Le renouvellement de l’autorité de certification, l’autorité racine d’une PKI, doit vraiment devenir une opération standard.
Quand la renouveler ?
J’avais en tête que la règle de base est simple : à 80 % de sa validité, un certificat doit être renouvelé.
L’autorité de certification, autorité racine ou intermédiaire, est facilement assimilable à un certificat au sens cryptographique. Cela permet de garder une image simple en tête.
Impact du renouvellement ?
Lorsque vous renouvelez votre autorité de certification (AC0 admettons), l’opération de renouvellement n’invalide pas instantanément les 20 % restants de sa durée de validité.
Deux autorités (AC0 et AC1) sont donc valides et cohabitent durant une courte durée une fois le renouvellement effectif.
Heureusement que le mécanisme de renouvellement soit ainsi : cohabitation possible. Dans le cas contraire vous devriez mobiliser la terre entière à chaque renouvellement de l’autorité racine de certification.
L’impact est donc nul grâce à la cohabitation, les deux autorités sont chaînées. A l’évidence, le prérequis est d’utiliser la même clé privée.
Diffusion de sa nouvelle AC
Généralement dans le cadre d’une automatisation, le protocole ACME (Automated Certificate Management Environment) est mis en œuvre.
Ce mécanisme de renouvellement est transparent dans un environnement Active Directory, puisque les informations relatives à AC1 se propagent naturellement / automatiquement, c’est pour vulgariser l’exemple de la diffusion automatisée.
Dans la mesure où les infrastructures sont hétérogènes, il ne faut pas omettre de partager cette nouvelle autorité racine (AC1) aux composants qui consomment des services sécurisés. Il faut considérer l’ensemble des certificats au sein de votre infrastructure.
Comme par exemple, les composants qui consomment des services sécurisés à travers les certificats (à l’instar des équipements réseaux (niveau 3), les WAF (niveau 7) et autres) ou ceux qui réalisent par exemple des requêtes Active Directory en LDAP over TLS.
Pour cela, un recensement précis est donc nécessaire.
Heureusement que le mécanisme de renouvellement est ainsi insiste-je, car si les certificats émis par la nouvelle autorité de certification (AC1) n’étaient pas naturellement compris par la chaine de certification A0, alors le WAF – pour reprendre cet exemple – ne serait pas en mesure de détecter ma CRL (ma DeltaCRL pour corser l’image) faute de signature cohérente.
Second exemple, lorsque l’AC1 est générée, les autorités intermédiaires relatives à l’AC0 – en fin de vie pour rappel – ne sont pas invalidées instantanément non plus ; sans quoi à chaque fois qu’une autorité publique renouvelle son AC, la terre entière s’arrête de tourner. Remarquez, ce serait une vraie dinguerie … 🙂
Je prends un dernier exemple simple dans ma narration, mais nous pouvons translater la démarche vers une autorité racine hors ligne (la bonne pratique pour rappel). Je renouvelle mon AC hors ligne, l’autorité intermédiaire en ligne ne meurt pas instantanément, i.e. révoquée ou expirée.
Il faut rester zen
Souvent cette opération technique de renouvellement est simple, mais coince car nous manquons de visibilité.
La visibilité nécessaire concerne l’infrastructure PKI elle-même et les porteurs, les clients PKI.
Un assessment clair côté applicatif et/ou réseau manque la plupart du temps.
D’où l’importance d’une bonne cartographie et du temps alloué à la préparation.
La première règle est de ne jamais faire le renouvellement à la dernière minute. La seconde est d’automatiser son renouvellement.
Renouvellement et outillage
La visibilité est de mise. Elle offre un avantage non négligeable.
La technique ne fait pas tout, mais reste tout de même importante dans la contribution.
Le sujet PKI nécessite de s’outiller convenablement d’une part ; et, de bien documenter son actif informatique, de l’autre.
Peu importe la solution technique technologique PKI, car la PKI répond à un standard d’implémentation PKCS #11, les bons outils font la différence … CLM your mind.
L’automatisation du renouvellement peut maintenant passer du stade de l’envie à la nécessité.
Le devenir des certificats et des gestes techniques ?
Un tableau de bord clair permet d’être confortable dans la phase de renouvellement de son AC.
La réduction de la durée de vie des certificats a été une initiative de la dernière décennie.
C’est un vrai sujet car certains acteurs tendent à réduire à quelques mois la durée de vie des certificats :13 mois, 3 mois … jusqu’où irons-nous ?
Avec cette fréquence, les questions habituelles (quand, comment, y a-t-il un oubli, à qui diffuser la Root CA et cætera) ne devront plus se poser avec un CLM.
Ce sera donc plus tendu, mais moins chronophage et plus précis.
La clé est l’automatisation et le temps presse !
La technique est rarement le blocage dans ce type d’opération. Admettons-le, n’est-il pas qu’elle a le dos large ?