Pour Pratik Selva, security engineer chez Venafi :

« Un certificat racine est le principal maillon critique dans la chaîne de confiance pour les clés et les certificats qui servent pour les identités des machines. Aujourd’hui, les certificats racine sont intégrés dans presque tous les types de logiciels et de matériel utilisés dans l’infrastructure d’une entreprise.

Les responsables qui gèrent l’infrastructure ICP doivent comprendre que la mise à jour d’un certificat racine est différente de la simple mise à jour d’un navigateur Web, d’un système d’exploitation ou d’un certificat de serveur. En effet, les certificats racine ayant des périodes de validité beaucoup plus longues, à leur expiration les conséquences négatives sont beaucoup plus importantes. Pour faire face à ces risques, les organisations ont besoin d’un plan ou d’une stratégie qui comprend la mise à jour de leur certificat racine et de toute l’infrastructure dépendante du nouveau certificat actif avant même l’expiration de l’ancien. Ces plans devraient aussi faire en sorte que les points de défaillance uniques (SPOFs) soient traités en premier.

La signature croisée est une solution de rechange que de nombreuses organisations utilisent comme tampon temporaire contre d’importantes catastrophes en matière de sécurité et de disponibilité quand la planification de ce scénario est insuffisante. En revanche, un problème subsiste car la signature croisée n’offre pas de solution pour le suivi de l’expiration ou de la révocation. Cela peut devenir très compliqué si vous devez révoquer un certificat compromis ou volé et cela ne fonctionnera pas non plus nécessairement si une certification fait l’objet d’une méfiance inattendue.

Des événements comme celui-ci montrent vraiment la différence entre les organisations qui ont une stratégie robuste à l’échelle de l’entreprise pour gérer les clés et les certificats qui servent d’identités de machines, et celles qui n’en ont pas. »

Kevin Bocek Vice president of security strategy and threat intelligence chez Venafi, rajoute

« Cette nouvelle est un précieux rappel que toutes les identités machines - y compris les certificats émis par Let’s Encrypt- finissent par expirer. Lorsqu’elles le font et ne sont pas remplacés, les services vitaux d’une entreprise s’effondrent. Même si la plupart des utilisateurs de Let’s Encrypt qui exécutent des systèmes modernes ont effectué des mises à jour automatiquement et de manière transparente le 30 septembre, la réalité est que certains services web vont rester hors ligne tant que les certificats de remplacement n’auront pas été installés.

Ces entreprises doivent remplacer de toute urgence leur identité de machine qui s’appuie sur l’ancien certificat racine. Beaucoup ne trouveront pourtant qu’une moitié du problème ! La plupart des entreprises ont plus de 57 000 identités machines dont elles ne connaissent même pas l’existence. Si l’on ajoute à cela les multiples erreurs qui peuvent apparaître dans tout système plus des erreurs de configuration, certains remplacements pourraient ne jamais être installés et cela entraînerait des pannes ».