En 2024, l’automatisation des certificats numériques (CLM) devient cruciale

Dans ce blog, nous offrons un aperçu des développements au sein du marché PKI et des initiatives à venir chez KeyTalk.

Validité maximale de 90 jours pour les certificats TLS/SSL

Le 3 mars 2023, Google a annoncé dans sa feuille de route “Moving Forward, Together” l’intention de réduire la période de validité maximale des certificats TLS publics de 398 jours à 90 jours. Cette réduction à seulement 90 jours de validité maximale entraînera des changements significatifs dans l’industrie. Bien que le calendrier spécifique soit inconnu, il est probable que ce maximum de 90 jours sera en vigueur d’ici la fin de 2024.

Quel est l’impact?

La plupart des organisations gèrent encore le remplacement des certificats TLS/SSL manuellement, ou cela est sous-traité à un gestionnaire IT externe ou à un fournisseur de services gérés (MSP), qui le fait également manuellement. Avec la mise en œuvre de cette règle proposée par Google, le remplacement de ces certificats sera nécessaire quatre fois plus souvent qu’actuellement, ce qui pourrait entraîner des coûts supplémentaires importants. De plus, le risque d’erreurs dans ce processus de remplacement quadruplera, augmentant ainsi la probabilité de compromettre la continuité de l’infrastructure IT critique, ce qui pourrait entraîner des coûts bien plus élevés.

Le temps de l’automatisation

Pour rester en tête des coûts croissants et du risque de coûts supplémentaires dus à la discontinuité de l’infrastructure IT cruciale, l’automatisation du remplacement des certificats TLS/SSL est essentielle. Des autorités de certification importantes comme DigiCert, GlobalSign et Sectigo ont déjà mis en garde contre cela et offrent logiquement leurs propres systèmes de gestion de certificats à cet effet. Pour éviter une dépendance inutile à de telles entités, il est judicieux de considérer des systèmes indépendants de l’autorité de certification pour la gestion du cycle de vie des certificats (CLM), tels que le système de gestion de certificats et de clés (CKMS) de KeyTalk.

Automatisation à la Let’s Encrypt

De nombreux serveurs Web sont équipés de certificats Let’s Encrypt car une automatisation standard est offerte via le protocole ACME. La validité de ces certificats est déjà de 90 jours et peut facilement supporter des périodes de validité encore plus courtes. L’émission de certificats Let’s Encrypt ne comprend pas de validation de l’entreprise demandant le certificat, pas de contrôles auprès d’une Chambre de Commerce, et pas d’autres contrôles de légitimité pour l’entreprise ou le domaine pour lequel le certificat est demandé. Une demande de certificat chez DigiCert, GlobalSign ou Sectigo est traitée avec les contrôles requis et n’est donc pas gratuite. Cependant, avec le CKMS de KeyTalk, la demande, l’installation et le remplacement de tous les types de certificats DV, OV et EV TLS/SSL de toutes ces autorités de certification sont automatisés, et vous n’avez pas à vous soucier des certificats valides pour un maximum de 90 jours.

Support étendu pour l’automatisation

Avec le CKMS de KeyTalk, l’automatisation est possible depuis des années sur la base de l’agent KeyTalk, comparable à un agent ACME (Certbot ou WinAcme) mais, par exemple, répond à la révocation de certificats et à la suppression accidentelle de certificats, ce que les agents ACME ne peuvent pas faire. Étant donné que KeyTalk fonctionne également comme un serveur ACME depuis le quatrième trimestre 2023, tous les serveurs, équipements réseau tels que les équilibreurs de charge et les pare-feu, et les applications qui prennent en charge l’automatisation basée sur le protocole ACME, sont également pris en charge avec l’automatisation des certificats TLS/SSL, mais maintenant pour tous les types de certificats de DigiCert, GlobalSign et Sectigo (à partir du deuxième trimestre 2024).

Feuille de route de développement de KeyTalk pour 2024

Alors que nous entamons une autre année passionnante, KeyTalk est ravi d’annoncer plusieurs nouveaux développements qui font partie de notre feuille de route pour 2024. Ces innovations sont conçues pour améliorer nos services et fournir à nos clients les solutions de sécurité les plus avancées. Voici quelques-uns des points forts:

1. Nouveau scanner de réseau de certificats intégré: Nous introduisons une toute nouvelle fonction intégrée au sein du CKMS de KeyTalk pour scanner et importer efficacement les certificats réseau, assurant ainsi que la sécurité de votre réseau est toujours à jour.
2. Intégration d’Azure KeyVault: L’intégration transparente de KeyTalk avec Azure KeyVault est sur le point d’améliorer la sécurité basée sur le cloud, rendant la gestion des certificats plus robuste et rationalisée.
3. Support étendu pour les équilibreurs de charge Citrix NetScaler: Notre support s’étend pour inclure Citrix NetScaler, élargissant notre compatibilité et offrant plus d’options pour les solutions d’équilibrage de charge.
4. Support étendu pour l’automatisation des certificats DV: Nous améliorons notre automatisation des certificats Domain Validated (DV) avec une validation DNS automatisée pour les DNS basés sur Azure et AWS, rendant le processus de validation entièrement automatisé.
5. Amélioration des rôles, autorisations et gestion des workflows: Attendez-vous à plus de flexibilité et de contrôle avec nos fonctionnalités améliorées de rôles, autorisations et gestion des workflows, adaptées aux besoins organisationnels divers.
6. Support pour ACME pour les certificats clients utilisant l’attestation de dispositif ACME: Dans notre engagement envers la polyvalence et la technologie avancée, nous mettons en œuvre le support ACME pour les certificats clients, en utilisant l’attestation de dispositif ACME pour une sécurité accrue.
7. Support pour le protocole EST et CMPv2: En soutenant le protocole EST et CMPv2, KeyTalk améliore ses capacités dans la gestion des certificats et les normes de cryptage.
8. Ajout de l’attestation de clé HSM: Avec l’ajout de l’attestation de clé du module de sécurité matériel (HSM), nous renforçons davantage la sécurité et l’intégrité des clés cryptographiques.

Chez KeyTalk, nous évoluons continuellement pour suivre les dernières tendances et technologies en cybersécurité. Notre objectif est de fournir à nos clients les solutions les plus efficaces et sécurisées, et notre feuille de route pour 2024 en est un témoignage. Restez à l’écoute pour plus de mises à jour et de percées dans l’année à venir! Pour plus d’informations sur ces fonctionnalités à venir ou toute question concernant nos services, n’hésitez pas à nous contacter. Nous sommes là pour vous guider à travers le paysage avancé de la cybersécurité.

L’équipe KeyTalk