Méfiance envers Entrust : Migrer vers une Nouvelle Autorité de Certification
Entrust, une autorité de certification (AC) qui jouissait autrefois d'une grande confiance, a subi un revers important : Google et Mozilla ont annoncé qu'ils ne feraient plus confiance aux certificats SSL/TLS d'Entrust en raison de problèmes de sécurité. Cette décision laisse les clients actuels d'Entrust dans l'obligation de trouver d'autres autorités de certification pour garantir des connexions numériques sécurisées, éviter les risques potentiels de cybersécurité et assurer une protection continue. Ce blog présente les étapes de la migration des certificats, en soulignant l'importance de la gestion active et de l'automatisation dans le maintien de la sécurité numérique.
Article mis à jour le 11 septembre 2024 suite à la dernière annonce de Google.
Table des Matières
Entrust était autrefois un nom sur le marché des certificats SSL (Secure Sockets Layer) / TLS (Transport Layer Security) auquel de nombreuses organisations faisaient confiance. En tant qu'autorité de certification (AC) engagée dans la sécurisation des connexions, cette société contribue à créer des expériences numériques sécurisées tout en protégeant les réseaux et les appareils vulnérables. Malheureusement, Entrust n'a pas tenu ses promesses - et avec Google qui ne fait plus « confiance par défaut » aux certificats numériques d'Entrust, et Mozilla qui suit le même chemin et se méfie de ces certificats, les clients actuels d'Entrust SSL se retrouvent à la recherche de solutions.
C'est une période qui ouvre les yeux pour ceux qui comptaient sur Entrust pour fournir un cryptage et une authentification solides. Avec deux des plus grands acteurs du monde numérique exprimant des doutes évidents quant à la capacité d'Entrust à protéger les utilisateurs, il est devenu clair pour les clients actuels que d'autres voies doivent être explorées. Le passage à une autre autorité de certification peut sembler un processus compliqué, mais la cybersécurité de votre organisation étant en jeu, il est nécessaire.
Le choix d'une autorité de certification de confiance avec laquelle votre organisation peut s'associer facilitera la transition et éliminera toute complication du processus. L'équipe de Sectigo est heureuse de vous guider dans ce processus et de vous apporter une plus grande tranquillité d'esprit dans votre nouvelle vie. Continuez à lire pour savoir ce qui se passe avec Entrust, quelles sont les implications en matière de cybersécurité pour les clients d'Entrust - et ce qu'il faut faire pour migrer vers une nouvelle autorité de certification pour vos services de certificats SSL.
Comprendre ce qui est arrivé à Entrust
Dans une annonce récente de Google, le géant de l'internet a fait part de son intention, comme l'explique Forbes, de « révoquer les certificats Transport Layer Security émis par Entrust... au motif de donner la priorité à la sécurité et à la confidentialité des utilisateurs de Chrome ». Forbes ajoute qu'il s'agit là d'une affaire importante, étant donné que l'autorité de certification est chargée de « servir de base aux connexions cryptées dont les utilisateurs dépendent entre leur navigateur web et l'internet ».
Selon l'équipe de sécurité du navigateur Google Chrome, « les rapports d'incidents rendus publics [ont] mis en évidence un ensemble de comportements préoccupants de la part d'Entrust qui ne répondent pas » aux attentes, ajoutant que cela a « érodé la confiance dans la compétence, la fiabilité et l'intégrité [d'Entrust] en tant qu'entreprise de confiance ».
En conséquence, les utilisateurs qui se rendent sur des sites dotés de certificats numériques Entrust finiront par recevoir des messages indiquant que leurs connexions ne sont pas sécurisées ou privées. Actuellement, les certificats SSL/TLS signés le 12 novembre ou avant cette date devraient rester valides, mais tout changera le 12 novembre, date à laquelle les certificats SSL/TLS d'Entrust ne seront plus fiables.
En réponse à ce fiasco, Todd Wilkinson, PDG d'Entrust, a publié une déclaration dans laquelle il explique : « Nos récents incidents d'émission erronée résultent d'une mauvaise interprétation des exigences de conformité de l'autorité de certification et du forum des navigateurs. En essayant de résoudre ce problème, nos changements ont créé des erreurs d'émission supplémentaires non liées à la sécurité ».
Bien que Wilkinson affirme qu'Entrust a modifié des processus et des politiques clés pour résoudre ces problèmes, un problème central demeure : les clients d'Entrust qui étaient satisfaits auparavant peuvent ne plus être convaincus que leurs certificats SSL fourniront une protection suffisante.
