Venafi - Gestion des Certificats : Apple Prévoit une Réduction Majeure d’Ici 2027
octobre 2024 par Kevin Bocek, Chief Innovation Officer chez Venafi, une entreprise de CyberArk
Apple a récemment annoncé la publication d’un projet de vote sur GitHub, visant à réduire la durée de vie des certificats de 398 jours à seulement 45 jours d’ici 2027.
Soutenue par Sectigo, cette proposition prévoit une réduction progressive de la durée maximale des certificats SSL/TLS publics, qui passerait à 45 jours entre aujourd’hui et 2027. Elle sera soumise au vote des membres du Certification Authority Browser Forum (CA/B Forum) dans les mois à venir.
Bien que cette réduction de la durée de vie des certificats vise à renforcer la sécurité, elle risque d’accentuer les défis déjà présents dans la gestion des certificats, augmentant ainsi le risque de futures interruptions de service. Nous avons d’ailleurs déjà pu constater les conséquences de telles perturbations, avec de nombreuses entreprises encore impactées par la panne de CrowdStrike plus tôt cette année.
Commentaire de Kevin Bocek, Chief Innovation Officer chez Venafi, une entreprise de CyberArk :
"Apple a maintenant rejoint des acteurs comme Google dans la promotion de durées de vie plus courtes pour les certificats afin d’améliorer la sécurité en ligne. En soumettant cette question au vote des membres du Certification Authority Browser Forum (CA/B Forum), Apple indique clairement son intention de suivre les traces de Google – qui devrait bientôt imposer des certificats de 90 jours. En impliquant une communauté plus large, cela pourrait avoir un impact encore plus grand que les changements proposés par Google pour Chrome. Et en proposant de réduire les durées de vie des certificats à 45 jours d’ici 2027, Apple va encore plus loin, avec une tendance à la réduction continue des durées de vie.
Même si le vote échoue, ces grands acteurs peuvent forcer la main de la communauté en modifiant les règles de leurs propres navigateurs – comme ils l’ont fait par le passé. Ainsi, les entreprises doivent s’assurer qu’elles sont prêtes pour ces changements. Cependant, des recherches récentes montrent que beaucoup ne le sont pas. Lorsqu’on leur a récemment demandé leur avis sur la proposition de Google de réduire les durées de vie des certificats à 90 jours, 81 % des responsables de la sécurité pensent que cela amplifiera les défis existants qu’ils rencontrent dans la gestion des certificats, près des trois quarts (73 %) estimant que cela pourrait causer du « chaos » et 75 % affirmant même que cela pourrait les rendre moins sécurisés. Il est inquiétant de constater que 77 % pensent que davantage de pannes sont « inévitables ». Avec Apple prévoyant de réduire les durées de vie des certificats de moitié, la situation pourrait devenir encore plus chaotique.
L’une des raisons pour lesquelles tant d’entreprises se sentent alarmées est qu’elles ne disposent pas des bons outils et ressources pour gérer leurs identités machines à grande échelle. Seulement 8 % des organisations automatisent complètement tous les aspects de la gestion des certificats TLS à l’échelle de l’entreprise – et près d’un tiers (29 %) comptent encore sur leurs propres logiciels et feuilles de calcul pour gérer ce problème. En conséquence, les organisations prennent 2 à 3 jours ouvrables (21 heures et trois quarts) pour déployer manuellement un certificat. La réduction des durées de vie de 365 jours à 90 jours va quintupler les efforts nécessaires pour gérer les certificats tout au long de leur cycle de vie – et les réduire encore à 45 jours entraînera une augmentation de l’effort par dix par rapport à aujourd’hui.
Après avoir récemment connu l’une des plus grandes interruptions informatiques de l’histoire avec CrowdStrike, les équipes de sécurité sont bien conscientes des risques liés à des interruptions plus fréquentes. Bien que le raccourcissement des cycles de vie des certificats aide à réduire certains risques et soit un pas dans la bonne direction, cela apporte également une complexité supplémentaire pour les équipes de sécurité. Nous ne parlons pas seulement de petits signaux d’alarme ici – nous voyons des problèmes partout, du cloud aux machines virtuelles et aux clusters Kubernetes. Ce n’est pas juste un problème d’un fournisseur ; c’est l’ensemble de l’internet qui est en jeu. La bonne nouvelle, c’est que ce problème est solvable. Les équipes de sécurité peuvent désormais gérer les cycles de vie des certificats (CLM), le PKI-as-a-service et les identifiants de charges de travail sur une seule plateforme de contrôle."