Il est évident que les certificats numériques peuvent se révéler être une option intéressante pour vos projets de sécurité, tels que l’authentification, les signatures numériques ou encore la sécurité des e-mails. Mais une fois choisie une solution liée à l'utilisation de certificats, d’autres éléments sont à prendre en considération : allez-vous vous associer à une Autorité de Certification publique sur le Cloud pour émettre et gérer les certificats, ou allez-vous gérer vos propres services PKI en interne (bien souvent en utilisant l’AC Microsoft) ?
Chaque scénario présente ses avantages et ses inconvénients. Mais les offres du Cloud en nette progression associées à un paysage PKI en constante évolution donnent moins de poids aux arguments d'habitude avancés préconisant de gérer une AC interne. Reconsidérons les 3 raisons les plus citées.
"C’est gratuit..."
Lors de notre enquête auprès d'un groupe de professionnels en informatique, pas moins de 70% des interrogés ont cité cet argument comme une des raisons principales pour utiliser une AC Microsoft - et se réfèrent au fait que les services d'une AC Microsoft sont inclus avec Windows Enterprise Server. Il est vrai qu'utiliser ces services ou les certificats que vous émettez n'engendrent pas de charges supplémentaires. Mais de là à dire que la gestion d'une AC Microsoft est gratuite... Ceci est une idée un peu simpliste et peut être trompeur.
Ce que vous devez considérer :
- Les dépenses liées au personnel nécessaire en interne pour s'occuper de la gestion d'une AC
- Les coûts liés au matériel (rien que le module matériel de sécurité nécessaire pour stocker vos clés de signature privées et racine) coûte en général environ $20 000)
- Un accord de niveau de service (SLA = service-level agreement) interne (et peut-être même externe) pour l'émission des certificats, mais aussi la gestion du cycle de vie des certificats et les services de validation (par exemple, mettre à jour et maintenir les listes de révocation de certificats et gérer les services OCSP)
- Les meilleurs pratiques liées à une Autorité de Certification ont-elle été appliquées en termes de sécurité, de politique et d'audit de votre AC ?
"Mais je dois pouvoir me connecter à Active Directory..."
Pour les organisations fonctionnant sous un environnement Windows, la possibilité de tirer parti des informations liées aux modèles de certificats déjà inclus dans les services de certificats Microsoft peut rendre la gestion d'une AC Microsoft extrêmement attrayante. Dans la mesure où Active Directory et les services de certificats Microsoft sont connectés, vous pouvez enregistrer les demandes de certificats de façon transparente et les fournir à tous les objets connectés à un domaine sur la base de stratégies de groupe. L'automatisation des demandes de certificats et leur installation silencieuse simplifient le processus de déploiement de certificat, aussi bien pour les administrateurs IT que les utilisateurs finaux. On ne peut nier les avantages de l'intégration avec Active Directory, mais si vous pensez que cette intégration ne peut se faire qu'avec une AC Microsoft, ce n'est tout simplement plus le cas aujourd'hui.
Ce que vous devez considérer :
- La plupart des ACs publiques proposent à présent une intégration avec Active Directory aux fonctions équivalentes tout en utilisant leur propre proxy plutôt que celui de Microsoft
"Mes certificats ne sont utilisés uniquement qu’à des fins internes...."
Une des motivations principales de s'associer à une AC publique est justement qu'elle est... publique. Celle-ci travaille assidûment pour garantir que ses racines sont intégrées dans les dernières versions de navigateurs et d'applications, afin que tous les certificats émis à partir de ces racines soient automatiquement reconnus. L'avantage de ceci est évident pour des cas d'utilisation tels que la sécurité SSL pour les sites publics ou la signature de documents, mais que faire si vous n'avez besoin de certificats que pour votre réseau privé ? Ou si vous avez seulement besoin d'activer S/MIME pour les communications internes ? La confiance publique n'est pas vraiment nécessaire dans ces cas là.
Au delà du fait que sa racine soit publique, il existe d'autres motifs valables de travailler avec une Autorité de Certification publique accréditée WebTrust.
Ce que vous devez considérer :
- Comment allez-vous protéger le matériel contenant la clé racine ?
- Comment allez-vous faire face aux meilleures pratiques PKI en évolution constante et maintenir le niveau de conformité en interne ? Plus de la moitié des sondés ont avoué ne pas souhaiter devoir gérer ce fardeau eux-mêmes.
- La plupart des ACs publiques proposent des options rentables pour des certificats à usage interne.
Comme je l'ai mentionné auparavant, il existe bien sûr certaines raisons pour lesquelles vous souhaitez gérer votre propre AC. Cependant, si vous avez fait votre choix en fonction d'un des arguments cités ci-dessus, il est peut être temps de reconsidérer votre positionnement.