Gestion manuelle ou automatisée des certificats

La gestion des certificats X.509 comprend les processus et les procédures d'achat, de déploiement, de renouvellement et de révocation des certificats dans un réseau d'applications, de serveurs, de systèmes ou d'autres parties du réseau connectés. Pratiquement tous les clients du navigateur et les applications serveur testent la validité du certificat avant de se connecter au domaine spécifié. Lorsqu'un navigateur web détecte un certificat expiré, un message avertit l'utilisateur que le serveur n'est pas sécurisé.

Certains navigateurs permettent à l'utilisateur de continuer à se connecter au site en cliquant sur l'invite, tandis que les utilisateurs situés derrière un pare-feu peuvent être complètement bloqués. Ces avertissements déconcertent souvent l'internaute moyen, ce qui amène certains d'entre eux à s'interroger sur la réputation de l'entreprise qu'ils tentent de visiter.

La confiance fait la différence dans le monde du commerce en ligne. L'investissement dans la technologie de protection des consommateurs est crucial pour le succès des transactions numériques et l'hébergement d'un site de commerce électronique. L'application fonctionnelle des certificats SSL et le positionnement et l'utilisation efficaces des marques de confiance sont des méthodes établies pour la mise en place de la sécurité des consommateurs. Pour l'essentiel, la norme de sécurité SSL/TLS offre les moyens de protéger la sécurité des communications électroniques et d'informer les consommateurs et les partenaires.

En clair, lorsque les utilisateurs voient le symbole familier du cadenas lorsque les utilisateurs voient le symbole familier du cadenas, ils ont confiance dans la protection de leurs informations sensibles et confidentielles.

Bien que la plupart des navigateurs web affichent un message d'avertissement lorsqu'ils rencontrent un certificat expiré, cela ne fait qu'embrouiller les utilisateurs finaux qui finissent par douter de la crédibilité du site web lui-même. Certaines applications interrompent même brusquement les connexions lorsqu'elles rencontrent des certificats expirés, ce qui n'augure rien de bon pour la fiabilité du service. Tout cela peut entraîner une perte de revenus et, en fin de compte, affecter la valeur de la marque du service. Il est donc essentiel de mettre en œuvre une solution automatisée de certificats numériques dans votre organisation.

Quel est le niveau de votre gestion automatisée des certificats ? 

Bien que les certificats numériques fonctionnent de manière fiable lorsqu'ils sont correctement configurés et déployés, de nombreuses organisations n'automatisent pas leurs processus de gestion des certificats. Certaines organisations jugent nécessaire d'affiner les meilleures pratiques recommandées par l'industrie pour s'adapter aux différents cas d'utilisation de PKI dans les limites de leurs normes et politiques spécifiques PKI.

Cependant, bien que de nombreux spécialistes de la sécurité, comme le NIST, publient des conseils aux organisations pour automatiser la gestion des certificats afin de minimiser les erreurs humaines et de maximiser l'efficacité, il est encore assez courant de voir certaines organisations suivre des processus ad hoc qui permettent aux utilisateurs de créer des demandes de signature de certificat (CSR) et d'émettre des certificats manuellement.

Quel que soit le cas d'utilisation, le cycle de vie du certificat doit être géré avec soin. Les étapes suivantes sont typiques du cycle de vie d'un certificat numérique :

• Demande ou renouvellement : la demande initiale d'un certificat numérique signé ou le renouvellement d'un certificat arrivant à expiration.
• Approbation : l'approbation ou le rejet d'une demande sur la base des informations fournies.
• Génération et déploiement : génération et distribution d'un certificat numérique avec les attributs demandés.
• Utilisation et surveillance de la configuration du serveur de certificats, surveillance en temps réel et rapports sur l'état des certificats et le temps restant jusqu'à leur expiration.
• Révocation: Un certificat numérique peut être révoqué pour les raisons suivantes :
  • Clé compromise
  • CA compromise
  • SSL remplacés
  • Changement de propriétaire de domaine
  • Domaine non utilisé

La révocation et le renouvellement des certificats sont des tâches essentielles dans la gestion des certificats. L'autorité de certification délivre un certificat avec une période de validité limitée. Cependant, le certificat peut devenir mauvais avant son expiration en raison de la compromission de sa clé.

Dans ce cas, le certificat doit être révoqué et renouvelé avant son expiration. Une autre raison de révoquer un certificat avant son expiration est la modification du nom de l'utilisateur, de la société ou de toute autre information figurant dans le certificat.

