Certificats TLS plus courts : industrialiser pour survivre

D’ici 2029, les certificats TLS (Transport Layer Security) ne vivront plus que 47 jours. Une décision portée par Google, Microsoft, Apple et validée par le CA/Browser Forum. Pour les RSSI, il faudra tourner la page des fichiers Excel et accepter une évidence : la gestion des certificats doit devenir industrielle, automatisée et gouvernée.

Le cadenas de votre navigateur lors d’une connexion HTTPS ? Un symbole, celui de la présence du certificat numérique qui joue le rôle d’une carte d’identité pour le serveur auquel vous vous connectez et atteste de l’utilisation d’une clé de cryptage protégeant vos échanges.Ces certificats, émis au format X.509 par une autorité de certification (AC), comportent notamment deux champs, NotBefore et NotAfter, qui fixent leur période de validité. Tant qu’ils sont dans cette fenêtre, ils sont acceptés par le navigateur et permettent d’établir une connexion HTTPS chiffrée. En cas de compromission ou de dépassement des délais, les règles du CA/Browser Forum imposent une révocation sous 24 heures. Mais les mécanismes de révocation – qu’il s’agisse des CRL (listes de certificats révoqués) ou de l’OCSP (protocole de vérification en ligne) – sont souvent mal implémentés ou ignorés, si bien qu’un certificat compromis peut continuer à être utilisé, lors de communications mal sécurisées donc. Sans certificat valide, pas de confiance La durée de vie des certificats (délai entre le NotBefore et le NotAfter) n’a cessé de raccourcir. De cinq puis trois ans, o...