Comment passer à une nouvelle autorité de certification
Les sites utilisant des certificats Entrust émis après le 11 novembre 2024 étant signalés comme non sécurisés dans Chrome, il est temps de changer. Certes, les certificats actuels peuvent techniquement rester valides, mais il convient de se poser la question suivante : offrent-ils actuellement une protection suffisante ? Pour éviter toute interruption de la couverture, suivez les étapes suivantes pour commencer à migrer vers une nouvelle autorité de certification en limitant au maximum les perturbations :
Étape 1 : évaluer votre situation actuelle
Tout d'abord, vous devez identifier et comprendre tous les certificats numériques que vous utilisez actuellement, en particulier ceux émis par Entrust. La découverte des certificats est une étape extrêmement importante dans le processus global de gestion du cycle de vie des certificats, car le fait d'avoir une visibilité totale sur l'ensemble de votre inventaire de certificats vous permettra d'éviter les interruptions.
Autre élément essentiel ? Déterminer dans quelle mesure votre organisation dépend actuellement des fonctionnalités ou des solutions de votre autorité de certification d'origine. Après tout, l'acquisition de nouveaux certificats n'est pas toujours un gros problème, mais l'adaptation de processus de longue date (tels que la gestion automatisée du cycle de vie des certificats) peut nécessiter un peu plus d'efforts. Une fois que vous aurez compris quelles sont les fonctionnalités qui vous intéressent le plus, vous serez mieux préparé à découvrir des fonctionnalités similaires auprès d'autres autorités de certification.
Étape 2 : choisir une nouvelle autorité de certification
Il existe de nombreuses autorités de certification parmi lesquelles choisir. Faites vos recherches pour éviter de futurs fiascos, comme la situation actuelle avec Entrust. Lorsque vous examinez les différentes autorités de certification, prenez connaissance de leurs qualités et de leurs réserves. Certes, le prix est important, mais il ne doit pas être le premier critère de choix. Ce choix dépend plutôt d'éléments tels que
- L'assistance à la clientèle : Que vous soyez confronté à des problèmes techniques ou que vous vous inquiétiez de la conformité, vous voulez être certain que les experts de votre nouvelle autorité de certification prendront le temps de répondre à vos questions et à vos préoccupations. Examinez attentivement les outils d'assistance disponibles et le temps de réponse pour vous assurer que vous obtiendrez toujours l'aide dont vous avez besoin.
- Réputation générale : Quelle est la réputation de votre nouvel AC potentiel auprès des chefs de file de l'industrie ? En cas de doute, optez pour un CA jouissant d'une solide réputation. Examinez attentivement les critiques, les récompenses et les audits pour vérifier comment votre future autorité de certification est perçue dans l'écosystème numérique.
- Sécurité et conformité : Compte tenu des problèmes actuels d'Entrust, il est clair que la sécurité doit être une priorité pour toute autorité de certification. La meilleure façon de s'en assurer est d'examiner les politiques de l'autorité de certification, avec un aperçu des pratiques cryptographiques et de la réponse aux incidents.
- Capacités de la plateforme d'automatisation : Une approche automatisée de la gestion du cycle de vie des certificats (CLM) peut améliorer la couverture, en minimisant les efforts manuels tout en réduisant le risque d'expiration des certificats et les interruptions ou les temps d'arrêt associés. Recherchez des AC qui offrent des solutions CLM robustes et automatisées, avec des plates-formes centrales faciles à utiliser.
- Intégrations : En fonction de vos besoins en matière de DevOps, vous serez peut-être attiré par des AC offrant de solides intégrations dans votre pile technologique actuelle. Améliorez votre architecture réseau et établissez une confiance numérique entre tous les matériels, logiciels et composants pertinents. Une plateforme agnostique d'AC telle que Sectigo devrait faciliter la navigation dans les exigences multi-fournisseurs.
AC de confiance jouissant d'une excellente réputation, Sectigo est une excellente ressource pour vous équiper en certificats SSL/TLS. Au cours de cette transition, n'hésitez pas à consulter les autres certificats numériques et solutions de sécurité proposés par Sectigo.
Étape 3 : planifier la transition
Vous avez trouvé l'autorité de certification idéale pour gérer vos problèmes de certificats numériques à l'avenir - il est maintenant temps de planifier une transition en douceur. Résistez à l'envie de supprimer votre ancienne AC avant d'émettre des certificats avec votre nouvelle AC. Certes, vous êtes peut-être impatient d'adopter l'autorité de certification de votre choix, mais n'oubliez pas qu'il est possible d'obtenir des certificats de plusieurs fournisseurs pour un seul domaine.