La révocation d'un tel certificat se fait soit manuellement, soit automatiquement par le biais d'une liste de révocation de certificats. L'expiration ou la révocation inattendue d'un seul certificat peut entraîner pour une entreprise des risques de sécurité tout à fait évitables, des pertes de revenus et des dommages potentiels à la marque. Lorsqu'un certificat expire, le processus d'authentification ne fonctionne plus car la vérification des certificats échoue, ce qui perturbe les applications ou, dans des circonstances plus extrêmes, peut entraîner des pannes des services informatiques.

Dans une étude réalisée en 2020 et sponsorisée par Keyfactor, l'Institut Ponemon a interrogé 596 professionnels de l'informatique et de la sécurité informatique aux États-Unis et a constaté que 74 % des personnes interrogées ont déclaré que les certificats numériques avaient provoqué des interruptions de service imprévues. Par ailleurs, 46 % des personnes interrogées estiment que la priorité absolue pour minimiser le risque lié aux identités numériques non sécurisées est de connaître la date d'expiration.

Une autre cause fréquente des pannes de serveur liées aux certificats résulte d'erreurs humaines commises lors de la gestion manuelle des certificats.

Les certificats mal gérés peuvent permettre aux pirates d'usurper des contenus ou de mener des attaques par déni de service, par hameçonnage et par l'homme du milieu. Pour se faire passer pour des domaines publics, des applications et des réseaux de confiance, les pirates infiltrent des autorités de certification publiques ou internes et émettent des certificats frauduleux non autorisés. Tous les certificats émis dans la chaîne de confiance de cette autorité de certification sont alors compromis et doivent être retirés parce qu'ils n'ont plus d'intégrité vérifiable.

Lorsque des organisations en pleine croissance commencent à utiliser des approches de gestion numérique ad hoc et manuelles - qui varient généralement selon les départements et les fonctions - l'inventaire peut rapidement devenir trop important pour garantir la sécurité contre les risques de perturbations.

Malheureusement, la feuille de calcul elle-même ne peut pas être mise à jour automatiquement sur la base de nouvelles informations et législations. Il ne vous informera pas avant l'expiration du certificat. Il ne peut pas vérifier deux fois que les données saisies dans ses cellules sont exactes et à jour. S'il est certainement préférable d'essayer de mémoriser les dates d'expiration de vos certificats, les feuilles de calcul sont toujours sujettes à de graves erreurs et ajoutent un risque inutile aux informations confidentielles de votre entreprise et de vos clients.

Vos certificats ont une grande valeur. La sécurité de votre application ou de vos données peut être compromise entre de mauvaises mains. Les processus numériques manuels et les achats malhonnêtes augmentent les coûts et déclenchent des événements de sécurité qui se transforment en pannes coûteuses, voire désastreuses.

De même, les événements imprévus (par exemple, le bogue Heartbleed, la fin de vie accélérée du hachage SHA-1) qui nécessitent un remplacement rapide des certificats sont pratiquement impossibles à gérer dans le cadre de systèmes de gestion décentralisés et manuels.

Les organisations ne sont pas en mesure de remplacer manuellement un grand nombre de certificats en réponse à des incidents cryptographiques à grande échelle, tels que la compromission d'une autorité de certification. De manière proactive, les organisations doivent s'efforcer d'automatiser la gestion des certificats dans la mesure du possible pour l'inscription, l'installation, la surveillance et le remplacement des certificats, ou bien la justification doit être sérieusement reconsidérée pour continuer à utiliser des méthodes manuelles qui peuvent entraîner des risques pour la sécurité opérationnelle.

Traditionnellement utilisés pour sécuriser les ressources des systèmes d'entreprise, les certificats numériques sont devenus un élément de sécurité essentiel de tout site web. De nos jours, les certificats sont bien trop vitaux pour être gérés de manière ad hoc et manuelle. Une application robuste de gestion des certificats PKI est désormais un élément essentiel des technologies de l'information. En fait, peu de processus commerciaux sont aussi importants qu'une gestion efficace des certificats d'entreprise.

Historiquement, de nombreuses organisations ont trouvé difficile de passer de méthodes manuelles à des méthodes automatisées - bien que le passage à l'automatisation puisse réduire de manière significative leur travail et les risques. Cependant, les nouveaux outils d'automatisation (par exemple, DevOps) et les protocoles ont augmenté les méthodes et les options par lesquelles la gestion automatisée des certificats peut être effectuée avec succès. Par conséquent, les organisations devraient définir des lignes directrices et des politiques claires pour l'automatisation et lorsque le maintien du contrôle manuel est justifié en raison de contraintes opérationnelles ou organisationnelles.

