Le compte à rebours est lancé pour Keyfactor Tech Days - réservez votre place dès aujourd'hui !

  • Accueil
  • Blog
  • PKI
  • Comment définir la période de validité de PKI et les meilleures pratiques en matière de révocation ?

Comment définir la période de validité de PKI et les meilleures pratiques en matière de révocation ?

PKI

Définir les périodes de validité optimales de l'infrastructure à clé publique (PKI) pour les certificats peut s'avérer décourageant et complexe.

Parce que les implications pour la sécurité du réseau et l'efficacité opérationnelle sont importantes, les organisations se retrouvent souvent prises dans une lutte acharnée :

  • Si vous fixez une période de validité trop longue, vous risquez de rencontrer des problèmes de conformité ou d'avoir des certificats périmés qui ne répondent plus aux normes de sécurité.
  • Si le délai est trop court, la charge administrative augmente, ce qui accroît la probabilité de perturbations et de pannes.

Le choix de la bonne période de validité est influencé par plusieurs facteurs, tels que le type de certificat, son cas d'utilisation et les meilleures pratiques en matière de sécurité. Dans cet article, nous vous présentons l'approche que nous recommandons pour prendre des décisions sur le site PKI et éviter les pièges liés aux certificats.

Définir la bonne période de validité - Éléments à prendre en compte

La sélection de la période de validité appropriée pour les certificats est relativement simple. Il suffit de se connecter à la console de gestion ou à l'interface d'administration de votre autorité de certification (AC). Accédez aux paramètres de configuration des modèles ou profils de certificats. Définissez ensuite la période de validité par défaut pour chaque type de certificat. La manière dont vous déterminez la période de validité est basée sur plusieurs considérations stratégiques :

  • Équilibrer la sécurité et la durée de vie
  • Compromis entre la force de la clé et le coût de calcul
  • Adaptation des périodes aux types de certificats

Longueur des clés et ressources informatiques

Les longueurs de clé plus importantes sont plus sûres, mais elles s'accompagnent d'un compromis en termes de ressources informatiques requises. Ceci est particulièrement important dans les environnements où les ressources et la puissance de traitement sont limitées, tels que les appareils IoT .

Prenons l'exemple du cryptage RSA: Une clé de 2048 bits exige beaucoup plus de puissance de calcul qu'une clé de 1024 bits. L'augmentation des ressources nécessaires peut entraîner des problèmes de latence qui entravent, voire interdisent, le fonctionnement efficace d'applications ou de dispositifs en temps réel.

Par ailleurs, certains algorithmes asymétriques permettent d'alléger ces contraintes de calcul. La cryptographie à courbe elliptique (ECC) offre une sécurité comparable avec des longueurs de clés plus courtes que l'algorithme RSA. L'efficacité accrue permet d'équilibrer les exigences de sécurité et les performances opérationnelles sans compromettre la fonctionnalité du système. La cryptographie à courbe elliptique est un choix particulièrement judicieux dans les environnements où la rapidité de traitement et l'efficacité sont des priorités.

Différents types de certificats, différentes périodes de validité

L'exposition et l'utilisation de vos certificats déterminent leur durée de validité. SSL/ Les certificatsTLS , qui constituent la base de la sécurité sur Internet, ont généralement des périodes de validité plus courtes - en fait, Google a recommandé que la durée de vie des certificats soit ramenée à 90 jours. En maintenant une période relativement courte, le temps d'exposition pendant lequel un certificat compromis pourrait être exploité est également limité.

D'autre part, les certificats de signature de code, qui sont souvent utilisés pour authentifier software et sont moins exposés à une interaction directe avec le public, ont généralement des périodes de validité plus longues, de 3 à 5 ans. L'allongement de la durée de validité se justifie dans ce cas par la réduction du profil de risque ; ces certificats ne sont pas directement exposés à des menaces permanentes comme le sont les certificats en contact direct avec le public.

Enfin, les certificats internes, utilisés pour les serveurs et applications internes, offrent le plus de flexibilité. La durée de validité de ces certificats doit être adaptée en fonction de votre politique de sécurité et de votre tolérance au risque opérationnel

Meilleures pratiques en matière de révocation

La révocation des certificats est également nécessaire pour maintenir la sécurité de votre site PKI. Voici quelques pratiques ciblées pour vous aider dans ce processus :

Gestion de l'expiration du certificat

Lors du remplacement d'un certificat qui arrive à expiration, il n'est pas nécessaire de le révoquer prématurément. Il est plus pratique de laisser coexister l'ancien et le nouveau certificat pendant la période de chevauchement. Lorsque l'ancien certificat expire naturellement et devient invalide, le nouveau certificat reste valide et opérationnel, ce qui permet d'atténuer les interruptions de service. Cette pratique permet une transition en douceur tout en maintenant une couverture de sécurité continue sans nécessiter d'intervention manuelle au moment de l'expiration.

