Si vous n'avez pas encore automatisé la gestion du cycle de vie des certificats (CLM), le temps presse
ACME (Automated Certificate Management Environment) est un protocole conçu il y a plusieurs années pour automatiser la gestion du cycle de vie des certificats. Il a été créé à l'origine par l'Internet Security Research Group (ISRG) pour être utilisé par l'autorité de certification open-source Let's Encrypt.
À l'époque, il s'agissait d'une innovation nécessaire car les certificats SSL/TLS de Let's Encrypt n'étaient valables que 90 jours et devaient être remplacés au moins quatre fois par an. Cette situation était différente de celle des autres autorités de certification commerciales qui, conformément aux exigences de base du CA/Browser Forum, émettaient des certificats d'une durée de validité maximale de 13 mois (397 jours).
Tout cela est sur le point de changer. À la suite des réunions en face à face du CA/B Forum qui se sont tenues au début du mois de mars 2023, Google a annoncé son intention de réduire la validité maximale des certificats à 90 jours seulement pour tous les certificats SSL/TLS approuvés par le public.
Bien qu'il n'y ait pas encore de date d'entrée en vigueur ou d'échéance pour ce changement, il est temps de commencer à planifier l'automatisation de la gestion du cycle de vie de vos certificats SSL/TLS.
Pourquoi réduire la durée de validité des certificats ?
La réduction de la durée de vie des certificats a été une initiative permanente au cours de la dernière décennie. Alors qu'il y a dix ans, vous pouviez acheter un certificat SSL d'une durée de cinq ans, ce nombre a été progressivement réduit de trois à deux, puis à sa validité maximale actuelle d'un an (techniquement 13 mois).
L'idée sous-jacente est bonne, même si elle est un peu lourde à l'échelle : plus la durée de validité d'un certificat est longue, moins il est fiable. Pensez-y de la manière suivante : un certificat SSL/TLS est ce que les navigateurs utilisent pour vérifier l'identité d'un serveur web. Plus la durée de vérification de cette information est longue, moins la validation est fiable. Pensez à tout ce qui peut changer en l'espace d'une année - des entreprises disparaissent, des transactions et des fusions ont lieu, des entreprises évoluent - pour maintenir le niveau d'authentification le plus fiable possible, ces informations doivent être vérifiées régulièrement.
Le degré de régularité est discutable. Le précédent représentant de Google au forum CA/B - qui détermine les exigences réglementaires du secteur - estimait que les informations relatives à la validation des domaines ne devaient rester fiables que pendant six semaines. Trois mois, c'est environ le double (12 mois et demi).
À l'heure actuelle, Google a publié une enquête à l'intention des autorités de certification du CA/B Forum et leur demande de lui faire part de leurs commentaires sur ses projets d'ici à la fin du mois de mars. Ensuite, il annoncera probablement les dates d'application de tous les changements proposés. Nous vous tiendrons au courant de l'évolution de la situation.
Mais pour l'heure, il est temps de lancer une discussion sérieuse sur la gestion du cycle de vie des certificats au sein de votre organisation. GlobalSign propose une solution clé en main avec son ACME.
L'automatisation est passée d'une envie à un besoin
La gestion des certificats SSL/TLS a toujours été une tâche fastidieuse. Dès qu'il s'agit de plus de quelques certificats, il faut une planification délibérée, gérer de multiples validations, faire émettre les certificats, les placer sur les bons serveurs, les installer, les configurer, s'assurer que des rappels ont été définis pour leur date d'expiration - c'est, sans l'ombre d'un doute, une énorme galère.
Et ce n'est qu'une fois par an que l'on s'en préoccupe. Essayez maintenant de multiplier ce chiffre par quatre. C'est un vrai casse-tête. Si votre équipe informatique réside dans les étages supérieurs de votre immeuble, il se peut que vous deviez clouer portes et fenêtres.
Mais il existe un moyen plus simple de les empêcher de quitter le navire : Le service ACME de GlobalSign. Comme nous l'avons déjà mentionné, ACME a été conçu spécifiquement en tenant compte de ces délais et, depuis sa spécification initiale, il a été affiné pour faciliter davantage que les simples certificats à validation de domaine (DV) en source ouverte. Le service ACME de GlobalSign peut émettre des certificats SSL/TLS validés par domaine et par organisation. De plus, il est soutenu par l'expérience, l'assistance et les accords de niveau de service (SLA) qui font de GlobalSign l'une des autorités de certification et l'un des fournisseurs de services de confiance qualifiés les plus respectés au monde.
ACME est un protocole qui facilite la communication entre une AC (GlobalSign) et un agent installé sur un serveur web. L'agent gère l'ensemble du cycle de vie des certificats pour tous les sites web du serveur pour lesquels il est autorisé à agir. Les clients peuvent acheter des packs de certificats et tout gérer via le portail Atlas, ce qui permet une automatisation complète de tous les certificats SSL/TLS sur votre réseau.
Plus besoin de s'acharner sur les validations. L'agent s'en charge pour vous. Plus d'installations et de configurations. L'agent s'en charge également. Et lorsqu'un certificat est sur le point d'expirer et doit être remplacé - vous l'avez deviné, l'agent est au courant.
Le service ACME de GlobalSign est une solution d'automatisation agnostique et à faible effet de levier qui élimine le travail fastidieux de votre équipe informatique et permet à votre organisation d'économiser de l'argent. Et franchement, il ne pourrait pas être disponible à un meilleur moment à la lumière de la récente annonce de Google.