C'est reparti. Le 3 mars, Google a annoncé une proposition visant à réduire la durée de vie des certificats publics TLS de 398 jours actuellement à 90 jours seulement. C'est du déjà vu pour les équipes informatiques et de sécurité qui ont assisté à un raccourcissement constant de la durée de vie au cours des dernières années.
La réduction de la durée de vie des certificats numériques signifie que les entreprises doivent réellement améliorer leur gestion des certificats. Cela signifie qu'elles doivent garantir une visibilité optimale pour rapidement les certificats arrivant à expiration avant qu'ils ne deviennent problématiques et n'entraînent des pannes et des temps d'arrêt coûteux.
Nous partageons ici les implications de la stratégie de Google Google "Moving Forward, Together" (Aller de l'avant, ensemble) de Google et comment vous pouvez vous préparer au mieux aux changements à venir.
Des cycles de vie plus courts nécessitent une gestion plus fréquente des certificats
Les entreprises émettent des certificats à grande échelle et, selon le rapport annuel de Keyfactorsur l'état de l'identité des machines, les certificats sont de plus en plus nombreux. rapport annuel sur l'état de l'identité des machinesle volume moyen de certificats émis au sein d'une organisation est de 256 000. Mais un plus grand nombre de certificats peut entraîner davantage de problèmes si l'entreprise ne sait pas les gérer.
Près de deux tiers (62%) des personnes interrogées ont déclaré ne pas savoir combien de certificats elles possèdent. Sans visibilité, ils ne peuvent pas facilement déterminer qui possède ces certificats, qui les a émis, ou sur quelles applications ou serveurs ils sont installés. Le problème ne fera que s'aggraver avec la réduction de la durée de vie des certificats, car 72 % des personnes interrogées déclarent que l'utilisation croissante des clés et des certificats exerce une pression accrue sur leurs équipes.
Ce ne sont pas les certificats qui posent problème. C'est tout simplement la nature humaine. Les gens sont oublieux et ne peuvent concentrer leur attention que sur un nombre limité de choses. Il est important de s'en souvenir alors que la durée de vie des certificats diminue et que la charge de travail liée à leur renouvellement est multipliée par 4 ou 5.
Gagner en sécurité ou souffrir sur le plan opérationnel
Le projet "Moving Forward, Together" de Google comprend plusieurs propositions de modifications, dont la plus importante pourrait être la durée maximale de validité des certificats, fixée à 90 jours. L'objectif de cette modification est d'améliorer la sécurité en rendant le certificat disponible pendant une période plus courte. Il s'agit d'un concept similaire à celui qui consiste à changer fréquemment de mot de passe.
Toutefois, la question de savoir si le gain en termes de sécurité vaut la peine de souffrir sur le plan opérationnel a fait l'objet de débats. C'est pourquoi on cherche à alléger la charge opérationnelle en automatisant les tâches liées aux certificats, telles que l'inscription, le renouvellement et l'approvisionnement.
Si l'ACME peut aider les organisations à commencer à adopter l'automatisation, il ne s'agit pas d'une solution universelle. Les équipes informatiques et de sécurité ont besoin d'une approche multidimensionnelle de l'automatisation, y compris l'utilisation de protocoles d'inscription standard comme ACME, SCEP et EST, ainsi que d'outils d'automatisation du cycle de vie des certificats, afin de s'assurer qu'elles sont bien équipées pour gérer l'ensemble des cas d'utilisation dans leur entreprise.
Ils doivent également s'assurer que non seulement le renouvellement est automatisé, mais aussi l'approvisionnement et l'installation des certificats. C'est là que nous voyons souvent des problèmes surgir. Un propriétaire d'application renouvelle un certificat, mais oublie de l'installer, l'installe de manière incorrecte ou perd tout simplement des heures de son temps qui pourraient être consacrées à ses priorités. L'automatisation du cycle de vie complet d'un certificat permet de réduire ces erreurs humaines et de diminuer, voire d'éliminer complètement, le temps consacré à des tâches répétitives et fastidieuses comme celles-ci.
Cessez de paniquer et commencez à vous préparer
L'incertitude règne quant à savoir quand - et si - le passage à des certificats de 90 jours aura lieu. Le changement nécessite un vote qui pourrait prendre de six à douze mois, suivi d'une période de transition. En outre, le changement se heurte déjà à l'opposition des lois antitrust de l'UE.
En matière de sécurité, la seule constante est le changement, et il s'agit simplement de savoir quand et comment ce changement se produira. Se préparer à un tel changement ne se fait pas du jour au lendemain, et cela demande du temps et une planification minutieuse.
Quelles mesures les entreprises peuvent-elles prendre pour se préparer ? Il s'agit exactement des mêmes mesures que vous devriez déjà prendre pour vos certificats de 398 jours :
- Visibilité : Comprenez où se trouvent tous les certificats dans votre réseau.
- Responsabilité : Définir la propriété du certificat et déléguer la responsabilité du cycle de vie du certificat.
- Politique et processus : Simplifiez les demandes et les approbations de certificats grâce à l'inscription en libre-service.
- Automatisation : Automatisez l'ensemble du cycle de vie avec des alertes, des renouvellements et du provisionnement.
N'oubliez pas que l'automatisation ne se limite pas à l'envoi du certificat à l'équipement. Il s'agit de configurer l'équipement pour qu'il utilise le certificat, puis de signaler que le certificat a été mis à jour et qu'il est désormais utilisé par le dispositif. Ainsi, si quelque chose ne s'est pas déroulé comme prévu, vous aurez le temps de réagir et de prendre des mesures correctives.
Pour en savoir plus sur l'impact du projet "Moving Forward, Together" de Google et sur la manière dont Keyfactor peut vous aider à vous préparer à la réduction de la durée de vie des certificats, regardez le webinaire à la demande suivant Le passage à des certificats TLS de 90 jours : Comment se préparer.
