ACME est un protocole internet conçu pour faciliter la communication entre les entreprises et les autorités de certification (AC), et automatiser la gestion du cycle de vie des certificats SSL/TLS. Dans cet environnement sans contact, les certificats peuvent être émis rapidement et à un coût raisonnable. Le client ACME demande un certificat à un serveur ACME qui est administré par une autorité de certification telle que GlobalSign. En automatisant de manière collaborative les principales fonctions de gestion du cycle de vie des certificats (CLM), cet environnement offre un atout majeur pour gérer vos certificats de manière efficace et sécurisée.
Dans cet article, nous nous penchons sur la dernière mise à jour du service ACME de GlobalSign, qui pemet d’émettre des certificats IntranetSSL pour des domaines internes.
Évolution du protocole ACME
Depuis sa création, le protocole ACME a considérablement évolué. Initialement développé pour simplifier l’émission et la gestion des certificats SSL/TLS, ACME répond aujourd’hui aux défis d’évolutivité, de sécurité et d’agilité auxquels les entreprises sont de plus en plus confrontées. La prise en charge de durées de vie de certificats plus courtes, l’amélioration des capacités d’automatisation et l’intégration de technologies émergentes, comme la conteneurisation et le cloud computing, rehaussent le niveau de protection des entreprises face à des menaces de sécurité qui évoluent en permanence. Enfin, ces améliorations concourent également au respect de la conformité aux nouvelles exigences réglementaires.
Solution ACME de GlobalSign — Dernières mises à jour et améliorations
Pour maintenir leur niveau de conformité et de sécurité, les organisations doivent s’adapter aux évolutions continues des normes de sécurité. Les récentes mises à jour apportées par GlobalSign à son service ACME concernent la réutilisation de la validation du sous-domaine, la prise en charge du point de terminaison ACME KeyChange et les mises à jour internes d’ACME Nonce. Nous avons depuis continué à étoffer notre service ACME et sommes heureux d’introduire la prise en charge des certificats de domaine interne via ACME dans notre ligne de produits IntranetSSL.
Qu’est-ce que cela signifie ?
GlobalSign débloque ainsi une capacité jusqu’alors difficilement accessible aux organisations : la possibilité d’émettre des certificats via ACME pour des domaines internes et privés utilisant des suffixes de domaine non officiels, tels que .internal ou .lan. Ces domaines internes peuvent être utilisés pour les réseaux de développement ou autres environnements de test des entreprises, ainsi que pour les réseaux d’appareils privés et les domaines Active Directory. Pour ces derniers, il est toutefois recommandé d’utiliser un sous-domaine d’un domaine enregistré publiquement et contrôlé par votre organisation.
Les défis ACME s’appuient généralement sur le DNS public pour rechercher un enregistrement TXT ou résoudre l’adresse d’un serveur. Il n’existe cependant pas de DNS public pour les suffixes de domaines non officiels, ce qui constituait jusqu’à présent un obstacle à l’émission de certificats. Pour les organisations souhaitant automatiser la gestion des certificats et améliorer l’agilité des infrastructures PKI dans des secteurs essentiels, cette innovation change la donne.
Pourquoi est-ce important ?
Le maniement d’informations sensibles et la gestion des communications internes exigent que les points de terminaison sur les domaines internes soient sécurisés et protégés, entre autres, contre les risques d’attaques sur la chaîne d’approvisionnement. Pour sécuriser les domaines intranet et non publics, GlobalSign a fait en sorte que son produit robuste « IntranetSSL » puisse être provisionné automatiquement via le protocole ACME.
En automatisant le déploiement et le renouvellement de certificats TLS/SSL non publics, les entreprises s’assurent que leurs terminaux privés respectent les normes de chiffrement et les exigences de conformité internes. Elles empêchent ainsi les accès non autorisés, les violations de données et les possibles interruptions d’opérations.
Nous sommes conscients de l’importance que revêtent la confidentialité et la sécurité sur les réseaux internes. Les hiérarchies privées, telles qu’IntranetSSL, n’étant pas soumises aux exigences de conformité des certificats de confiance publique, les certificats émis par cette hiérarchie ne sont donc pas publiés dans les journaux de transparence des certificats (CT). Vos domaines internes restent donc privés. De plus, dans la mesure où, pour les domaines internes, il est inutile de passer par le processus de validation habituel (« défi de domaine »), toutes les requêtes de certificats provenant du client ACME sont sortantes depuis le réseau de l’entreprise. Il n’y a donc pas besoin d’ouvrir le pare-feu pour autoriser les connexions entrantes liées aux défis de domaine. Une fois le certificat émis, le client ACME le télécharge automatiquement.
Avantages du provisionnement d’IntranetSSL par ACME
Gestion centralisée : grâce aux capacités intégrées du protocole ACME et aux récentes mises à jour de GlobalSign, la gestion des certificats publics et privés peut être centralisée. L’utilisation des mêmes processus pour gérer les certificats sur l’ensemble des points de terminaison simplifie l’administration et réduit le risque de violations.
Conformité : les organisations peuvent appliquer des politiques de sécurité et des normes de conformité cohérentes, sans dépendre exclusivement de leur personnel interne pour créer des chaînes de confiance auto-signées destinées à protéger leurs points de terminaison internes vitaux. En collaborant avec une autorité de certification de confiance, elles peuvent ainsi répartir la charge et bénéficier de l’expertise et des connaissances sectorielles nécessaires pour émettre des certificats non publics adaptés à des cas d’utilisation privés .
Évolutivité : avec ses capacités de gestion des certificats évolutives, le service ACME de GlobalSign permet aux entreprises de gérer efficacement leurs certificats sur leurs points de terminaison privés (quel que soit le nombre), et de développer et personnaliser leur solution au fur et à mesure que leur infrastructure évolue et mûrit.
Pour les organisations, le provisionnement automatique de certificats IntranetSSL via ACME se traduit par une amélioration de leur efficacité opérationnelle et de leur posture de sécurité, avec une réduction de la charge de travail pour les équipes de sécurité.
