Renouvellement des certificats SSL tous les 45 jours : une mise en œuvre impossible sans automatisation ?

Les certificats sont délivrés par des autorités de certification (AC) et sont valables actuellement pour une durée de 397 jours. Mais cela pourrait changer et très vite. Après Google qui avait suggéré, en 2023, de baisser la durée de validité des certificats à 90 jours, c’est désormais Apple qui recommande que ce délai soit encore raboté, à 45 jours. Cette mesure qui permettrait d’augmenter fortement le niveau général de sécurité d’Internet, va être compliquée à mettre en œuvre par les entreprises, sauf à recourir à l’automatisation.

La difficulté de gérer les certificats SSL avec des durées de vie réduites

Risques d’avoir un certificat expiré

Lorsqu’un certificat SSL expire, les conséquences peuvent être immédiates et dommageables pour la fonctionnalité et la réputation d’un site web ou d’une application. Les visiteurs verront des avertissements de sécurité dans leur navigateur, ce qui peut les dissuader de continuer à naviguer sur le site. De plus, un certificat expiré expose le site à des risques de sécurité accrus, car les données échangées ne sont plus chiffrées de manière sécurisée. Un certificat SSL ne se contente pas de chiffrer les données, il garantit également l’identité de l’interlocuteur. Par exemple, un client qui surfe sur le site de Nomios sera en HTTPS avec un certificat qui chiffre la donnée (confidentialité) et qui est valide (garantie que c’est bien Nomios en face). Lorsque le certificat expire, le chiffrement peut encore avoir lieu, mais vous ne serez plus certain de discuter avec le site de Nomios. De plus, certaines applications peuvent cesser de fonctionner complètement lorsque le certificat expire, ce qui peut entraîner des interruptions de service.

Évolution de la durée de vie des certificats SSL

Autrefois, les certificats SSL avaient une durée de vie de 10 ans. Actuellement, ils doivent être renouvelés environ tous les 397 jours. Cependant, dès 2026, il faudra les renouveler deux fois par an, et à terme, Apple demande à la communauté technique de réduire cette durée à 45 jours d’ici 2029. Cette réduction progressive vise à renforcer la sécurité en limitant la fenêtre d’exposition des certificats compromis et en encourageant l’adoption rapide des nouvelles normes de sécurité.

Gestion actuelle des certificats SSL

Actuellement, la gestion des certificats SSL prend environ une heure par an et par certificat. Cette gestion est souvent réalisée à l’aide de fichiers Excel et de processus internes chez le RSSI (Responsable de la Sécurité des Systèmes d’Information). Cependant, avec l’augmentation de la fréquence de renouvellement, cette méthode devient impraticable, surtout si le nombre de certificats est élevé.

Responsabilité partagée dans la gestion des certificats

La gestion des certificats SSL est une responsabilité partagée dans les entreprises. Le RSSI est généralement chargé de l’achat et du renouvellement des certificats. L’équipe d’infrastructure s’occupe de l’installation des certificats, tandis que le propriétaire de l’application est garant de sa disponibilité. Cependant, ce dernier n’a pas toujours les compétences nécessaires pour gérer les certificats. Le renouvellement et l’installation des certificats deviennent donc complexes lorsque ce processus n’est pas automatisé.

La réalité des environnements hétérogènes

Dans un environnement 100% Microsoft, il est possible de gérer tous les certificats à partir d’une seule console, ce qui simplifie la tâche. Cependant, dans des environnements hétérogènes incluant des systèmes Linux, des reverse proxies comme F5, etc., la gestion devient plus complexe. Il est alors nécessaire d’utiliser une console centralisée pour gérer tous les types de certificats.

Une mesure positive mais compliquée à mettre en œuvre sans automatisation

Cette initiative lancée par Apple a globalement reçu un accueil favorable. En effet, plus les certificats ont une durée de vie courte plus la fenêtre d’exposition en cas de compromission est réduite. En d’autres termes, réduire la durée de validité des certificats est une mesure indispensable car elle tire la sécurité vers le haut. Notons également que nous nous rapprochons petit à petit d’une nouvelle ère du quantique qui rendra même peut-être cette durée trop longue dans un futur pas si lointain…

En revanche, cette réduction drastique de la durée de validité des certificats va générer de nouveaux problèmes pour les entreprises car il va falloir disposer de beaucoup de ressources pour gérer ce renouvellement. Dans des entreprises ayant des centaines voire des milliers de certificats à renouveler, cela pourrait même devenir rapidement ingérable en s’appuyant seulement sur des ressources humaines.

C’est donc de l’automatisation que le salut viendra. En effet, seule l’automatisation permettra de gérer efficacement les certificats SSL dans des délais si courts. Et cela passe par l’utilisation de plateformes de gestion centralisées pour découvrir, renouveler et révoquer les certificats, afin de réduire les interruptions et de garantir une visibilité totale sur l’ensemble des certificats numériques. Ces solutions existent et cette nouvelle donne va inévitablement créer un nouveau business. C’est ainsi dans le monde de la cybersécurité mais cela va finalement toujours dans le sens d’une vie numérique plus sûre face à des acteurs de la menace qui ne cessent de monter en compétences.