Depuis longtemps déjà, les entreprises ont besoin de certificats pour sécuriser leurs serveurs internes pour lesquels elles peuvent utiliser des conventions de nommage qui ne les obligent pas à obtenir des noms de domaine de premier niveau enregistrés. Le CA/B Forum, l'entité qui gère les exigences de bases et met en place les normes du secteur en termes d'utilisation des certificats SSL, a défini le 1er novembre 2015 comme la date butoir à partir de laquelle les certificats SSL pour les noms de serveur interne et les adresses IP réservées seront dépréciés.
Il existe plusieurs options possibles pour les entreprises souhaitant utiliser des noms de serveur interne :
- Echanger les noms de serveur interne pour des noms de domaine enregistrés, ce qui s'avère une bonne option sur le long terme. Cependant, la mise à jour de tous les systèmes et de l'infrastructure est un processus laborieux. De plus, de nombreuses entreprises choisissent de ne pas utiliser des noms de domaine publics enregistrés pour des raisons de sécurité.
- Implémenter et gérer une AC d’entreprise en interne, mais cette solution entraîne des coûts relatifs à l’obtention, la configuration et la gestion de l’AC et des services OCSP.
- Utiliser des certificats SSL auto-signés, ce qui signifie que l'entreprise devra sacrifier la confiance de tous ses certificats SSL pour tous ses utilisateurs, et ce, à chaque fois qu'ils seront renouvelés.
- Obtenir des certificats SSL depuis l’AC privée spécifique à une société auprès d'un fournisseur d’AC de confiance, mais cette solution prend du temps à mettre en œuvre et entraîne des coûts de configuration et/ou d’hébergement.
- Obtenir des certificats SSL auprès d'une AC utilisant une hiérarchie privée partagée.
La meilleure solution est de continuer à utiliser votre portail d’AC existant, afin de gérer tous vos certificats SSL depuis un même compte, y compris les certificats EV à validation étendue, les certificats d’organisation OV, ainsi que les certificats émis à partir de racines privées et destinés à un usage interne. Cela permet aux entreprises de profiter de tous les avantages d’une solution d’AC hébergée, tels que les rappels et les rapports de renouvellement, la génération centralisée de rapports et la gestion centralisée des inventaires, des API pour une émission automatisée des certificats, la délégation des droits d’administration et la flexibilité de pouvoir continuer à sécuriser les serveurs et applications internes.
GlobalSign est fière de lancer IntranetSSL, un nouveau produit disponible depuis notre portail de gestion de certificats basé sur le Cloud. IntranetSSL permet d’émettre, en quelques instants, des certificats d’organisation OV à partir de profils et de domaines pré-vérifiés, ainsi que des certificats pour les noms de serveur interne. IntranetSSL utilise des certificats de racine privée de confiance (racine qui n’est pas partagée avec les navigateurs et les systèmes d’exploitation). Ainsi, ces certificats n’ont pas l’obligation de se soumettre aux exigences de base du CA/B Forum.
Les entreprises peuvent facilement distribuer les racines privées IntranetSSL nécessaires à leurs utilisateurs grâce aux stratégies de groupe (GPO) ou à un autre système de gestion centralisée qui permet à leur communauté d’utilisateurs de faire confiance aux certificats IntranetSSL.
Trois caractéristiques clés d'IntranetSSL
1 | Noms de serveur interne et adresses IP réservées :
IntranetSSL permet d'émettre des certificats SSL contenant des noms de serveur interne et des adresses IP réservées dans les champs CN et SAN. De plus, IntranetSSL offre la flexibilité d’utiliser ces valeurs avec les domaines pré-vérifiés, permettant aux clients d’émettre un même certificat d’organisation pour leurs serveurs internes, leurs noms de domaine complètement qualifiés, leurs sous-domaines et leurs adresses IP publiques. |
2 | Types de clé et algorithmes de hachage flexibles :
IntranetSSL fonctionne avec les anciennes applications ainsi qu'avec les applications actuelles et futures avec divers types de clé et algorithmes de hachage. IntranetSSL est disponible à partir de trois hiérarchies différentes. La hiérarchie RSA 2048/SHA-1 fonctionne seulement pour les anciennes applications SHA-1 qui ne peuvent pas être facilement mises à niveau pour reconnaître les certificats SHA-256 en préparation de la dépréciation de SHA-1, comme prévu par les exigences de base du CA/B Forum. La hiérarchie RSA 2048/SHA-256 est utilisée pour les navigateurs et les serveurs les plus connus et la hiérarchie SHA256ECDSA, qui utilise des clés ECC P-256, est idéale pour la sécurité renforcée des applications de demain. Toutes ces options sont disponibles pour les clients IntranetSSL. |
3 | Périodes de validité plus longues :
IntranetSSL permet d'émettre des certificats d'une période de validité plus longue que celle autorisée par les exigences de base du CA/B Forum. Ainsi, les clients IntranetSSL peuvent recevoir des certificats d'une validité maximale allant jusqu’à cinq ans. |
Pour de plus amples informations, veuillez consulter notre page intranet consacrée à la sécurité