Tl;dr
EJBCA .4 marque une avancée majeure dans la mise en place d'une sécurité quantique, d'une automatisation à l'échelle planétaire et d'une flexibilité de déploiement modernisée pour l'infrastructure PKI la plus fiable au monde.
Avec des intégrations étendues du module hardware (HSM), la prise en charge SCEP conforme à la norme FIPS 140-3, de nouvelles politiques de gestion des vulnérabilités tierces et des mises à jour majeures Software Hardware Software , cette version étend la portée EJBCAà tous les environnements.
Lisez les notes de mise à jour ici, ou poursuivez votre lecture ci-dessous pour en savoir plus sur les nouveautés.
1. PKI sécurisée quantique : puissance HSM étendue et couverture PQC
À mesure que les organisations mettent en place des systèmes cryptographiques à longue durée de vie, en particulier ceux qui sécurisent IoT , les infrastructures critiques et les environnements réglementés, la protection post-quantique est devenue incontournable.
EJBCA .4 étend la prise en charge de la cryptographie quantique sécurisée avec une prise en charge plus large des clés ML-DSA sur les principaux HSM du secteur, notamment :
-
Thales Luna 7
-
Utimaco u.trust Anchor
-
Confiez nShield Connect
-
KMS AWS
-
Fortanix DSM
-
Securosys Primus
Ces intégrations permettent aux organisations de placer des clés PQC dans des environnements validés FIPS et hardware, ce qui est essentiel pour garantir la confidentialité et la conformité à long terme.
Pourquoi est-ce important ?
Les clients peuvent pérenniser leur PKI aux hardware auxquels ils font déjà confiance, sans avoir à repenser leur infrastructure. Les clés quantiques sécurisées peuvent désormais être générées, stockées et gérées dans des modules HSM de niveau entreprise, garantissant ainsi une sécurité moderne sans perturbation opérationnelle.
2. PKI à l'échelle planétaire : automatisation, publication et haute disponibilité
La gestion PKI des architectures distribuées à l'échelle mondiale devient souvent un goulot d'étranglement. Avec la version 9.4, EJBCA de nouvelles capacités d'automatisation conçues pour la mise à l'échelle.
Les principales améliorations comprennent :
-
Améliorations de ConfigDump pour une exportation/importation de configuration plus simple, basée sur YAML
-
Publication SCP pour tous les types de déploiement
-
Nouvelle prise en charge SFTP pour des workflows de publication automatisés sécurisés et basés sur des clés
Ces mises à jour rationalisent les opérations PKI , réduisent les erreurs humaines et facilitent la réplication ou la distribution des services CA dans les régions cloud, les centres de données ou les environnements conteneurisés.
Pourquoi est-ce important ?
Qu'il s'agisse d'émettre des milliers ou des milliards de certificats, EJBCA fonctionner comme un service fondamental. Grâce à une automatisation plus poussée et à une publication plus flexible, les organisations peuvent exploiter PKI l'échelle mondiale.
3. Conformité et avancées en matière de protocole : ACME, FIPS et transparence
Les réglementations en matière de cybersécurité exigent de plus en plus de transparence concernant les vulnérabilités, les bibliothèques de composants et les processus cryptographiques. EJBCA .4 répond à ces exigences grâce à plusieurs améliorations axées sur la conformité.
Informations sur le renouvellement ACME (ARI)
La prise en charge de l'ARI (RFC 9773) permet à EJBCA communiquer de manière proactive aux clients les dates de renouvellement des certificats, réduisant ainsi le risque d'expiration massive des certificats.
Politique officielle de gestion des vulnérabilités
EJBCA propose EJBCA :
-
Analyse automatisée des CVE,
-
Analyse des composants tiers, et
-
Une SBOM pour chaque version.
Cela aide les organisations à répondre aux exigences évolutives en matière de sécurité de la chaîne d'approvisionnement.
Améliorations SCEP conformes à la norme FIPS 140-3
Les versions antérieures du protocole SCEP utilisaient une clé unique pour signer et chiffrer les charges utiles CNC. En vertu de la norme FIPS 140-3, cela n'est plus autorisé, en particulier lorsque les clés sont générées dans un module HSM conforme.
