Malgré les documenté Malgré les lacunes documentées du protocole SCEP (Simple Certificate Enrollment Protocol), il est encore largement utilisé aujourd'hui. Cela s'explique en grande partie par l'absence de meilleures options en matière d'enrôlement de certificats, en particulier lorsqu'il s'agit d'appareils plus limités tels que les téléphones mobiles, les tablettes et les appareils restreints de l'internet des objets (IoT) tels que les systèmes intégrés, les capteurs, les composants automobiles ou les appareils médicaux. La simplicité de SCEP en fait un choix intéressant pour les responsables de la mise en œuvre qui doivent respecter des délais serrés, mais cette simplicité peut avoir un coût.
L'un des problèmes les plus flagrants de SCEP est qu'il ne contient aucune capacité d'authentification de point final - SCEP ignore littéralement l'identité du demandeur de certificat. Il s'agit d'un problème important, qui rend presque impossible l'examen des demandes de certificat.
L'absence d'identité du demandeur n'est que partiellement atténuée par l'ajout d'un mot de passe à usage unique facultatif que le demandeur doit fournir à chaque demande (hélas, sans nom d'utilisateur). Malheureusement, de nombreux systèmes utilisent encore SCEP sans même le Challenge Password pour la protection.
Même cinq ans après l'annonce initiale de la vulnérabilité de SCEP, certains fournisseurs continuent d'indiquer spécifiquement à leurs clients de désactiver les mots de passe pour leurs serveurs SCEP, ce qui désactive littéralement le dernier élément de protection concernant l'approbation des abonnés. Les clients qui suivent ces instructions sur les serveurs SCEP qui prennent également en charge l'authentification d'entreprise permettent sans le savoir à n'importe quel utilisateur de demander des certificats avec n'importe quel type d'authentification. autre avec l'identité de n'importe quel autre utilisateur.
Depuis un certain temps, le CSS est à la pointe de l'amélioration de SCEP, avec notamment la création d'une approche brevetée appelée VSCEP™ pour superposer les contrôles d'identité et la vérification du contenu, et pour combler certaines des lacunes associées au protocole.
Dans de nombreux cas, SCEP reste la seule option. De nouveaux protocoles sont en cours d'élaboration, mais leur adoption est encore lente. En attendant, les risques associés à SCEP peuvent être atténués par une configuration et une surveillance adéquates.
