Depuis les communications en ligne jusqu’aux échanges de données… nos vies sont régies par nos interactions numériques. Et dans ce contexte, les organisations – tous secteurs confondus – font face à des menaces de cybersécurité. Constituant le socle sur lequel s’appuient la sécurité des communications en ligne, le chiffrement des données et la vérification de l’identité, les certificats revêtent aujourd’hui une importance inédite.
Comment ACME a révolutionné la sécurité
Le protocole ACME (Automated Certificate Management Environment) simplifie la gestion des certificats en permettant aux serveurs web et à d’autres services de prouver automatiquement le fait qu’ils soient propriétaires d’un domaine, et de commander des certificats auprès des autorités de certification, comme le ferait manuellement un humain.
Or, même si le protocole ACME automatise le processus de validation de domaine, une validation est généralement effectuée à chaque demande de certificat. Les récentes améliorations apportées au protocole permettent toutefois aux organisations de gérer l’émission de certificats pour les sous-domaines, sans avoir à valider chaque domaine.
GlobalSign améliore son service ACME
Soucieux de répondre toujours mieux aux besoins de ses clients, GlobalSign s’appuie sur les capacités intégrées du protocole ACME pour supprimer l’obligation de validation de domaine pour les sous-domaines — à condition que le domaine parent ait déjà été vérifié. Ainsi, si vous avez validé avec succès le domaine exemple.com et que vous soumettez par la suite une demande de certificat pour boutique.exemple.com, la demande de certificat sera traitée sans qu’une validation de boutique.exemple.com soit demandée.
Retrouvez plus de détails sur la mise en œuvre d’ACME dans l’article de notre service d’assistance
Expérience utilisateur repensée
Plus efficace : Que vous ajoutiez [un certificat] directement par le biais du portail Atlas ou désormais via un « challenge » ACME, les validations de domaine s’appliqueront automatiquement aux futures demandes de certificats concernant le même domaine ou pour des domaines subordonnés.
Plus évolutive : Dans certains cas, l’AC ne peut créer les connexions entrantes avec le serveur requis pour la validation HTTP. Cela peut être dû aux règles de sécurité réseau propres au client, et dans les cas où la validation DNS automatisée ne peut être utilisée. Un administrateur Atlas peut alors valider le domaine de premier niveau par DNS ou e-mail (les domaines validés par la méthode HTTP ne peuvent pas être utilisés pour émettre des SAN de type wildcard ou sous-domaine), pour qu’ACME puisse être utilisé dans un plus grand nombre d’endroits.
Améliorations supplémentaires
En plus d’élargir les cas où la validation de domaine peut être réutilisée, GlobalSign vient d’apporter deux autres améliorations à son service ACME pour répondre encore mieux aux attentes de ses clients :
ACME Nonce
Un nonce ACME est une valeur cryptographique utilisée pour empêcher les attaques par rejeu, c’est-à-dire lorsqu’un adversaire tente de réutiliser un message déjà envoyé. Auparavant, le serveur ACME de GlobalSign stockait les valeurs nonce en interne — valeurs qui ne pouvaient donc pas être partagées entre plusieurs serveurs. Notre serveur ACME pouvait donc être surchargé de demandes et n’avait pas la capacité de répartir la charge sur d’autres serveurs, entraînant parfois des retards de réponse et des échecs. Mais depuis, GlobalSign a amélioré son backend. Les valeurs nonce sont désormais stockées dans un serveur de type clé-valeur, où plusieurs serveurs ACME peuvent partager un même magasin de valeurs nonce. Cela nous permet de faire évoluer le service afin d’équilibrer la charge et de traiter un nombre de demandes inédit.
ACME KeyChange
En cas de compromission avérée ou suspectée de la clé publique ACME d’un client, la seule solution consiste à désactiver le compte, à en créer un nouveau et à rétablir les connexions d’authentification avec le serveur ACME. Avec la mise en place de la fonction ACME KeyChange, les clients ont désormais la possibilité de modifier facilement la clé publique liée à leur compte. Cette fonctionnalité a été mise en œuvre conformément à la RFC 8555 et aux règles du programme Chrome Root de Google.
