Avec la proposition de raccourcir la durée de vie des certificats SSL/TLS et les réductions de dépenses qui se profilent dans les secteurs des technologies et de la cybersécurité, les équipes IT subissent une pression croissante pour assurer la sécurité au sein des entreprises. Pour faire face à l’augmentation des besoins en cybersécurité, les équipes informatiques se tournent vers des solutions d’automatisation — dont le protocole ACME.
Le protocole ACME (Automatic Certificate Management Environment) est un outil utilisé pour automatiser la gestion des certificats. En plus des gains de temps et de ressources dans les départements concernés, ACME élimine le risque d’erreur humaine et pallie les manques dans la sécurité de l’entreprise. Sans lui, les équipes IT risquent d’égarer ou d’oublier les certificats qui peuvent alors expirer sans que personne ne s’en aperçoive. ACME atténue la pression qui pèse sur ces équipes.
Examinons de plus près le protocole ACME, ce dont il s’agit précisément et la façon dont les entreprises l’utilisent pour gérer leur sécurité.
Qu’est-ce qu’ACME (Automatic Certificate Management Environment) ?
ACME est un protocole qui facilite la communication entre les autorités de certification (AC) et un client ACME qui s’exécute sur le serveur d’un utilisateur afin d’automatiser l’émission, la révocation et le renouvellement des certificats.
Les utilisateurs mettent en œuvre un agent autorisé, comme Certbot, pour assurer l’interface avec l’AC et gérer leurs demandes de signature de certificats (CSR, Certificate Signing Requests). Ainsi, l’émission et le renouvellement des certificats sont gérés en arrière-plan, sans intervention humaine, pour que les équipes informatiques puissent se concentrer sur d’autres aspects de la sécurité.
ACME a été créé pour gérer les certificats SSL/TLS dans un contexte de réduction progressive de leur durée de vie. Pour faciliter cette transition, ACME propose gratuitement des certificats de 90 jours. Depuis, les AC ont adopté ce protocole pour gérer un inventaire de certificats plus complet.
Comment fonctionne ACME ?
Les utilisateurs mettent en place un agent de gestion des certificats (ou un client), pour interagir avec une plateforme d’AC (le serveur). L’agent génère à cet effet une paire de clés qui est validée par l’autorité de certification. Une fois la paire de clés validée, l’agent est habilité à gérer les CSR, qu’il envoie aux plateformes de gestion de certificats d’AC comme Atlas. Le certificat est ensuite renvoyé à l’agent qui l’installe, puis en informe l’utilisateur.
Principales caractéristiques d’ACME
L’intégration d’ACME à votre démarche de sécurité permet d’aborder la cybersécurité de façon plus fonctionnelle qu’avec les méthodes traditionnelles où les inventaires de certificats sont consignés dans des feuilles de calcul et les CSR créés manuellement.
- Évolutivité : ACME permet à l’utilisateur de traiter les certificats en bloc. Il est ainsi possible d’émettre, de renouveler et de révoquer simultanément un grand nombre de certificats de types différents.
- Accords de niveau de service (SLA, Service Level Agreements) : Contrairement aux services ACME gratuits et externalisés, les fournisseurs comme GlobalSign proposent une assistance à chaque étape de la mise en œuvre et bien après, pour que l’automatisation de votre sécurité soit d’un excellent niveau.
- Gestion des clés privées : ACME permet aux entreprises de gérer elles-mêmes la sécurité des clés, plutôt que de mandater un tiers.
Le simple fait de gérer votre inventaire de certificats à l’aide d’une feuille de calcul expose les serveurs et les domaines à des vulnérabilités qui peuvent être exploitées par des acteurs malveillants. En conservant les certificats dans un système manuel aussi exécrable, il est très facile de les égarer ou d’oublier de les renouveler avant leur date d’expiration.
Grâce à ses nombreuses fonctionnalités, ACME allège la pression qui pèse sur les équipes IT en leur facilitant la gestion des certificats.
Mettre en place ACME, oui mais quels sont les avantages ?
Sécurité renforcée : la mise en œuvre du protocole ACME élimine le risque d’erreur humaine. Avec ACME, vos certificats sont stockés dans un inventaire centralisé. Impossible de les égarer ou de les oublier, contrairement aux certificats consignés dans une feuille de calcul. En réduisant ainsi très nettement le risque d’oublier les dates d’expiration des certificats, on limite aussi les risques d’interruptions de services et de violations liés à la présence de certificats expirés.
- Rapidité et automatisation : la mise en œuvre d’ACME prend peu de temps. Une fois le protocole configuré, l’émission, le renouvellement et la révocation des certificats se font en quelques secondes de manière automatique, sans intervention manuelle à quelque moment que ce soit. Les équipes IT peuvent donc se concentrer sur d’autres points liés à la sécurité.
- Approche simplifiée de la gestion des certificats : ACME simplifie considérablement ce qui relève habituellement de processus manuels complexes pour les équipes informatiques qui n’ont alors quasiment plus besoin de s’occuper des CSR. La relative simplicité de mise en œuvre est un autre avantage.
- Flexibilité du choix des AC : ACME vous laisse le choix d’utiliser plusieurs AC pour vous permettre de couvrir vos besoins en certificats. Vous pouvez passer de l’une à l’autre sans être coincé avec une autorité de certification, et sans avoir à vous limiter à un nombre fixe de certificats. Votre stratégie de sécurité couvrira donc un champ plus large. Dans ce cas, il est préférable d’ajouter une autorité de certification comme service principal de confiance, comme GlobalSign, pour communiquer avec d’autres autorités de certification en cas de besoin.
