Évolution des exigences et démarches pour l’élaboration d’un standard
Comme vous le savez peut-être, les autorités de certification (AC) de confiance publique doivent répondre à des exigences strictes pour bénéficier de la confiance publique (et la conserver). Mais les AC ne sont pas les seules dans la boucle. Tout le monde veut en effet s’assurer de la sécurité des pratiques d'émission de certificats. Et chacun souhaite que les infrastructures à clés publiques (PKI) continuent à jouer un rôle déterminant dans la sécurité d'Internet. Avec ses groupes de travail dédiés, le CA/Browser Forum (CA/B Forum) représente l’un des principaux organismes à régir les exigences auxquelles les AC doivent se conformer. Il y a un certain temps, ces groupes de travail ont publié les exigences officielles applicables aux certificats SSL/TLS et aux certificats de signature de code bénéficiant d’une confiance publique. Les AC doivent impérativement respecter ces exigences : il en va de leur confiance publique.
Et puis, il y a aussi les certificats S/MIME. Ces dernières années, ils se sont progressivement imposés pour leur pertinence commerciale. De nombreux grands groupes ont commencé à utiliser des certificats S/MIME de confiance publique pour signer et chiffrer leur courrier électronique. Toutefois, le manque de standards sectoriels et d’orientations [claires] a poussé les autorités de certification et les [éditeurs] de clients de messagerie à définir leurs propres règles, notamment pour les profils et le contenu des certificats. Or, cela n’a pas été sans provoquer des conflits de règles. Un groupe de travail S/MIME a donc été créé dans le cadre du CA/B Forum pour tenter d’apporter une réponse. L’objectif : standardiser les profils de certificats pour une meilleure acceptabilité et, in fine, une interopérabilité étendue.
Les temps changent
Les discussions portent actuellement sur un point clé : la période de validité des certificats S/MIME. En fait, certains clients de messagerie exigent déjà une période de validité plus courte (voir l'illustration de Google ci-dessous). Ces dernières années, la validité maximale autorisée pour les certificats SSL/TLS est passée de 5 ans à 3 ans, pour descendre récemment à 13 mois seulement. Globalement, ce changement est perçu comme étant très positif sur le plan de la sécurité.
Image source: https://support.google.com/a/answer/7300887#zippy=%2Cend-entity-certificate
Clarifions cependant un point important : la réduction de la durée de validité des certificats est une pratique que GlobalSign approuve totalement. On peut globalement considérer qu’une période de validité plus courte renforce la « crypto-agilité » des certificats. Autrement dit, avec un échange plus fréquent des clés, on limite les risques de failles cryptographiques et on réduit les conséquences liées à une compromission des clés.
Mais, contrairement aux [certificats] SSL/TLS avec le protocole ACME, l'inscription automatique des certificats S/MIME ne bénéficie pas du même niveau de prise en charge, pour ne prendre qu’un exemple. Par ailleurs, le déploiement complet de certificats S/MIME dans une entreprise exige généralement qu’ils soient installés et configurés sur un plus grand nombre d'appareils que les certificats SSL/TLS. Les administrateurs bénéficient donc de périodes de validité plus longues puisque le renouvellement des certificats nécessite moins d'interventions manuelles de leur part — un argument qui plaide en faveur d'une période de validité « plus longue ».
Quel serait l'impact de l’évolution de ces standards sur les clients ? Et comment faut-il procéder ?
Comme évoqué plus haut, GlobalSign participe, dans le cadre du CA/B Forum, au groupe de travail sur le S/MIME. Nous nous investissons activement pour élaborer un standard de certificat S/MIME acceptable par tous. Parallèlement, GlobalSign continue à innover pour améliorer la prise en charge de la gestion du cycle de vie des certificats dans les entreprises. Le portail AEG (Auto Enrollment Gateway) de GlobalSign allège une grande partie des interventions « manuelles » nécessaires pour le renouvellement des certificats S/MIME. Cela conforte donc parfaitement notre position en faveur de périodes de validité plus courtes pour les certificats S/MIME et d'autres types de certificats
Notre recommandation pour le moment : si le plus important pour vous est la confiance de TOUS les clients de messagerie, vous pouvez acheter des certificats S/MIME d'une durée de validité maximale de 27 mois. Si vous n'êtes pas encore prêt à automatiser la gestion du cycle de vie de vos certificats et que vous souhaitez réduire le plus possible les opérations de renouvellement manuelles, il n'y a pas lieu de s'inquiéter. Nous continuerons à proposer des certificats S/MIME d'une validité de 3 ans pendant encore quelque temps. Quels que soient les changements qui surviendront (à coup sûr) ces prochaines années, GlobalSign sera à vos côtés pour vous aider à préparer l'avenir de votre entreprise avec des solutions crypto-agiles dignes de confiance.
