des certificats en un seul clic ou sans aucun clic. Pour ceux qui utilisent les certificats numériques d'Entrust, les offres Command de Keyfactoroffrent la flexibilité nécessaire pour migrer PKI et la gestion des certificats sans perturber la productivité.
Lorsqu'il s'agit de se préparer au CQP, les entreprises peuvent s'appuyer sur le Labo CQP de KeyfactorPQC Lab - un bac à sable gratuit basé sur SaaS qui permet aux équipes de générer une autorité de certification prête pour le PQC et de commencer à émettre des certificats résistants aux chocs quantiques en quelques minutes. Le bac à sable est désormais disponible dans Azure.
Principaux enseignements pour la gestion des certificats à l'avenir
La décision de Google de se méfier d'Entrust est un signal d'alarme pour les entreprises. La confiance numérique n'est pas statique ; elle est toujours menacée.
Pour rester résilientes, les entreprises ont besoin d'une visibilité totale de tous les certificats, de la possibilité d'automatiser le remplacement des certificats et la remédiation à grande échelle et, surtout, de la flexibilité d'ajouter, de migrer ou de changer d'autorité de certification sans provoquer d'interruption.
Pour en savoir plus sur la façon dont Keyfactor peut aider votre organisation à faire face à cette transition, veuillez contacter ici.