Réagir aux certificats compromis

Si un certificat est compromis, mal utilisé, mal configuré ou si le statut du détenteur du certificat a changé de manière significative (par exemple, en cas de licenciement), il est nécessaire de procéder à une révocation active. La révocation rapide de ces certificats annule toute confiance précédemment établie par les certificats compromis et empêche qu'ils soient exploités par des utilisateurs non autorisés

Utilisation des listes de révocation de certificats (CRL)

Les listes de révocation de certificats (LCR) permettent de gérer les révocations. Lorsqu'un certificat doit être révoqué, son numéro de série est ajouté à une LCR, qui est un fichier maintenu, mis à jour et publié régulièrement par l'autorité de certification (AC). Les LCR fournissent un enregistrement de tous les certificats révoqués avec leur date de révocation. Les systèmes qui doivent vérifier la validité d'un certificat peuvent se référer à ces listes pour éviter d'accepter un certificat révoqué, ce qui renforce la sécurité globale.

Mise en œuvre du protocole d'état des certificats en ligne (OCSP)

Le protocole OCSP (Online Certificate Status Protocol) peut également prendre en charge les contrôles de révocation. Contrairement aux LCR qui nécessitent un téléchargement et une vérification de la liste, l'OCSP permet des vérifications d'état en temps réel sans avoir à gérer de gros fichiers de LCR. Cette méthode réduit la latence et les frais généraux associés aux téléchargements traditionnels de CRL, ce qui est particulièrement utile pour les environnements qui nécessitent une vérification rapide de l'état des certificats.

Mettre l'accent sur la révocation et la réémission en bloc

Les scénarios dans lesquels plusieurs certificats sont compromis peuvent nécessiter une révocation et une réémission en bloc. Cette opération peut être gérée à l'aide d'un outil de gestion du cycle de vie des certificats, qui facilite la révocation rapide des certificats concernés et la réémission en temps utile de nouveaux certificats.

Documentation et mise à l'échelle par l'automatisation

Comme les organisations gèrent davantage de certificats avec des périodes de validité plus courtes, l'automatisation devient nécessaire pour un renouvellement efficace. Les méthodes de suivi manuel, telles que les feuilles de calcul, sont trop sujettes aux erreurs et deviennent de moins en moins réalistes à mesure que l'ampleur et la fréquence des renouvellements augmentent.

Une documentation complète est également importante, que les processus soient manuels ou automatisés via un outil de gestion du cycle de vie des certificats (CLM).

Chaque certificat doit être méticuleusement documenté, car il suffit d'une expiration non suivie pour provoquer des pannes et des interruptions.

Ce processus de documentation est particulièrement difficile dans les environnements où des équipes comme DevOps sont responsables de la gestion de leurs certificats et ont déjà choisi leurs propres outils. Une documentation complète pour toutes les équipes et tous les outils est nécessaire pour prévenir les lacunes dans le suivi des certificats et maintenir la continuité opérationnelle de votre organisation.

Étant donné que la gestion des certificats est de plus en plus avancée et que les acteurs de la menace font évoluer leurs tactiques, nous recommandons de s'en tenir à ce qui suit :

L'avenir de la validité des certificats et des normes de sécurité

L'augmentation du nombre d'incidents de cybersécurité s'accompagne d'une tendance à la réduction des périodes de validité des certificats.

Techniquement, les organisations ont la possibilité de fixer les périodes de validité qu'elles jugent appropriées.

Cependant, les meilleures pratiques sont souvent influencées par des systèmes tiers. Les navigateurs web, en particulier, jouent un rôle moteur dans ce domaine en signalant activement les certificats dont les périodes sont douteuses et en appliquant les pratiques de sécurité dérivées du forum AC/navigateurs.

Comme ces systèmes largement utilisés sont assortis de leurs propres normes de sécurité, ils finissent par pousser l'industrie vers des périodes de validité plus courtes. Cette évolution devrait se poursuivre à mesure que les organisations prennent conscience de la nécessité de respecter les meilleures pratiques en matière de sécurité.

Pour renforcer votre sécurité et rationaliser vos opérations, envisagez les solutions complètes de gestion des certificats de KeyFactor.