Google retire sa confiance aux certificats SSL d’Entrust : Un bouleversement pour la sécurité numérique

Google retire sa confiance aux certificats SSL d'Entrust : Un bouleversement pour la sécurité numérique

Le paysage de la société de la sécurité numérique est sur le point de subir un changement majeur. Google a récemment annoncé qu’à partir du 31 octobre 2024, il ne fera plus confiance à tous les certificats SSL publics émis par Entrust. Cette décision, largement attendue au sein de l’industrie de la cybersécurité, contraint les clients d’Entrust à migrer vers de nouvelles autorités de certification (CA) rapidement pour éviter des interruptions de service et des avertissements de sécurité sur leurs sites web.

Les raisons derrière la décision de Google

La décision de Google de retirer sa confiance aux certificats fournis par Entrust repose sur plusieurs constats inquiétants observés au cours des six dernières années.

Manquements répétés à la conformité

Google a noté un schéma récurrent de manquements à la conformité chez Entrust. Ces manquements ont été accompagnés d’engagements d’améliorations non tenus et d’un manque de progrès tangible suite à la divulgation publique de certains incidents.

Audits de programme racine préoccupants

Des audits récents du programme racine ont révélé un manque de confiance dans les pratiques d’émission de certificats TLS par Entrust. Ces conclusions ont accentué le besoin pour Google de prendre des mesures fermes pour maintenir la sécurité de l’écosystème Internet.

Actions nécessaires pour les entreprises

Les entreprises utilisant des certificats d’Entrust doivent agir rapidement pour éviter des problèmes techniques significatifs après le 31 octobre 2024.

Identification et remplacement des certificats

Les entreprises doivent identifier toutes les instances de certificats d’Entrust au sein de leur infrastructure et les remplacer par des certificats provenant d’une CA reconnue et digne de confiance avant la date limite.

  • Identifier les CAs de confiance  : Chercher des CAs qui adhèrent strictement aux standards de sécurité établis par le CA/Browser Forum.
  • Évaluer les offres des CAs  : Examiner les différentes options offertes par les CAs candidates pour s’assurer qu’elles répondent aux besoins spécifiques de l’entreprise.
  • Migrer progressivement  : Mettre en place une stratégie de migration progressive pour minimiser les risques et les interruptions de service lors du passage à une nouvelle CA.

Adoption de mesures proactives

Afin de gérer efficacement leurs certificats numériques à l’avenir, les entreprises devraient adopter des mesures proactives telles que  :

  • Audit régulier de leurs certificats existants et validation continue de leur conformité aux normes de sécurité.
  • Engagement proactif avec les évolutions du secteur et ajustements rapides aux changements réglementaires et technologiques.

Impact sur les utilisateurs et les opérations commerciales

Pour les opérateurs de sites web et les entreprises utilisant les certificats d’Entrust, le risque principal est une interruption de service si les certificats expirent sans être remplacés. Cela peut se traduire par des messages d’avertissement de sécurité pour les utilisateurs et potentiellement rendre les sites inaccessibles.

Risques de perturbation de service

Si les entreprises ne prennent pas de mesures immédiates, elles peuvent faire face à des défis opérationnels importants. Après la date limite, effectuer une transition devient complexe et coûteux, exerçant une pression supplémentaire sur les ressources informatiques et perturbant les opérations quotidiennes.

Maintien de la confiance des clients

Il est crucial pour les entreprises de garantir une transition fluide afin de maintenir la confiance de leurs clients. Une mise en œuvre rapide et efficace assurera que les interactions web restent sécurisées et fiables, préservant ainsi la réputation des entreprises auprès de leurs utilisateurs.

Outils pour une migration réussie

La gestion du cycle de vie des certificats peut être facilitée grâce à des plateformes cloud-native qui offrent une visibilité complète et une automatisation de la gestion des certificats publics et privés, indépendamment de la CA émettrice.

Automatisation de la gestion des certificats

En automatisant la gestion des certificats, les organisations peuvent faciliter la migration, réduire les interruptions de service, et maximiser la sécurité. Cela inclut l’adoption de meilleures pratiques comme l’agilité cryptographique entreprise-wide et la mise en œuvre proactive des algorithmes sûrs quantiques futurs.

Utilisation des outils Sectigo

Les produits offerts par Sectigo permettent de regrouper visibilité, automatisation et contrôle à travers des environnements on-premises, multi-cloud, hybrid-cloud, IoT et containerisés. Ces outils simplifient la gestion du cycle de vie des certificats tout en améliorant l’efficacité, construisant une agilité crypto et garantissant une conformité continue avec les normes de sécurité. La décision de Google de ne plus faire confiance aux certificats SSL publics d’Entrust marque un tournant important pour la sécurité numérique. Les entreprises doivent prendre des mesures déterminantes pour remplacer ces certificats avant la date limite afin de prévenir toute perturbation de service et préserver leur intégrité numérique. En adoptant des solutions automatisées pour la gestion des certificats et en restant attentifs aux évolutions de l’industrie, les entreprises peuvent naviguer cette transition en douceur tout en renforçant leur posture de sécurité.