Ce que les services informatiques doivent savoir sur les cycles de certificat de site web de six semaines

L’industrie veut raccourcir la durée de vie des certificats SSL

Apple et Google, les titans de l’industrie technologique, bouleversent la donne en proposant de réduire considérablement la durée de vie des certificats SSL/TLS. Ces certificats numériques, essentiels pour sécuriser les communications en ligne, ont vu leur validité passer de plusieurs années à seulement 398 jours aujourd’hui. Aujourd’hui, Apple veut ramener cette durée à 45 jours d’ici à 2028, en affirmant que cela réduira le risque de cyberattaques exploitant des noms de domaine orphelins. Sur le papier, cela semble raisonnable : si vous limitez la durée de validité d’un certificat, vous réduisez la marge de manœuvre dont disposent les pirates pour l’exploiter.

Le hic, c’est que les experts ne sont pas convaincus que cette mesure résoudra le véritable problème. Les pirates peuvent toujours opérer dans une fenêtre de 45 jours, et certains estiment qu’il s’agit davantage pour les vendeurs de stimuler les ventes d’outils d’automatisation que de s’attaquer à une menace majeure.

Comme le dit sans ambages Jon Nelson, de l’Info-Tech Research Group, « ce n’est pas l’un des dix problèmes les plus importants à résoudre ». Pour rappel, les noms de domaine orphelins apparaissent lorsque des entreprises réservent des adresses web pour des projets futurs, puis les abandonnent. Les attaquants peuvent détourner ces domaines inutilisés pour lancer des attaques de phishing. Si le raccourcissement de la durée de vie des certificats peut réduire légèrement les risques, l’impact semble marginal.

Ce débat conduit à une question plus large : résolvons-nous des problèmes réels ou poursuivons-nous des problèmes théoriques ?

Charge accrue pour les services informatiques

Parlons maintenant de la charge opérationnelle massive que ces changements imposeront aux équipes informatiques. Actuellement, le renouvellement d’un certificat SSL une fois par an est gérable. Mais imaginez que vous le fassiez toutes les six semaines. La charge de travail est multipliée par huit et, pour les grandes entreprises qui jonglent avec des centaines de certificats, cela revient à transformer une tâche gérable en une course incessante.

Renouveler un certificat ne se résume pas à cliquer sur un bouton. Il s’agit d’assurer la coordination avec les autorités de certification, de garantir une intégration transparente des serveurs et d’éviter les interruptions. Chaque étape manquée peut conduire à ces avertissements redoutés du navigateur qui font fuir les utilisateurs. Sans automatisation, ce processus prend du temps, augmente les coûts et ouvre la porte à l’erreur humaine.

Pour les dirigeants, la conclusion est claire : des cycles de certification plus courts signifient que vos équipes informatiques auront besoin de plus de ressources ou d’outils plus intelligents. Si vous ne pensez pas encore à l’automatisation, il est temps de commencer.

L’automatisation comme solution, mais avec des risques

L’automatisation est la bouée de sauvetage des services informatiques confrontés à ces nouvelles exigences en matière de certificats. En automatisant le processus de renouvellement, les entreprises peuvent garder une longueur d’avance, réduire les erreurs et gagner un temps précieux. Des outils tels que les systèmes de gestion du cycle de vie des certificats (CLM) gèrent l’ensemble du processus, depuis l’obtention des nouveaux certificats jusqu’à leur déploiement sur les serveurs. Cependant, tout n’est pas rose et tout n’est pas rose.

S’appuyer sur des outils d’automatisation tiers présente des risques pour la sécurité. Des incidents récents, comme la mise à jour de 2024 de CrowdStrike qui a mis hors service des millions d’appareils, servent de mise en garde. La clé est l’équilibre. Des entreprises comme Hearst adoptent intelligemment l’automatisation tout en créant des « clôtures virtuelles » pour limiter l’accès des tiers aux systèmes critiques. Comme le fait remarquer leur DSI, Atti Riazi, les grandes entreprises disposent des ressources nécessaires pour imposer des contrôles et protéger leurs systèmes centraux tout en tirant parti d’outils externes pour plus d’efficacité.

La leçon à en tirer ? L’automatisation est essentielle, mais elle doit être mise en œuvre de manière réfléchie. Il s’agit de maximiser l’efficacité sans compromettre la sécurité.

Les certificats expirés perturbent le fonctionnement des sites web

Voici un scénario qui empêche les responsables informatiques de dormir : un certificat SSL expire et, soudain, le trafic de votre site web s’effondre. Lorsque les certificats expirent, la plupart des utilisateurs sont accueillis par des avertissements alarmants dans leur navigateur. Bien que le site web lui-même puisse encore fonctionner, les visiteurs sont immédiatement inquiets et nombre d’entre eux ne prendront pas le risque de poursuivre leur visite.

Mais les dégâts ne s’arrêtent pas là. Les certificats expirés peuvent entraîner bien plus qu’une simple baisse du trafic sur le site. Nombre de ces certificats sont essentiels pour communication entre serveursLa communication entre serveurs est le fondement de l’infrastructure informatique moderne. Lorsqu’un certificat expire, ces communications peuvent être interrompues, ce qui entraîne des pannes en cascade dans les systèmes internes. Dans le pire des cas, les processus clés s’arrêtent, ce qui entraîne des pertes de temps et de revenus.

