Face à des certificats numériques à la durée de vie de plus en plus courte, le secteur public et certaines entreprises soumises au référentiel général de sécurité (RGS) sont confrontées au double défi d’automatiser la gestion de leurs certificats, tout en respectant des normes de sécurité strictes.
Certificats numériques : vers une durée de vie de plus en plus courte
Depuis novembre 2024, l’autorité de certification Certigna (certifiée RGS) a réduit la durée de vie de ses certificats SSL/TLS et eIDAS à 90 jours. Cette décision s’inscrit dans une démarche globale du secteur visant à renforcer la sécurité des échanges en ligne :
- Apple envisage une durée de seulement 45 jours en 2027 après un premier palier à 200 jours en 2025 puis 100 jours en 2026.
- Google avait exprimé en mars 2023 son intention réduire la validité maximale des certificats TLS publics de 398 jours à 90 jours.
- Mozilla prévoit également de réduire la durée de vie des certificats pour son navigateur Firefox.
Pour les organisations, cette réduction drastique de la durée de vie des certificats implique une multiplication des renouvellements : avec des certificats valables seulement 45 jours, les entreprises devront renouveler leurs certificats environ 8 fois par an pour chaque domaine, contre une fois tous les 13 mois actuellement.
Le défi de l’automatisation des certificats conformes au RGS
En parallèle, le référentiel général de sécurité (RGS) impose aux organismes publics, prestataires de services de confiance et organisations fournissant des produits de sécurité d’utiliser des certificats numériques avec validation de l’organisation (OV) ou à validation étendue (EV).
Pour rappel, les certificats numériques, émis par des autorités de certification (AC), sont de trois types :
- DV (Domain Validation) : validation que le propriétaire d’un site web contrôle administrativement le domaine.
- OV (Organisation Validation) : validation de l’identité d’une organisation en plus de la validation du domaine.
- EV (Extended Validation) : validation étendue de l’organisation, qui fournit le niveau de sécurité SSL le plus élevé.
Dans ce contexte, les organismes soumis au RGS font face au défi de concilier automatisation de la gestion des certificats SSL/TLS, dont la durée de vie est de plus en plus courte, et exigences strictes de sécurité.
C’est la raison pour laquelle Certigna a mis en production un nouveau portail supportant le protocole ACME et conforme aux référentiels CAB Forum, eIDAS et RGS. En effet, ce protocole permet d’automatiser le renouvellement des certificats, dont la durée de vie est désormais de 90 jours. En associant le protocole ACME à une validation d’organisation valable 12 mois, Certigna propose un renouvellement automatique des certificats 4 fois par an. Les clients de cette autorité de certification qui ne passeront pas par le protocole ACME devront faire une validation OV, avec toutes les pièces justificatives, tous les 3 mois dans leur interface existante.
Il est à noter que le protocole ACME repose sur une interaction entre un client ACME et une autorité de certification (AC) comme Let’s Encrypt, qui est plébiscitée par de nombreuses organisations parce qu’elle délivre des certificats gratuitement. Or, cette AC ne fournit que des certificats avec validation du domaine (DV), qui ne sont donc pas conformes au RGS. L’ANSSI travaille sur un recueil d’exigences pour résoudre ce casse-tête. Cette initiative, soutenue par un appel à projets de la BPI, vise à développer des solutions client et serveur ACME conformes au RGS.
Entre durée de vie des certificats de plus en plus courte et exigences de sécurité de plus en plus fortes, une gestion purement manuelle des certificats n’est plus recommandée. Trop chronophage, elle engendre de nombreux risques : processus non sécurisés, risque d’interruption de service, etc.
BerryCert : gestion des certificats et conformité RGS
Avec son CLM BerryCert, Digitalberry répond à ces exigences, en se positionnant comme un serveur ACME vers les machines internes des organisations, et un client ACME vers les autorités de certification. Cette architecture permet de rendre compatibles ACME des systèmes qui ne le supportent pas nativement, comme les PKI internes Microsoft (ADCS), répondant ainsi à un besoin crucial d’interopérabilité dans les environnements complexes des grandes organisations.
BerryCert automatise la gestion des certificats et s’intègre désormais avec l’autorité de certification Certigna via le protocole ACME, ce qui permet une récupération automatique des certificats, avec deux options de distribution :
- Une mise à disposition directe pour les propriétaires via l’interface, avec notifications et téléchargement dans divers formats
- Une automatisation poussée vers les machines et applications utilisant des protocoles d’automatisation, ACME ou autre, sans nécessairement exposer les machines sur Internet.
Cette flexibilité répond aux besoins variés des organisations en matière de gestion de certificats.
En se positionnant comme un proxy intelligent, BerryCert étend les services proposés par Certigna qui ne peuvent pas automatiser toutes leurs demandes directement via ACME. Le CLM gère à la fois les demandes automatiques et manuelles, et permet de ne renouveler la validation d’organisation tous les 12 mois tout en renouvelant les certificats tous les 3 mois via le protocole ACME.
Cette approche centralisée permet non seulement de gérer efficacement les différents types de demandes, mais aussi d’automatiser le renouvellement pour les machines qui, pour des raisons de sécurité ou d’architecture, ne peuvent pas être exposées directement sur Internet. En d’autres termes, BerryCert offre une solution robuste et sécurisée pour la gestion complète du cycle de vie des certificats dans des environnements sous contrainte.
