Les professionnels de l'infrastructure à clé publique (PKI) et de la gestion des certificats ne manquent pas de nouvelles cet été. De l'annonce par Google de la méfiance à l'égard des certificats Entrust à l'arrivée imminente d'algorithmes cryptographiques post-quantiques, en passant par la possibilité d'un cycle de vie des certificats de 90 jours, la nécessité d'une gestion efficace de PKI et des certificats est au cœur des préoccupations. Ajoutez à cela le manque de professionnels qualifiés et le fait que nombre d'entre eux sont en vacances, et vous obtenez la tempête parfaite qui explique pourquoi la crypto-agilité est essentielle pour les entreprises modernes.
Révocation des certificats DigiCert et ce qu'il faut savoir
Tout récemment, DigiCert a annoncé un incident de révocation pour des certificats émis sans vérification de contrôle de domaine appropriée, impactant environ 0,4 % des validations de domaine applicables que DigiCert a en vigueur. Les règles du CA/Browser Forum exigent que les certificats présentant des problèmes de validation de domaine soient révoqués dans les 24 heures, sans exception. Nous recommandons vivement de suivre les conseils de DigiCert pour vérifier si vous êtes concerné et réduire la probabilité d'une panne.
Pour les clients concernés par Keyfactor Command , nous avons plus de détails ci-dessous sur les étapes de réinscription/renouvellement des certificats concernés. DigiCert s'occupant de la révocation, cette étape n'est pas nécessaire sur Keyfactor et sera effectuée par DigiCert.
Keyfactor Command Clients - Suivez les étapes ci-dessous :
Pour savoir où les certificats DigiCert sont installés, allez sur la page de recherche de certificats et affichez l'onglet Emplacements. Puisque DigiCert révoque les certificats, vous devez vous concentrer sur le réenregistrement/renouvellement des certificats à l'adresse Keyfactor Command :
Cliquez avec le bouton droit de la souris sur tous les certificats découverts qui sont concernés et cliquez sur "Renouveler".
Cela émettra un nouveau certificat DigiCert et créera un travail de gestion sur l'Universal Orchestrator pour remplacer le certificat dans les magasins de certificats où le certificat a été découvert.
- Vous pouvez accéder à la page Statut du travail de l'orchestrateur pour voir le statut actuel du travail de l'orchestrateur.
Facultatif : Les flux de travail peuvent être utilisés, si vous le souhaitez, pour effectuer des opérations après que le certificat a été déployé dans le magasin de certificats, comme l'établissement de liaisons.
- Afin de prendre des mesures, Command dispose d'un flux de travail "Certificate Entered Certificate Store" qui est déclenché lorsque des certificats apparaissent dans un magasin de certificats pour vous permettre d'appeler des choses comme des commandes API pour effectuer toutes les actions dont votre application peut avoir besoin après la mise à jour d'un certificat.
La crypto-agilité est essentielle compte tenu de la complexité croissante
Ces types d'incidents sont inévitables compte tenu de la complexité croissante et de l'augmentation rapide des certificats dans les services numériques, les charges de travail en nuage, les appareils IoT , etc. Notre principale responsabilité est d'aider nos clients à réagir rapidement, quelle que soit l'origine du problème.
Mais les incidents de ce type sont révélateurs d'une tendance plus large : l'infrastructure critique ne se limite plus à PKI . La crypto-agilité, c'est-à-dire la capacité à s'adapter et à réagir rapidement à ces incidents, devient essentielle pour établir et maintenir la confiance numérique. Voici quelques éléments essentiels de la crypto-agilité pour mieux préparer votre équipe à ce qui l'attend.
L'essentiel de la crypto-agilité : Commencer par la découverte et l'inventaire
La crypto-agilité ne consiste pas seulement à réagir rapidement aux incidents. Elle commence par un processus de découverte des actifs cryptographiques de votre organisation. Dans une enquête menée auprès de 1 200 professionnels de l'informatique, nous avons constaté que 92 % d'entre eux reconnaissent que leur organisation bénéficierait d'une plus grande visibilité sur toutes les autorités de certification (AC) émettrices et sur les outils PKI . Nous considérons que le fait d'être agnostique en matière d'AC est un avantage pour les clients, car nous n'avons aucun parti pris quant à l'origine des certificats ou au fait de maintenir les clients liés à un écosystème d'AC.
La gestion de la prolifération des AC et des certificats grâce à une découverte efficace et à une gestion unifiée de tous les actifs cryptographiques constitue la première étape d'une mise en œuvre efficace de la crypto-agilité et d'une réduction de la charge opérationnelle.
