Article co-rédigé par  Jeremy Rowley

L’internaute lambda ne réalise certainement pas toute la mécanique qui s’opère en coulisses pour sécuriser le monde numérique. C’est pourtant grâce aux certificats numériques, émis par des autorités de certification (AC), qu’il peut utiliser les sites web, les e-mails, les serveurs et les logiciels en toute confiance. Et la fiabilité de ces AC est elle-même établie par des organismes de normalisation tels que le Certificate Authority/Browser (CA/B) Forum. 

Or, en raison d’erreurs humaines et de bugs dans les codes, il arrive que les certificats émis ne répondent pas aux exigences de conformité strictes des opérateurs de root stores. Dans ce cas, il est attendu de l’AC qu’elle fasse preuve de transparence sur ce qu’il s’est passé, qu’elle révoque les certificats concernés et qu’elle aide la communauté à tirer des enseignements de cette situation. 

Car comme on a pu le constater avec l’invalidation des certificats Entrust par Google Chrome, ne pas réagir dans les temps pour limiter les dommages peut avoir d’énormes conséquences – aussi bien pour les AC que pour leurs clients. 

Pourquoi Google a décidé d’invalider les certificats Entrust

En juin 2024, l’équipe sécurité de Google Chrome a annoncé qu’à compter du 31 octobre 2024, elle ne considérerait plus les certificats TLS émis par Entrust comme fiables. En effet, quelques mois auparavant, Entrust avait reconnu avoir émis plus de 26 000 certificats TLS EV qui ne répondaient pas aux standards établis.

Le délai de révocation stipulé dans les exigences de base du CA/B Forum pour des certificats émis en dehors de ces standards est très court : 24 heures ou cinq jours, selon la nature du problème. L’AC peut généralement corriger la situation pour limiter l’impact sur les organisations, mais Entrust n’a pris aucune mesure pour révoquer ou remplacer les certificats concernés. 

Interruptions de service, incertitude quant au statut de l’AC, érosion de la confiance des clients… une telle inaction a de multiples répercussions sur les organisations. Et pour des AC comme Entrust qui ne font rien pour révoquer ou remplacer leurs certificats non conformes, ces conséquences peuvent se traduire par une perte de confiance des éditeurs de navigateurs web, ce qui explique la décision prise par Google.

Comment les entreprises peuvent éviter les perturbations dues aux problèmes d’émission de certificats

Les bugs étant fréquents dans les logiciels, des problèmes d’émission de certificats peuvent se produire même dans les cycles de développement ultra-sophistiqués. Le cas échéant, le premier objectif de l’AC doit être de déterminer l’origine de l’erreur et de mettre en place de mesures pour éviter que la situation se reproduise.

En 2023, DigiCert a découvert que 300 certificats émis pour un équipementier mondial ne respectaient pas les exigences de profil strictes définies par le CA/B Forum. Conformément à ces exigences, nous disposions de cinq jours pour révoquer ces certificats afin de maintenir notre conformité aux standards, lesquels sont acceptés par toutes les AC en tant qu’entités de confiance publique.

Mais nos discussions avec le client ont révélé un problème de taille : révoquer les certificats en cinq jours entraînerait une forte perturbation des systèmes critiques et pourrait mettre en danger la sécurité des consommateurs. Nous avons alors travaillé en étroite collaboration avec ce client et conclu qu’il lui faudrait un mois pour remplacer les certificats concernés.

Or, s’il était impensable pour nous de ne pas suivre les règles du CA/B Forum, il était également impossible de révoquer les certificats sans les remplacer par des certificats correctement émis. Nous nous sommes donc rapprochés de la communauté et avons travaillé sans relâche avec notre client pour que leurs nouveaux certificats soient opérationnels à temps. 

Bien que cette expérience ait été stressante pour toutes les personnes impliquées, les enseignements tirés ont permis à notre client de prendre les mesures nécessaires pour éviter toute récidive.

Voici ce que nous recommandons aux organisations qui s’appuient sur des certificats pour assurer leur sécurité :

1. Utilisez le cas échéant des certificats de confiance privée.

Le CA/B Forum ne définit que les standards relatifs aux certificats de confiance publique. Le délai de révocation de cinq jours ne s’applique pas aux certificats de confiance privée. Pour notre client, le fait d’installer des certificats de confiance publique sur des ressources qui n’en avaient pas besoin – en l’occurrence, des appareils connectés – a engendré des problèmes inutiles.

Notre conseil ? Faites un point sur l’utilisation de vos certificats. Pour éliminer tout risque de révocation susceptible de perturber votre activité, remplacez les certificats de confiance publique par des certificats de confiance privée lorsque ces derniers sont suffisants.  

Principaux cas d’usage des certificats de confiance privée :

• Appareils connectés : les appareils IoT connectés utilisent des certificats pour authentifier manuellement les connexions aux passerelles, serveurs, applications ou autres appareils. Cette communication s’effectue généralement sur des réseaux privés qui ne nécessitent pas de confiance publique.
• Applications et sites web internes : puisque l’Intranet de votre entreprise n’est pas accessible au public, un certificat de confiance publique n’est pas nécessaire.
• Communications inter-organisationnelles : pour éliminer le besoin de confiance publique, les organisations partenaires peuvent configurer manuellement leurs systèmes de sorte à accepter mutuellement leurs certificats privés.
• VPN : l’utilisation de certificats privés dans le cadre d’une authentification client-serveur garantit que seuls les appareils de confiance peuvent se connecter au VPN de l’entreprise.

DigiCert recommande également d’utiliser pkilint, son linter de certificats open source gratuit pour effectuer des contrôles de conformité automatisés sur les certificats.

2. Mettez en place une solution complète de gestion des certificats.

De nombreuses entreprises utilisent encore des feuilles de calcul pour gérer leurs certificats. Une solution de gestion du cycle de vie des certificats (CLM) permet de respecter sans problème le délai de cinq jours fixé par le CA/B Forum. Sans une telle solution, le remplacement de certificats émis en dehors des standards établis peut nécessiter un processus manuel lourd pouvant s’étaler sur plusieurs semaines.

Votre organisation ne dispose pas encore d’une solution CLM complète ? Optez pour DigiCert Trust Lifecycle Manager et ses nombreuses fonctionnalités :

• Recherche des certificats PKI
• Référentiel complet de tous les certificats privés et publics
• Visibilité approfondie et contrôle opérationnel
• Notifications d’expiration des certificats
• Correction des vulnérabilités

Collaborez avec une AC qui donne la priorité à la confiance numérique

La confiance numérique dont nous parlons tant chez DigiCert n’est pas un concept abstrait, mais une notion objective et mesurable. Soit les sites web et les produits numériques des organisations sont protégés par des certificats fiables, soit ils ne le sont pas. De même, soit les AC respectent les standards établis par des organismes tels que le CA/B Forum, soit elles ne les respectent pas. Il n’y a pas de demi-mesure.

Lorsqu’une AC accepte de faire partie d’une communauté de confiance, sa fiabilité est jaugée à son niveau de transparence et à sa disposition à agir selon les règles. À elle seule, une erreur dans le processus d’émission d’un certificat ne conduit pas automatiquement à une invalidation. L’origine de cette erreur, les enseignements tirés par l’AC, et la manière dont celle-ci a géré l’incident, voilà ce qui importe le plus.

Confiance numérique : le point sur l’actualité et les innovations

Envie d’en savoir plus sur la gestion du cycle de vie des certificats, la confiance numérique ou les solutions DigiCert de confiance numérique ? Abonnez-vous au blog DigiCert pour découvrir nos derniers articles sur toutes ces thématiques.