Nous sommes tous très occupés au quotidien et nous oublions souvent de faire ce que nous avons à faire. Pourtant, certaines tâches ne doivent pas être remises à plus tard, comme le renouvellement du certificat SSL/TLS de votre site web. Grâce aux certificats SSL, les individus, ordinateurs ou machines peuvent échanger en toute sécurité sur le Web des informations telles que coordonnées bancaires, identifiants de connexion ou numéros de carte bancaire.
Vous pouvez donc aisément comprendre pourquoi il est primordial pour les entreprises telles que les détaillants d’avoir un certificat à jour et quels problèmes pourraient faire surface si elles oublient de le renouveler. Les sites web seront bloqués par les navigateurs qui indiqueront alors que ceux-ci ne sont pas sécurisés, la confiance des visiteurs en sera altérée et le nombre de panier abandonnés plus élevé.
Exemple d’un site web sur Chrome dont le certificat SSL a expiré
Est-ce vraiment un risque que vous souhaitez prendre ? Probablement pas. Pourtant, les oublis de renouvellement de certificats SSL sont beaucoup plus fréquents que vous ne le pensez et ce, tous secteurs confondus.
Ces derniers mois, par exemple, les certificats SSL des sites de LinkedIn, de Pokemon Go, du service FreeWiFi et même de la Maison Blanche ont brièvement expiré. Nous parlons ici de sites particulièrement populaires et lorsqu’un navigateur indique qu’un site n’est pas sécurisé, il y a de fortes chances que son trafic en soit fortement impacté. Les alertes de sécurité peuvent également remettre en question leur réputation.
Dans le cas de LinkedIn, le certificat de plusieurs de leurs sous-domaines spécifiques à certains pays a expiré, causant l’apparition d’une alerte de sécurité pour tous les utilisateurs tentant d’y accéder. LinkedIn étant un site établi ayant un grand nombre de visiteurs assidus, il est très possible que la majorité ait ignoré le message d’alerte et visité le site malgré tout. Ce type de comportement est inquiétant car ces alertes sont là pour une raison. Et que se passerait-il si la sécurité du site était un jour vraiment compromise et que ses visiteurs ignoraient malgré tout les alertes en se disant : « j’ai déjà vu ce type d’alerte en me connectant à LinkedIn auparavant et n’ai jamais eu de problème, ça ne peut pas être bien grave » ?
Vient ensuite le cas de la Maison Blanche. Soyons francs, le fait que l’administrateur du site ait laissé ce certificat expirer est vraiment embarrassant. Le public fait automatiquement confiance aux sites web gouvernementaux qui sont devenus l’une des cibles principales de cyberattaques. La mise en œuvre de systèmes de gestion adéquats pour éliminer tout risque est absolument primordial pour ces sites de haut niveau qui se doivent d’encourager leurs visiteurs à adopter le bon comportement face aux potentielles vulnérabilités.
Ces incidents sont regrettables mais devraient servir de leçon aux entreprises afin qu’elles se mettent à garder un œil sur la période de validité de leurs certificats et prendre conscience des conséquences auxquelles elles pourraient faire face si elles ne les renouvellent pas.
Je voudrais également préciser que bien que les exemples mentionnés ci-dessus concernent des sites web publics, les certificats SSL sont également utilisés pour les réseaux internes (parfois encore plus même que pour des sites publics, selon l’entreprise concernée). L’expiration inattendue d’un certificat peut aussi y avoir des conséquences désastreuses. Lorsque tous vos processus dépendent de certificats, pour le chiffrement ou l’authentification mutuelle par exemple, un certificat expiré pourrait tout interrompre brutalement.
Comment éviter que votre certificat SSL n’expire ?
Pour résumer, vous ne voulez pas faire partie de la liste des entreprises dont nous avons parlé plus haut et qui laissent leur certificat expirer. Mais que pouvez-vous faire pour éviter l’expiration de votre certificat SSL ? Voici quelques conseils :
- Ne dépendez pas de feuilles de calcul ! Cela me fait un peu mal au cœur de savoir que certaines personnes dépendent de feuilles de calcul qu’elles mettent à jour manuellement pour surveiller le statut de leurs certificats. Je ne peux pas dicter vos actions, mais les risques potentiels de cette méthode m’inquiètent vraiment… que se passerait-il si quelqu’un oubliait de mettre à jour le fichier ? Ou si quelqu’un écrasait le fichier par accident ? Et que faire du cas où votre système planterait et vous perdez complètement le fichier (en supposant que vous n’avez fait aucune copie) ?
- Utilisez le portail de gestion de certificats de votre AC à votre avantage. Je pense que la plupart des AC offrent une interface de gestion. Vous pouvez y accéder aux certificats que vous avez commandés et utiliser un filtre pour savoir lesquels vont bientôt arriver à expiration. Et si votre AC ne vous offre pas ce genre d’interface... alors peut-être qu’il est temps de considérer d’autres options.
- Vérifiez l’adresse e-mail associée à vos certificats. A GlobalSign, nous envoyons automatiquement et régulièrement des rappels par e-mail bien avant la date d’expiration de votre certificat (vous pouvez contrôler la fréquence de ces rappels et même les désactiver). Cependant, ces rappels ne servent à rien s’ils sont envoyés à une adresse incorrecte (ex : un ancien salarié qui ne travaille plus dans l’entreprise) ou une boîte de réception qui n’est pas souvent consultée.
- Vous craignez d’avoir des certificats oubliés dont vous n’avez aucune trace ? Il existe des outils d’inventaire pour vous aider à faire face à cette situation. La plupart sont capables de détecter tous les certificats actifs, quelle que soit l’AC émettrice, qu’ils soient publics ou internes. Ce qui m’amène au dernier point …
- Faites un inventaire complet de vos certificats ! Vous pensez peut-être que tous vos certificats sont sous contrôle, vous utilisez le portail de gestion de votre AC, vous recevez des alertes par e-mail, vous avez peut-être même synchronisé les périodes de renouvellement de tous vos certificats, jusqu’au moment où, bim ! un certificat venu de nulle part expire et tout le monde vous fait porter le chapeau. Faire un inventaire complet de vos réseaux publics et internes vous permet de vous rafraîchir la mémoire sur les certificats en votre possession et d’être préparé lorsque le certificat commandé par Thomas de l’équipe de développement arrive à expiration.
Vous avez des questions sur la gestion de vos certificats SSL ou sur la meilleure façon de contrôler votre inventaire de certificats ? Nous sommes là pour vous aider !