EJBCA .4 introduit des paires de clés de signature et de chiffrement distinctes, garantissant ainsi le respect total des exigences FIPS.
Pourquoi est-ce important ? Conformité à l'
Il ne s'agit pas simplement d'une case à cocher, mais d'une question de sécurité opérationnelle. Ces mises à jour permettent à EJBCA parfaitement dans les environnements réglementés où la transparence et l'exactitude sont obligatoires.
4. Modernisation de la plateforme : une base plus solide et plus rapide
EJBCA .4 apporte d'importantes améliorations sous le capot afin d'améliorer les performances, la sécurité et la maintenabilité à long terme.
Les principales mises à jour technologiques comprennent :
-
Java 21 comme environnement d'exécution recommandé
-
Prise en charge du serveur d'applications WildFly 38
-
Bouncy Castle .82 pour des capacités cryptographiques et PQC améliorées
-
Prise en charge dynamique des noms d'hôte OAuth pour les environnements à noms d'hôte multiples
Pourquoi est-ce important ?
Ces mises à jour garantissent que EJBCA de répondre aux besoins de performance des entreprises tout en facilitant les mises à niveau, en renforçant la prise en charge cryptographique et en simplifiant les déploiements.
5. Améliorations de l'expérience administrative : workflows simplifiés et rationalisés
Les améliorations apportées à la convivialité dans la version 9.4 permettent PKI de travailler plus rapidement et en toute sécurité.
Les points forts sont les suivants :
-
Flux simplifiés pour la création de CA, de profils et de jetons cryptographiques
-
Modification en ligne des noms (plus besoin d'effectuer des actions de renommage séparées)
-
Nouvelles pages dédiées à la suppression et au clonage
-
Interfaces à onglets pour la gestion CA et la configuration OCSP Responder
Pourquoi est-ce important ?
Même les équipes hautement techniques tirent profit d'une expérience utilisateur plus fluide. Ces améliorations réduisent les taux d'erreur, accélèrent la configuration et rendent les opérations quotidiennes liées à l'exécution PKI intuitives.
6. Appliance : Hardware .2 et Software .9
Appliance Hardware Appliance .2 : la «PKI a Box » nouvelle génération
Les nouvelles fonctionnalités comprennent :
-
Prise en charge Quantum pour les HSM PCI Thales Luna et Utimaco intégrés via de simples mises à jour du micrologiciel pilotées par l'interface utilisateur Web.
-
Prise en charge des HSM connectés au réseau, notamment les appareils Entrust nShield, Thales Luna Network, Securosys Primus et Utimaco LAN.
-
Prise en charge des bases de données externes: MariaDB, Oracle, PostgreSQL, SQL Server, toutes configurables via l'interface utilisateur Web.
Software Appliance .9 : PKI votre hyperviseur — Simplifié
Améliorations majeures :
-
Sauvegarde et restauration en un clic, éliminant le besoin d'outils au niveau de l'hyperviseur
-
Prise en charge PQC pour les HSM connectés au réseau (Entrust nShield, Thales Luna)
-
Prise en charge USB HSM, à commencer par les modules USB Thales Luna, idéaux pour les déploiements sécurisés hors ligne de CA racine.
Pourquoi est-ce important ?
Ces deux appareils réduisent la complexité opérationnelle en centralisant la gestion dans l'interface utilisateur Web et en supprimant la dépendance à PKI approfondie PKI ou à des équipes d'infrastructure spécialisées.
Une nouvelle ère pour EJBCA
EJBCA .4 représente plus qu'une simple mise à jour fonctionnelle : c'est un tournant. Avec une base cryptographique plus solide, une automatisation plus poussée, une conformité renforcée et des capacités de déploiement plus flexibles, cette version positionne EJBCA la prochaine décennie de confiance numérique.
Que vous vous prépariez à la transition post-quantique, que vous augmentiez la délivrance de certificats à plusieurs milliards ou que vous modernisiez PKI dans des appareils ou des conteneurs, EJBCA .4 vous aide à garantir que votre organisation est prête pour tout ce qui l'attend.
