Le passage aux certificats TLS de 90 jours est une initiative visant à réduire la durée de validité des certificats TLS de 398 jours (environ 13 mois) à seulement 90 jours (environ
3 mois). Cette mesure a été proposée pour améliorer la sécurité des communications en ligne en forçant un renouvellement plus fréquent des certificats, ce qui réduit la fenêtre de vulnérabilité en cas de compromission d’un certificat.
L’intention est louable, mais ses répercussions sur les entreprises ne sont pas sans conséquences. Celles-ci devront renouveler leurs certificats cinq fois plus souvent qu’avec des certificats de 398 jours, ce qui augmente considérablement le volume de travail pour les équipes de sécurité et IT.
Un renouvellement plus fréquent augmente aussi les risques de pannes si les certificats ne sont pas remplacés à temps ou si des erreurs se produisent pendant le processus de renouvellement.
Ceci dans un environnement où l’usage des certificats TLS est en forte augmentation, en raison de l’adoption croissante des technologies. Venafi, le spécialiste en sécurité des identités machines, vient de publier les résultats d’une étude intitulée « La non-préparation des organisations face aux certificats TLS de 90 jours ». Ce rapport analyse l’état de préparation des entreprises à la transition vers de nouvelles normes d’identités machines, notamment la durée réduite des certificats et la cryptographie post-quantique.
Les organisations ne sont pas prêtes
Selon le rapport, pas moins de 95 % des responsables sécurité indiquent que les initiatives de transformation numérique ont entraîné une augmentation de 36 % de l’utilisation des certificats SSL/TLS l’année dernière. Une entreprise gère en moyenne 3730 certificats TLS, chiffre qui devrait bondir de 39 % d’ici 2026 pour dépasser les 5000 certificats.D’après ce sondage, mené auprès de 800 décideurs en sécurité aux États-Unis, au Royaume-Uni, en Allemagne et en France, 81 % des responsables sécurité pensent que la proposition de Google de réduire la durée des certificats TLS de 398 jours à 90 jours augmentera les difficultés de gestion des certificats.
Une large majorité (94 %) s’inquiète des impacts de cette transition, et près de 73 % estiment qu’elle pourrait même réduire leur sécurité. Toutefois, plus des troisquarts (76 %) des responsables sécurité reconnaissent le bien-fondé de la proposition, et l’urgence de passer à des certificats de durée réduite pour renforcer la sécurité.
Cependant, beaucoup ne se sentent pas prêts : 77 % d’entre eux prévoient une augmentation du nombre de pannes avec des certificats de 90 jours. Ils soulignent le risque d’augmentation des rejets. Le récent décret sur la non-approbation des certificats, émis par l’autorité de certification Entrust, crée des perturbations dans le marché.
En effet, 88 % des responsables sécurité déclarent que leur organisation a été affectée par des révocations de certificats. Parmi eux, 45 % ont dû mobiliser des ressources supplémentaires pour trouver, révoquer et remplacer les certificats, 38 % ont subi un incident de sécurité et 31 % ont subi une panne liée aux certificats.
Les sceptiques du quantique
Face à la nécessité de migrer vers des algorithmes de chiffrement résistants aux ordinateurs quantiques, 64 % des responsables sécurité redoutent le moment où leur direction les interrogera sur leurs plans de migration.Ils sont 78 % à penser qu’ils feront face aux défis posés par les ordinateurs quantiques lorsqu’ils se concrétiseront, et 60 % estiment que ces systèmes ne représentent aucun risque actuel ou futur pour leur société. De plus, 67 % considèrent que l’hypothèse d’une
« apocalypse quantique » est exagérée.
Quant à l’automatisation de la gestion des certificats, le marché est encore immature. Seuls 8 % des responsables sécurité automatisent complètement la gestion des certificats TLS dans leur entreprise, tandis que près d’un tiers (29 %) utilisent encore des logiciels maison et des tableurs. Pour accomplir ces processus manuellement, il faut en moyenne 2 à 3 jours de travail (21,75 heures) pour déployer un certificat.
De plus, 67 % des personnes interrogées pensent que la transition vers la cryptographie post-quantique sera catastrophique, car elles ignorent où se trouvent leurs clés et certificats. Les principales préoccupations sont le rythme de la migration, son ampleur et son coût, ainsi que le manque de compétences internes. Cependant, 86 % estiment que le contrôle de la gestion des clés et certificats est la meilleure préparation aux risques quantiques.