Les certificats peuvent être exigés à chaque étape du cycle de développement, de test et de mise en œuvre de l'application. Les retards de génération peuvent affecter les activités ultérieures. La gestion centralisée et automatisée des certificats offre plusieurs caractéristiques essentielles :

• Automatisation pilotée par les événements : automatisation basée sur le flux de travail pour les processus à plusieurs étapes.
• Certificats de signature de documents : gestion des certificats utilisés pour la signature numérique de documents officiels.
• Alertes et surveillance : offre une visibilité constante et des alertes d'expiration pour les groupes de certificats.
• Intégration basée sur l'API : offre une intégration transparente avec le système de gestion des vulnérabilités Rapid7.
• Portail en libre-service : le personnel peut effectuer lui-même les démarches relatives aux certificats via le portail.
• Gestion du cycle complet des certificats : processus centralisés pour les certificats tels que le renouvellement, la révocation, l'approvisionnement, etc.

Chaque certificat peut ensuite être automatiquement importé et sauvegardé dans la solution d'entreprise de pointe entièrement intégrée, ce qui permet à votre organisation de récupérer des données précieuses cryptées par l'utilisateur d'origine. L'importation automatique à partir d'un répertoire système ou d'un fichier CSV rationalise la distribution des certificats clients et facilite la gestion des certificats grâce à des flux de travail personnalisés.

La gestion de l'ensemble des certificats numériques est une responsabilité essentielle mais difficile à assumer. Étant donné que de nombreux certificats numériques peuvent être distribués au sein d'une organisation, il peut être difficile de suivre manuellement l'expiration des certificats. Le suivi automatisé de l'expiration des certificats numériques vous aide à renouveler les certificats de manière proactive et à réduire la probabilité de pannes de sites web et d'interruptions de service causées par des certificats numériques non valides.

La gestion automatisée des certificats a été conçue pour réduire considérablement les obstacles administratifs et les délais de déploiement de la sécurité, ce qui se traduit par des améliorations claires et immédiates de votre infrastructure de sécurité et de vos coûts. Avec l'automatisation des certificats, vous pouvez ajouter des administrateurs au compte PKI , chacun ayant ses propres détails de contrôle d'accès et ses propres autorisations.

La surveillance automatisée des journaux d'événements est un élément essentiel de la gestion des certificats. De nombreuses clés compromises pourraient être découvertes rapidement si les victimes mettaient en place une surveillance et une alerte appropriées des journaux d'événements. Les journaux des administrateurs doivent être surveillés lors de la création, de la modification ou de la suppression de comptes d'utilisateurs ou d'ordinateurs, de groupes de sécurité ou de groupes de distribution ; lors du renommage, de la désactivation ou de l'activation d'un compte d'utilisateur ou d'ordinateur ; ou lors de la modification d'un mot de passe d'utilisateur ou d'ordinateur.

La responsabilité est la clé pour démontrer aux auditeurs que les certificats sont gérés dans toute l'entreprise conformément aux politiques définies par celle-ci. La responsabilité des certificats numériques est essentielle pour vérifier que les processus liés à la certification numérique peuvent être contrôlés afin de détecter les anomalies. En outre, une responsabilité et un contrôle quantifiables peuvent être utilisés pour mesurer et signaler les niveaux d'activité par rapport au cycle de vie et pour utiliser les tendances afin de prévoir les niveaux d'activité au sein du cycle de vie.

La réponse est simple : le plus tôt possible. Si les PME n'ont que quelques certificats à gérer, les entreprises en pleine croissance sont confrontées à d'autres problèmes. La visibilité est l'un des principaux obstacles auxquels elles sont confrontées. Si vous ne pouvez pas voir tous vos certificats, vous n'avez aucun moyen de les remplacer avant qu'ils n'expirent.

La vitesse des domaines, des applications, des appareils et l'utilisation des certificats ne cessant de croître, vous avez besoin d'un moyen plus efficace et plus évolutif pour gérer tout cela. Et cela ne fait que s'accentuer à mesure que la transformation numérique s'étend aux projets dans le nuage, sur le web et à l'adresse IoT. Par conséquent, la découverte complète des certificats est la première étape d'une posture de sécurité solide. Un outil d'analyse automatisée des certificats identifie et surveille les certificats frauduleux en examinant les journaux d'activité des certificats.

La solution de gestion automatique des certificats crée une vue d'ensemble de tous les certificats grâce à la découverte automatique, qui analyse l'ensemble du réseau et découvre chaque certificat. Par exemple, Keyfactor Certificate Automation a été testé et prouvé pour évoluer même dans les environnements PKI les plus dynamiques et les plus exigeants - de 500 à 500 millions de certificats - le tout avec une seule licence d'abonnement.