Bonne nouvelle : les certificats actuels devraient rester opérationnels jusqu'à ce qu'ils soient désinstallés. Pendant la période de transition, vous pouvez demander de nouveaux certificats à l'autorité de certification que vous avez choisie, ces certificats couvrant les mêmes serveurs et domaines. À partir de là, vous pouvez remplacer les certificats précédents en fonction de votre calendrier ; certaines personnes préfèrent s'en occuper immédiatement après une transition réussie de l'autorité de certification, mais cela peut également être fait à l'approche de l'expiration de ces certificats.
Quelle que soit la manière dont vous choisissez de gérer la transition, les détails de ce processus doivent être clairement communiqués par toutes les parties concernées. Cela signifie qu'il faut partager les plans avec les équipes informatiques, la direction et les autres parties prenantes.
Étape 4 : achat de nouveaux certificats
À ce stade, vous devriez connaître non seulement votre ancien inventaire de certificats numériques (tel qu'il a été révélé au cours du processus réalisé à l'étape 1), mais aussi vos besoins en matière de certificats SSL/TLS pour l'avenir. Il est maintenant temps de choisir les certificats appropriés auprès de votre nouvelle autorité de certification. Cela nécessitera de nouveaux processus de validation, mais dans l'idéal, votre nouvelle autorité de certification vous accompagnera tout au long de ces étapes cruciales.
Étape 5 : générer des demandes de signature de certificat (CSR)
Préparez-vous à générer une nouvelle demande de signature de certificat (CSR) pour chaque nouveau certificat SSL. Toutes les RSC doivent contenir des informations précises : le nom légal de votre organisation, le nom de domaine entièrement qualifié (FQDN), la division qui gère le certificat et votre localité. La création de la CSR entraîne la génération d'une nouvelle clé publique - la moitié de la paire de clés du certificat qui en découle. Cette clé constitue le fondement de la confiance numérique et un élément essentiel de l'infrastructure à clé publique (ICP).
Étape 6 : installer de nouveaux certificats
Il existe de nombreuses façons d'installer des certificats numériques. Là encore, votre autorité de certification peut vous guider dans ce processus, bien que cela dépende beaucoup du type de serveur ou d'application utilisé. Ce processus peut impliquer le téléchargement de fichiers de certificats, l'édition de fichiers de configuration ou l'importation et la liaison de certificats. N'oubliez pas de vérifier les installations, en vous assurant que tous les certificats numériques sont correctement appliqués.
Étape 7 : surveiller et gérer
Ne vous contentez pas de supposer que vos certificats numériques continueront toujours à fournir la sécurité robuste que vous souhaitez. Une surveillance et une gestion actives sont essentielles. Des audits réguliers sont indispensables, de même que des contrôles de conformité.
En outre, il est essentiel de rester informé ; suivez les sources d'information fiables pour déterminer si des changements importants sont prévus dans le paysage global du chiffrement et de l'authentification en matière de cybersécurité.
Envisager d'automatiser la gestion du cycle de vie des certificats
Le passage à des périodes de validité de 90 jours pourrait être imminent - et il n'est jamais trop tôt pour se préparer à une approche automatisée des renouvellements de certificats et de la gestion du cycle de vie des certificats. Une gestion automatisée du cycle de vie des certificats peut limiter les charges administratives tout en améliorant l'efficacité et la précision de tous les aspects du cycle de vie des certificats. Sans solutions automatisées, l'expiration des certificats devient un risque beaucoup plus important.
Sectigo simplifie le passage à une nouvelle autorité de certification
Il n'est peut-être plus possible de faire confiance aux certificats Entrust, mais heureusement, d'autres options sont disponibles. C'est peut-être le moment idéal pour passer à une alternative réputée comme Sectigo, tout en adoptant des solutions utiles telles que la gestion automatisée du cycle de vie des certificats. Soyez prêt à trouver une solution avant la date limite du 12 novembre imposée par Google pour se méfier des certificats Entrust.
Sectigo Certificate Manager (SCM), une solution de gestion du cycle de vie des certificats agnostique, pourrait combler le fossé en automatisant tous les processus essentiels liés aux certificats : découverte, inventaire, surveillance, remplacement, révocation et renouvellement. Notre solution de bout en bout devrait vous apporter une plus grande tranquillité d'esprit lors de cette importante transition. Réservez une démo dès aujourd'hui pour découvrir SCM en action.
Envie d'en savoir plus ? Contactez nous pour réserver une démo de Sectigo Certificate Manager !
Articles associés :
Ce qui caractérise une autorité de certification de confiance
Autorités de certification : Ce qu'elles sont et pourquoi elles sont importantes
Google se méfie des certificats SSL/TLS d'Entrust : Ce que cela signifie pour l'industrie