Le CA/Browser Forum a convenu, dans le cadre du vote SC-081v3, que d'ici 2029, la durée de validité maximale des certificats serait réduite à 47 jours, après une diminution progressive au cours des années précédentes.
Points à retenir :
- La gestion manuelle des certificats n'est plus mathématiquement viable. Le passage de cycles de vie annuels à des cycles de 47 jours multiplie par neuf la charge de travail opérationnelle, ce qui réduit considérablement la marge d'erreur et transforme les feuilles de calcul et calendriers traditionnels en source inévitable de pannes de service.
- La visibilité est le fondement de la sécurité. Les grandes entreprises sont souvent confrontées à des problèmes d'informatique fantôme et de points de terminaison non documentés, ce qui entraîne des temps d'arrêt imprévus ; la gestion d'un inventaire centralisé et automatisé garantit le suivi et le renouvellement de chaque certificat avant son expiration.
- Les applications pour mobile sont exposées à un risque particulier de « blocage ». Contrairement aux navigateurs, les applications pour mobile intègrent souvent une logique de confiance statique qui échoue lorsque les certificats de serveur sont renouvelés rapidement. Le passage à l'épinglage dynamique ou à l'épinglage de clé publique devient donc nécessaire afin d'éviter un déni de service immédiat pour les utilisateurs.
- L'infrastructure de confiance doit désormais fonctionner au rythme de la diffusion des logiciels. Le traitement des certificats comme des tâches administratives isolées entraîne des goulots d'étranglement au niveau du déploiement ; l'intégration directe de l'état des certificats dans les pipelines CI/CD permet aux entreprises d'appliquer leurs stratégies de sécurité et de valider en continu leur posture de confiance.
- L'automatisation doit remplacer l'intervention humaine pour garantir la résilience. La génération manuelle de CSR et les approbations par e-mail introduisent une latence et des incohérences qui sont incompatibles avec le délai de 47 jours ; l'adoption d'une automatisation événementielle basée sur ACME garantit des renouvellements programmatiques, reproductibles et résilients aux pannes.
Foire aux questions (FAQ)
En vertu de cette nouvelle obligation, la réutilisation de la DCV sera limitée à seulement 10 jours d'ici 2029, ce qui signifie que les entreprises devront établir la preuve de la propriété du domaine presque toutes les semaines.
Les applications pour mobile souffrent d'un « déficit d'asymétrie », car elles intègrent souvent des mécanismes de confiance ou des certificats épinglés directement dans des binaires distribués, dont la mise à jour n'est pas aussi rapide que le renouvellement des certificats côté serveur.
Akamai recommande d'abandonner l'épinglage des certificats de niveau inférieur et de passer à l'épinglage SPKI (Subject Public Key Info), qui permet de réémettre des certificats avec de nouvelles dates d'expiration tout en réutilisant la même paire de clés.
Le premier est le certificat présenté par la plateforme en bordure de l'Internet à l'utilisateur final, tandis que le second est le certificat présenté par le serveur d'origine à cette plateforme afin de maintenir une chaîne de confiance complète.
Si la rotation du certificat d'origine nécessite une intervention manuelle, Akamai suggère d'épingler un certificat spécifique dans la configuration en bordure de l'Internet à titre de mesure provisoire, avec un processus de rotation annuel ou semestriel.
L'EAB (External Account Binding) ACME est un mécanisme qui relie les demandes de certificat automatisées à un compte vérifié doté d'une autorité de certification (CA). Il garantit que seuls les utilisateurs autorisés peuvent émettre des certificats en exigeant une preuve cryptographique lors de l'enregistrement du compte. L'EAB est couramment utilisé pour assurer le contrôle d'accès, la facturation, la conformité aux règles et la traçabilité dans le cadre de l'émission automatisée de certificats.
L'EAB ACME permet des interactions authentifiées et basées sur des règles avec les autorités de certification commerciales, ce qui permet une automatisation sans intervention tout en préservant les contrôles d'identité et les flux de travail d'approbation existants.
Les dirigeants doivent donner la priorité à l'audit de l'inventaire des certificats afin d'établir une source unique de vérité, de cartographier toutes les dépendances de renouvellement manuel et d'auditer les applications pour mobile pour s'éloigner de l'épinglage de certificat d'entité finale à haut risque.