La gestion des certificats est le processus par lequel une entreprise surveille et gère le cycle de vie de tous les certificats déployés sur un réseau.
Également appelés certificats X.509, les certificats digitaux contiennent toutes les informations nécessaires à l’authentification de l’identité des personnes, des sites Web, des entreprises, etc. Les certificats digitaux utilisent une paire de clés privée/publique unique qui vérifie les informations circulant sur un réseau. Les certificats sont essentiels pour identifier et valider les communications et les communicateurs digitaux.
Si la certification digitale peut sembler excessivement complexe, l’utilisation d’un certificat digital est en fait un processus très simple.
- Le certificat est acheté auprès de l’autorité de certification (CA), qui fournit une signature digitale.
- Le certificat est installé sur le point de terminaison, par exemple un périphérique, un serveur ou un site Web.
- Le certificat fonctionne jusqu’à son expiration.
- L’administrateur révoque le certificat et en achète un nouveau ou le renouvelle.
Les certificats ont un cycle de vie bien défini : ils sont émis, utilisés et mis hors service. Ils connaissent donc un « cycle de vie » spécifique. Celui-ci se compose de huit étapes, toutes liées à des processus essentiels avec un système de gestion des certificats. Bien que certaines des étapes intermédiaires puissent se dérouler dans un ordre différent de celui présenté ici, chaque certificat doit passer par chacune de ces étapes pendant toute sa durée de vie.
Lorsqu’un nouveau certificat est nécessaire, des suites de chiffrement doivent d’abord être configurées et une clé privée doit être créée, dans un processus appelé demande de signature de certificat (CSR). La CSR est envoyée, reçue et vérifiée, et l’autorité de certification procède à l’émission d’un nouveau certificat.
Une fois qu’un certificat est acquis, il est installé sur des points de terminaison, tels que des serveurs, des applications et des périphériques. Les chaînes de certificats sont établies et les certificats racines et intermédiaires doivent être configurés correctement pour éviter toute confusion lors des renouvellements possibles.
Au cours de l’étape de découverte, l’ensemble du réseau est analysé pour identifier l’emplacement de chaque certificat et s’il a été correctement déployé. Une analyse de découverte permet de protéger le système contre les vulnérabilités non résolues et potentiellement exploitables en identifiant les certificats inconnus éventuellement présents.
Le renouvellement et la révocation des certificats sont plus faciles lorsque ceux-ci sont organisés dans un inventaire central. Il est également plus facile de gérer les certificats en fonction de la structure de l’équipe et des personnes qui les utilisent.
La génération de rapports et la surveillance sont importantes pour deux raisons : tout d’abord, les rapports fournissent aux administrateurs des informations sur les certificats et leurs statuts, tout en donnant des réponses rapides aux questions importantes. Par exemple, quels certificats doivent être renouvelés ? Combien ont été émis ? Lesquels doivent être remplacés ? Ensuite, ils permettent de s’assurer que le système ne présente pas d’angles morts. Les administrateurs peuvent alors anticiper et corriger les expirations de certification, évitant ainsi de manière proactive les pannes dans le processus.
Les certificats ont une durée de vie limitée et doivent être renouvelés par une autorité de certification pour rester valides. Le processus peut être automatisé à l’aide d’outils de gestion de certificats qui envoient automatiquement des certificats aux autorités de certification à des fins de renouvellement.
Il peut être nécessaire de révoquer un certificat pour certaines raisons, notamment lorsqu’une fonction de hachage a été dépréciée ou qu’un administrateur souhaite un type de certificat différent. Un certificat révoqué n’est pas valide. Ceci est important pour s’assurer qu’un ancien certificat n’est pas utilisé par des tiers malveillants.
L’infrastructure à clé publique (PKI) est l’un des moyens les plus importants de comprendre la gestion des certificats. Cette infrastructure se compose des éléments nécessaires pour sécuriser les connexions sur les réseaux privés et publics, à savoir : rôles, politiques, personnes, matériel, logiciels et microprogrammes.
Les protocoles SSL (Secure Sockets Layer) et TLS (Transport Layer Security) sont les types de PKI les plus courants. Tous deux s’appuient sur un cryptosystème hybride qui utilise les deux types de chiffrement. Le certificat d’un serveur possède une paire asymétrique privée et publique, et la clé de session créée par le serveur est symétrique.
L’autorité de certification est un tiers qui fournit des clés et des certificats d’utilisateur final. Elle gère le cycle de vie, y compris la génération, l’expiration, la révocation et la mise à jour.