Cas d’utilisation pour ACME
- Certificats de validation de domaine (DV) : Au niveau le plus élémentaire, ACME peut créer des CSR pour certificats DV. Il s’agit de la vérification minimale requise pour prouver que le domaine ou le serveur vous appartient ; cette vérification ne nécessite aucun contrôle.
- Certificats de validation d’organisation (OV) : Les certificats de validation d’organisation sont validés avec un niveau de contrôle plus complet que les certificats DV de base. Ils assurent une authentification plus complète pour les entreprises et les organisations. GlobalSign prend en charge les certificats ACME OV.
- DevSecOps : Chaque étape du pipeline DevOps exige des processus de sécurité renforcés. Les ingénieurs doivent donc suivre tous leurs certificats sans qu’il y ait de place pour l’erreur. La rapidité avec laquelle ACME est en mesure de gérer les certificats évite aux ingénieurs de perdre du temps à s’occuper des risques de sécurité, pour mieux se concentrer sur d’autres tâches.
Comment mettre en œuvre le protocole ACME
1. Sélection et installation d’un agent
L’utilisateur doit tout d’abord sélectionner un agent. Face au vaste choix d’agents sur le marché, les environnements et les systèmes d’exploitation pris en charge sont l’un des critères de choix à examiner. Il est également important de tenir compte des types de certificats à gérer. De nombreux agents ACME prennent en effet en charge l’émission et le renouvellement de certificats de validation de domaine (DV) et de validation d’organisation (OV) sans intervention manuelle.
L’utilisateur devra configurer un compte de gestion des certificats, comme Atlas, pour que l’agent puisse communiquer avec l’autorité de certification ; l’agent que vous choisirez doit donc prendre en charge cette fonction.
Vous devez également connaître les types de certificats à gérer et leur valeur pour être certain qu’ils répondront à tous vos besoins de sécurité. Une fois votre choix fait, l’agent ACME est prêt à être installé sur le serveur où les certificats sont déployés.
2. Sélection d’une autorité de certification (AC)
Lors de l’installation, l’agent crée une liste d’autorités de certification prises en charge parmi lesquelles le client peut choisir. Au moment de sélectionner votre AC, assurez-vous qu’elle prend bien en charge les types de certificats requis par le serveur ou le domaine. L’autorité de certification doit être la même que celle désignée par l’utilisateur pour son compte de gestion des certificats.
Une fois sélectionné, l’agent génère une paire de clés composée d’une clé publique et d’une clé privée, et contacte l’autorité de certification. La clé privée sera utilisée ultérieurement par l’agent pour prouver qu’il est bien autorisé à gérer les CSR.
3. Vérification
L’autorité de certification sélectionnée vérifie ensuite que l’agent dispose bien des autorisations requises sur le(s) domaine(s) du client en le soumettant à certains « défis ». Le dernier de ces défis sera un nonce généré par l’autorité de certification. Un nonce est un numéro généré de façon aléatoire que l’AC envoie à l’agent qui le signera ensuite avec sa clé privée, pour terminer le processus de vérification.
Vous avez en outre besoin de liaisons de compte externes (EAB) pour lier votre compte ACME à un compte externe, en l’occurrence le serveur d’une autorité de certification. Les EAB ajoutent un niveau de sécurité supplémentaire lors de l’automatisation des processus de gestion des certificats pour les machines et les services. Ils empêchent en effet les clients ACME non liés de provisionner des certificats à partir de l’autorité de certification que vous avez sélectionnée. Lors de la configuration de votre serveur ACME pour exiger une EAB, seuls les clients ACME sélectionnés et disposant d’informations d’identification EAB valides pourraient être liés au serveur ACME (Atlas dans ce cas) et obtenir des certificats.
4. Gestion de vos demandes de signature de certificat
L’agent ACME peut maintenant envoyer des CSR pour que les certificats puissent être délivrés, renouvelés et révoqués en quelques secondes, sans intervention humaine. Le serveur génère le CSR avec l’agent pour qu’un certificat puisse être émis ou renouvelé au nom du domaine validé à l’aide de la paire de clés.
Le CSR est ensuite envoyé à l’AC, qui vérifie les signatures des clés puis émet le certificat avant de le renvoyer à l’agent.
En cas de révocation, la demande est à nouveau signée avec la paire de clés, comme lors de l’émission ou du renouvellement, et envoyée à l’AC qui la valide ensuite. L’AC publie les informations de révocation via une liste de révocation de certificat (LRC) pour empêcher que le certificat révoqué ne soit accepté par le navigateur.
En résumé : pourquoi mettre en place ACME dans les entreprises ?
Face aux problèmes auxquels les professionnels de la cybersécurité sont confrontés, l’automatisation devient incontournable, notamment dans un contexte marqué par la réduction de la durée de vie des certificats et des budgets IT. Il existe un certain nombre de solutions d’automatisation qui jouent différents rôles dans la cybersécurité et la gestion du cycle de vie des certificats (CLM, Certificate Lifecycle Management).
Conçu pour soulager la charge qui pèse sur les épaules des professionnels de la cybersécurité, le protocole ACME automatise et organise les processus de gestion des certificats. La mise en place d’un agent pour communiquer avec une autorité de certification via une plateforme de gestion de certificats facilite la tâche des équipes IT en leur évitant d’avoir à surveiller en permanence les centaines de certificats utilisés pour sécuriser l’organisation.
En plus d’atténuer cette pression, ACME est aussi très abordable et permet de réaliser des économies sur les ressources mobilisées et les pertes provoquées par les failles de sécurité. Rapide et évolutif, ACME consomme moins de temps et de ressources, et renforce en prime la sécurité de l’entreprise.
