Pourquoi automatiser la gestion de ses certificats SSL / TLS ?

Le renouvellement manuel des certificats SSL est chronophage pour les entreprises, en particulier les grands comptes, et implique la réalisation de nombreuses tâches par les collaborateurs. D’autre part, l’absence d’automatisation peut provoquer des interruptions de service si un certificat n’est pas renouvelé à temps. En restant sur un fonctionnement manuel, on laisse également plus de place à l’erreur humaine. La personne qui reçoit la notification de l’expiration peut être absente, avoir quitté l’entreprise ou tout simplement ne pas voir le message.

Par ailleurs, la durée de vie des certificats SSL tend à être écourtée. Auparavant valables 2 ans, ces certificats ont depuis le 1^er septembre 2020 une durée de validité d’un an. En cause, la volonté des éditeurs de navigateurs de renforcer la sécurité des certificats SSL en limitant les fraudes liées à une potentielle compromission.

En mars 2023, Google proposait même de réduire la durée de vie des certificats TLS publics d’un an à 90 jours : si aucune décision n’a encore été prise en la matière, cette annonce pourrait néanmoins trouver confirmation dans les mois qui viennent.

Face à ces contraintes, l’automatisation du renouvellement des certificats SSL présente de multiples avantages. Elle évite l’expiration des certificats et assure leur conformité aux normes. C’est aussi un gain de temps considérable permettant aux équipes de se concentrer sur des tâches à plus forte valeur ajoutée, avec un suivi centralisé. Les organisations gagnent ainsi en fiabilité, l’erreur humaine étant réduite. L’automatisation accroît également la réactivité lors des mises à jour des politiques de certificats. Ses bénéfices sont d’autant plus importants pour les grandes structures, alors que la durée de vie des certificats tend à être réduite.

Qu’est-ce que le protocole ACME et comment fonctionne-t-il ?

Le protocole ACME est un système basé sur l’automatisation des interactions entre les serveurs web et les autorités de certification (AC) l’utilisant. Concrètement, un serveur envoie une requête à une autorité de certification et reçoit en retour une série de tests de validation destinés à lui permettre de prouver qu’il contrôle effectivement le domaine du certificat en question, et qu’il en est propriétaire. En cas de succès à ces tests, l’autorité de certification délivre le certificat SSL/TLS, ou valide son renouvellement.

Ce système de gestion des certificats numériques peut inclure leur commande, leur renouvellement, leur expiration, ainsi que l’envoi de notifications prévenant de leur arrivée à terme. Grâce à ce protocole, les certificats sont renouvelés automatiquement avant l’expiration de leur période de validité de 12 mois, délai actuellement en vigueur. Cette automatisation est à la fois à l’origine d’une plus grande fluidité du processus, d’une réduction de l’erreur humaine, et d’une diminution des coûts opérationnels. Par ce biais, les organisations sont en outre moins dépendantes des changements de politique des navigateurs et des contraintes d’adaptation qu’ils engendrent.

Quelles sont les étapes à suivre pour utiliser ACME ?

 Pour intégrer le protocole ACME et automatiser la gestion des certificats SSL/TLS, l’entreprise doit d’abord choisir et installer un client ACME (Cerbot, par exemple) – qui est un logiciel facilitant le processus d’obtention et de renouvellement des certificats de manière automatisée.

Après avoir configuré le serveur web pour répondre aux défis de validation du protocole, le client sera utilisé pour demander un certificat à une autorité de certification compatible avec ACME, et l’installera automatiquement sur le serveur.

Chez Certigna, où en êtes-vous avec ACME ?

La prise en compte d’ACME est une réponse à notre souhait de faciliter encore davantage la gestion des certificats auprès de nos clients. Nous avons démarré cet été les travaux d’intégration du protocole en mobilisant une équipe transverse constituée de nombreux experts du sujet : développeurs, product owner, responsable d’infrastructure, chef de projet, mais aussi, juristes, commerciaux, et spécialistes de la conformité. Nous avons déjà fortement avancé sur la partie back office, qui inclut par exemple la gestion des comptes ACME et nous nous concentrons aujourd’hui sur la création de l’environnement d’infrastructure en vue de l’installation prochaine de la préproduction d’ACME, que nous ferons tester à certains de nos clients. Nous terminons en ce moment même le volet site web du projet.

Nous envisageons une mise à disposition générale du protocole ACME au cours du deuxième trimestre 2024 .