Il s’agit du niveau le plus élevé de la hiérarchie d’autorités de certification. Les autorités de certification racines restent hors ligne de manière sécurisée. Pour qu’une certification d’entité finale soit approuvée, l’autorité de certification racine doit être intégrée au système d’exploitation, au système, au navigateur ou à tout point de terminaison qui valide le certificat.
L’objectif principal d’une autorité de certification subordonnée est d’autoriser et de définir les types de certificats demandés. Ces autorités de certification résident entre les certifications d’entité racine et d’entité finale.
Il s’agit des certificats installés sur les machines, les périphériques, les serveurs et le matériel cryptographique.
Une application client désigne le logiciel utilisateur final qui demande et utilise des certificats pour des activités électroniques. Une infrastructure PKI gérée a également besoin de services fonctionnant avec d’autres composants, lesquels fournissent des services pour des applications de commerce électronique. Ces services incluent l’utilisation de votre propre périphérique, la signature de code, la gestion des accès, les serveurs de messagerie S/MIME, les signatures électroniques juridiquement contraignantes et l’enregistrement automatisé.
Ce référentiel fournit un mécanisme évolutif pour stocker et distribuer des certificats, des listes de révocation de certificats et des certificats croisés aux utilisateurs finaux de la PKI. Ce composant doit être dynamique en raison de sa position centrale dans la PKI.
Les processus d’entreprise doivent exploiter les systèmes digitaux pour fonctionner, en particulier au vu du nombre croissant de périphériques connectés. Chaque système connecté a besoin d’un certificat pour assurer la sécurité. Les administrateurs doivent être en mesure de s’assurer qu’il n’y a pas de certificats indésirables, et la gestion manuelle de ces processus est souvent impossible. Les systèmes de gestion spécialisés permettent de suivre les certificats, d’avertir lorsque les certificats ont expiré/sont sur le point d’expirer, d’identifier les certificats inconnus et de promouvoir une communication plus sécurisée sur les réseaux d’une entreprise.
En outre, certaines des failles de sécurité les plus préjudiciables de l’histoire ont été le résultat de certificats expirés ou ont été aggravées par des certificats expirés. Par exemple, une violation en 2017 de l’agence d’évaluation de crédit Equifax est passée inaperçue pendant près de trois mois, car un certificat expiré empêchait une inspection appropriée du trafic réseau. Cela a compromis les informations personnelles de 147 millions de personnes. Equifax n’est pas la seule concernée. LinkedIn, Microsoft, Ericsson et plus récemment, Google Voice ont toutes subi les conséquences d’une absence de mise à jour des certificats.
Les certificats expirés peuvent provoquer des pannes système imprévues ou ouvrir des failles dans votre sécurité digitale, par lesquelles les acteurs des menaces peuvent accéder à votre réseau. Cela peut facilement entraîner une interruption du service, une atteinte à la réputation, une divulgation des données sensibles de l’entreprise et des clients, ainsi que de lourdes amendes et pénalités pour les entreprises qui laissent leurs certificats expirer.
Il est absolument essentiel de renouveler les certificats avant qu’ils n’expirent. Cependant, avec des milliers de certificats en jeu, les entreprises sont confrontées à la tâche presque insurmontable de mettre à niveau et de renouveler des certificats avec plusieurs autorités de certification tout en respectant des fenêtres de maintenance pré-planifiées pour éviter d’interrompre les services vitaux. Peut-être encore plus problématique, les certificats eux-mêmes manquent d’un contexte vital pour aider les entreprises à hiérarchiser les certificats critiques, à identifier les propriétaires de services ou même à déterminer quels certificats doivent être renouvelés.
Pour garantir un renouvellement des certificats dans les délais, les entreprises ont besoin d’un inventaire des certificats unique, centralisé et facile à utiliser. ServiceNow rend cela possible : en exploitant les mécanismes de configuration et de visibilité ServiceNow existants pour identifier les certificats, les entreprises peuvent conserver un enregistrement clair de tous leurs certificats, en déployant peu d’efforts.
Ensuite, en intégrant une automatisation avancée sous forme de workflows optimisés, les entreprises peuvent optimiser le processus de renouvellement, en demandant automatiquement les approbations, en signant les tâches et en traitant efficacement les certificats expirés. Et pour tout cela, le tableau de bord ServiceNow Certificate Management fournit un résumé complet et instantané de l’ensemble des certificats.
Avec ServiceNow, vous pouvez accorder à vos certificats essentiels l’attention qu’ils méritent et éviter les dangers, les dommages à la réputation et les pénalités qui résultent de l’expiration de ces certificats.
Anticipez les problèmes avec ServiceNow.