Tim Callan de Sectigo résume bien la situation : les visiteurs contournent rarement ces avertissements du navigateur, et les pannes de système causées par des certificats expirés peuvent s’aggraver rapidement. Pour les dirigeants, le message est simple : s’assurer que les certificats sont à jour n’est pas seulement une tâche informatique, mais est en fait vital pour maintenir la continuité de l’activité et la confiance des utilisateurs.

Mise en œuvre pratique et scepticisme quant au calendrier

Si la tendance à la réduction de la durée de vie des certificats prend de l’ampleur, ne vous attendez pas à des changements radicaux du jour au lendemain. Les experts du secteur restent sceptiques quant à l’ambitieux calendrier d’Apple, qui prévoit d’appliquer des durées de vie de 45 jours d’ici à 2028. Même la proposition de Google concernant la validité des certificats à six mois, présentée il y a plusieurs années, a été retardée. Les changements dans l’industrie technologique sont rarement instantanés : il s’agit d’une évolution, pas d’une révolution.

Pour de nombreuses entreprises, les plateformes d’hébergement modernes telles que Cloudflare, AWS et Azure proposent déjà une gestion automatisée des certificats. Cela réduit la charge manuelle des équipes informatiques et garantit un fonctionnement sans heurts, même avec des durées de vie plus courtes.

Comme le souligne Himanshu Anand de c/side, la plupart des plateformes publiques sont désormais conçues pour minimiser la nécessité d’une intervention informatique directe.

Cependant, toutes les entreprises ne sont pas dans la même situation. Les petites organisations ou celles qui s’appuient sur des systèmes existants devront s’adapter rapidement pour ne pas se laisser distancer.

Alex Lanstein, de StrikeReady, reste sceptique quant au calendrier, prévoyant des retards et des changements progressifs. Ce qu’il faut en retenir ? Si le passage à des durées de vie plus courtes est inévitable, les entreprises ont le temps de se préparer, de mettre en œuvre l’automatisation et d’élaborer des stratégies qui correspondent à leurs besoins en matière de sécurité et à leurs capacités opérationnelles. Le fait d’être proactif aujourd’hui portera ses fruits à long terme.

Principaux enseignements pour les décideurs

Accélération de la durée de vie des certificats : les leaders du secteur font pression pour que les certificats SSL expirent toutes les six semaines, ce qui augmente considérablement la charge de travail des services informatiques. Les décideurs devraient évaluer et investir dans des solutions d’automatisation pour rationaliser les renouvellements fréquents et minimiser les erreurs manuelles.
L’accent mis sur l’automatisation : Des cycles de certification plus courts nécessitent des stratégies d’automatisation robustes. Les dirigeants doivent donner la priorité à la mise en œuvre ou à l’amélioration des outils d’automatisation tout en établissant des protocoles de sécurité stricts pour atténuer les risques liés aux tiers et maintenir l’intégrité du système.
Équilibrer la sécurité et l’aspect pratique : La raison d’être des certificats plus courts est de réduire les fenêtres d’exploitation pour les cyberattaques, mais les experts mettent en doute leur efficacité. Les dirigeants devraient se concentrer sur des évaluations complètes des risques, en équilibrant les stratégies de certificats avec des mesures de sécurité plus larges, plutôt que de s’appuyer uniquement sur des durées de vie plus courtes.
Atténuer les perturbations causées par les certificats expirés : Les certificats expirés peuvent entraîner des problèmes de confiance de la part des utilisateurs et des défaillances du système interne. Les organisations doivent élaborer des processus de renouvellement clairs et des plans d’urgence afin d’éviter les temps d’arrêt et de maintenir des opérations transparentes.

Alexander Procter

janvier 23, 2025

7 Min

Leadership et management
Comprendre les diagrammes RACI et leur rôle dans la réussite d’un projet
Jan 28, 2025
12 min
Stratégies et transformation
Le pouvoir surprenant de l’innovation axée sur l’utilisateur
Jan 28, 2025
9 min
Recherche et conception produit
Transformez vos produits numériques grâce à une réflexion centrée sur l’humain
Jan 28, 2025
9 min

Ce que les services informatiques doivent savoir sur les cycles de certificat de site web de six semaines

L’industrie veut raccourcir la durée de vie des certificats SSL

Charge accrue pour les services informatiques

L’automatisation comme solution, mais avec des risques

Les certificats expirés perturbent le fonctionnement des sites web

Mise en œuvre pratique et scepticisme quant au calendrier

Principaux enseignements pour les décideurs

Comprendre les diagrammes RACI et leur rôle dans la réussite d’un projet

Le pouvoir surprenant de l’innovation axée sur l’utilisateur

Transformez vos produits numériques grâce à une réflexion centrée sur l’humain

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Ce qu’il adviendra du marché de l’emploi UX en 2024

Tests alpha et tests bêta : Quelles sont les principales différences ?

L’intégration de l’IA est-elle en train de détruire les relations au travail ?

13 grandes tendances technologiques à attendre en 2024

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps