Dans ce nouveau numéro de tbs news l'automatisation est à l'honneur à travers l'outil SCM de Sectigo, TBSCertBot ou encore la mise en place de la pré-validation
permettant notamment l'utilisation de l'outil ACME de DigiCert.
L'automatisation sera l'enjeu essentiel des mois à venir puisque l'évolution constante de la durée de validité des certificats SSL pousse
les acteurs du secteur à s'adapter et à développer de nouvelles offres pour faciliter la gestion de votre parc de certificats.
L'équipe de TBS CERTIFICATS
Évolution de la gestion des SANs chez vos autorités
Ce sont 2 autorités de certification qui modifient les règles régissant la manière dont sont gérés ou facturés les SANs additionnels de leurs certificats SSL.
GLOBALSIGN GlobalSign décide de limiter les options SANs sur ses certificats à validation de domaine (GlobalSign
DomainSSL).
Il reste possible d'ajouter des SANs additionnels à ces certificats cependant ces derniers doivent impérativement être des sous-domaines du domaine principal couvert par le CN.
CERTIGNA Certigna décide de ne plus faire de distinction
entre SAN additionnel et SAN de domaine. La facturation et la gestion des SANs pour
les certificats
SSL, SSL RGS* et Serveur Client RGS* sont donc simplifiées. Le tarif du SAN évolue également.
Le plus : Le nombre de SANs inclus dans ces certificats passe de 5 à 10.
dossier // DURÉE DE VIE DES CERTIFICATS SSL VERS UNE NÉCESSAIRE AUTOMATISATION DES PROCÉDURES
Un peu d'histoire Le 1er septembre 2020, la durée de vie des certificats SSL est passée de 2 à 1 an sous l'impulsion d'Apple qui souhaitait renforcer la
sécurité sur ses outils web.
Cette décision, plus tard confirmée par le CA/B forum, était la dernière d'une longue liste de votes visant à diminuer la durée de
vie des certificats SSL.
Amorcée dès 2012 et la mise en place des Baseline Requirements, la durée de vie des certificats SSL est une des préoccupations
majeure des membres du CA/B Forum et la question se pose de savoir si une nouvelle étape est en préparation.
La volonté de Google La firme a récemment annoncé vouloir proposer, lors d'une prochaine session du CA/B forum, un vote visant à limiter la durée de vie des certificats
SSL à 90 jours.
Même si rien n'indique que la proposition pourrait être adoptée, il est à parier que Google, en cas de rejet, adopterai la règle de
manière unilatérale sur ses outils, enterinant la limitation de fait.
2012Fin des certificats 5 et 6 ans, prévue dans la première mouture des Baseline Requirements
2015Fin des certificats 4 ans, prévue dans la première mouture des Baseline Requirements
2017Fin des certificats 3 ans, votée par le CA/B Forum
2020Fin des certificats 2 ans, initiée par Apple
Quelles conséquences ? La principale conséquence est organisationnelle. Commander, installer, refabriquer tous vos certificats tous les 3 mois
est chronophage et multiplie les risques d’oublis ou d’erreurs.
Les alternatives La solution à long terme est la mise en place d'outils d'automatisation chargés
de commander, créer les clés, mettre en place les challenges DCV ou encore d'installer vos certificats SSL.
SCM
Le Sectigo Certificate Management est une plateforme indépendante des AC, conçue pour émettre et gérer les cycles de vie de tous
les certificats numériques publics et privés. SCM propose notamment la découverte automatique de tous les certificats dispersés dans l'organisation
et est capable d'authentifier et de sécuriser chaque identité humaine et machine dans l’entreprise.
TBSCertBot
Utilisant l'API TBS Certificats, cet outil en ligne de commande permet, à travers la mise en place de hook et de cron,
d'automatiser la plupart des opérations techniques liées à vos certificats SSL.
Offre ACME de DigiCert
Déjà disponible en version Bêta sur les comptes courant et paiement mensuel, cet outil vous permet d'utiliser le client ACME
tiers de votre choix pour automatiser les déploiements de certificats (OV et EV).
Une pré-validation sera nécessaire pour accéder à l'offre ACME.
La pré-validation
Récemment introduite dans les espaces client, le mécanisme de pré-validation, disponible chez Sectigo et DigiCert, permet de mettre en place des automatismes pour le traitement de vos demandes de certificats.
Une fois en place, la pré-validation permet d'accélérer la livraison de vos certificats puisque toute la partie de la procédure concernant l’organisation est déjà effectuée.
Comme attendu, le 31 mai a vu la fin des certificats développeur (code signing) au format logiciel.
Les certificats Sectigo et DigiCert développeur OV ont donc diparu au profit d'un certificat GlobalSign qui propose une procédure simplifiée d'installation sur token via le logiciel Fortify.
La plateforme de signature SigniFlow offre un panel étendu d'options de signatures : simple, avancée, qualifiée, au format logiciel ou sur token, presque tout est faisable.
Aujourd'hui SigniFlow vous propose un certificat personnel eIDAS qualifié directement accessible sur la plateforme car hébergé dans le cloud.