Les clients qui utilisaient auparavant des feuilles de calcul manuelles ou des outils PKI disparates sont confrontés à des lacunes de visibilité et aux impacts opérationnels en aval de l'utilisation de plusieurs sources de vérité. Lorsque nous découvrons des organisations potentielles, il est courant de trouver des centaines, voire des milliers de certificats dont les équipes n'ont pas connaissance, qu'ils proviennent de fusions et d'acquisitions, d'anciens employés ou d'initiatives éphémères. Pour être crypto-agile en cas de révocation ou d'autres incidents, ces actifs doivent être rassemblés dans un inventaire unifié.
En outre, le paysage des certificats de toute organisation est en constante évolution, c'est pourquoi nous fournissons en permanence des informations à nos clients sur les changements de leur position dans les domaines suivants Keyfactor Command. Avoir une visibilité sur tout ce qui est géré est un premier pas important vers la crypto-agilité. Mais ce n'est pas la seule.
L'essentiel de la crypto-agilité : Veillez à ce que votre infrastructure soit à la hauteur
Une organisation moyenne doit gérer plus de 80 000 certificats internes et 7 AC émettrices internes, ce qui en fait un élément essentiel d'une stratégie de crypto-agilité.
Il est plus probable qu'improbable que votre infrastructure PKI sous-jacente ait un impact sur la capacité de votre organisation à être agile sur le plan cryptographique. En moyenne, nous avons constaté que les organisations utilisent plus de 80 000 certificats internes et sept autorités de certification internes. Si les pannes de CrowdStrike et de Microsoft de l'été 2024 nous ont appris quelque chose, c'est que la résilience de l'infrastructure est nécessaire quand, et non pas si, des pannes se produisent.
Bien que Microsoft Active Directory Certificate Services (ADCS) soit une solution populaire, son incapacité à couvrir les cas d'utilisation et les normes modernes n'en fait pas la solution idéale pour de nombreuses organisations. Nous entendons souvent des clients potentiels qui repensent leur stratégie Microsoft ADCS PKI citer d'autres raisons comme le passage à des configurations hybrides et multi-cloud et le manque de prise en charge des algorithmes cryptographiques post-quantiques comme raisons pour lesquelles ils se détournent de Microsoft ADCS.
Le fait de disposer d'une plateforme PKI complète, telle que EJBCA Enterprise de Keyfactor, qui peut être déployée n'importe où et peut évoluer plus efficacement, aide les équipes à atténuer le risque de pannes et à garantir la confiance numérique et la crypto-agilité.
L'essentiel de la crypto-agilité : Automatiser, automatiser, automatiser
Si vous disposez d'un inventaire cryptographique centralisé et d'une solide infrastructure sous-jacente PKI , il est temps d'automatiser vos processus manuels existants. Nous travaillons avec des centaines de nouveaux clients chaque année pour comprendre leurs processus actuels de gestion du cycle de vie des certificats et comment nous pouvons les automatiser. Dans certains cas, nous avons réduit les délais de renouvellement de plusieurs semaines à quelques secondes pour des équipes surchargées.
Keyfactor Command La gestion du cycle de vie des certificats est agnostique, ce qui signifie que nous travaillons avec presque toutes les autorités de certification et que nous nous intégrons à de nombreux fournisseurs de premier plan dans les flux de travail des certificats, tels que F5 Networks, Microsoft IIS, Java Key Store, Azure Key Vault, Hashicorp, et bien d'autres encore.
Les flux de travail sont un moyen efficace d'automatiser les processus existants et de réduire la probabilité d'une panne liée à l'obtention d'un certificat.
Les flux de travail dans Keyfactor Command sont un moyen puissant pour les organisations de configurer les notifications et les approbations ainsi que d'automatiser les processus. Les clients les apprécient car ils leur permettent de gagner du temps et de garantir la crypto-agilité. Pour plus de détails, vous pouvez consulter la rubrique " Démarrer avec l'automatisation des certificats " ou obtenir une démonstration pour en savoir plus.
La crypto-agilité est la nouvelle infrastructure critique
Alors que les organisations déploient de plus en plus de certificats à l'échelle mondiale, il est essentiel d'être agile sur le plan cryptographique pour l'infrastructure critique de la confiance numérique. Ce ne sont pas seulement les outils de gestion du cycle de vie des certificats et de PKI qui importent, mais aussi la rapidité avec laquelle les équipes peuvent réagir de manière automatisée à tout incident ayant un impact sur l'environnement.
Si vous souhaitez améliorer la crypto-agilité de votre organisation, nous vous invitons à prendre contact avec nous.