Blog GlobalSign

04 févr. 2016

Avantages des certificats SSL de courte durée pour l’entreprise

Étude de cas : Sandstorm.io

Les certificats assortis d’une période de validité courte ont tendance à se généraliser pour limiter l’ampleur des dégâts lorsque l’on découvre une vulnérabilité serveur comme HeartBleed. Dans le domaine de la sécurité, un changement régulier (annuel) des clés est généralement préconisé, mais pour limiter davantage le risque d’exposition, libre à vous de remplacer plus souvent vos certificats et les clés associées.

Chez GlobalSign, nous tenons à fournir des solutions de sécurité de pointe à nos clients.  Sandstorm.io est un excellent exemple. Sandstorm.io utilise, pour ses clients, des certificats SSL Wildcard d’une durée de vie assez courte. Le partenariat entre GlobalSign et Sandstorm présente plusieurs avantages : flexibilité des périodes de validité des certificats, API d’automatisation des émissions et stratégie de licences permettant la mise en œuvre d’une solution économique pour sécuriser la base d’utilisateurs mouvante de Sandstorm. Sandstorm a choisi de faire appel à notre autorité de certification pour notre capacité à fournir à nos clients des solutions spécialisées et personnalisées.

Logiciel serveur open source, Sandstorm facilite l’installation d’applications Web. Pour résoudre le problème de configuration du DNS assez simplement, Sandstorm a lancé Sandcats.io. Sandcats.io est un service DNS gratuit qui transforme en 120 secondes une machine virtuelle Linux en serveur personnel opérationnel avec un nom de DNS et un HTTPS. Le service DNS tourne sur le serveur sandcats.io tandis que le « serveur personnel » s’exécute sur l’ordinateur de chacun des clients.

Chaque utilisateur de Sandstorm a également besoin d’un certificat SSL pour protéger ses données. Pour répondre à cette problématique, Sandstorm a élaboré, avec GlobalSign, une méthode permettant à chacun de ses utilisateurs de se protéger facilement en trois étapes grâce au HTTPS.

Chaque client de Sandstorm reçoit son sous-domaine unique rattaché à sandcats.io, comme « exemple.sandcats.io ». Le logiciel Sandstorm suit sa propre convention de nommage des hôtes : il utilise un nom d’hôte unique, d’une durée de vie courte et généré de manière aléatoire pour chaque session de chaque instance de chaque application. Un client de Sandstorm.io peut utiliser un nom d’hôte comme « exemple.sandcats.io » pour consulter son tableau de bord Sandstorm. Chaque application visible possède un nom d’hôte du type « qr17502o9sns24475689p33940919141.exemple.sandcats.io ». La création et l’utilisation de noms d’hôtes générés dynamiquement pour chaque session améliorent la sécurité en empêchant les attaques du type XSRF (Cross-Site Request Forgery), XSS réfléchi (Reflected Cross-Site Scripting) et le détournement de clic (Clickjacking). Généralement, ces attaques exploitent des noms d’hôtes connus. Lorsque les noms d’hôtes sont générés automatiquement, ils sont d’autant plus difficiles à deviner. Et comme ils n’existent que pour une période de temps très limité, les applications sont moins exposées. Pour profiter des avantages en termes de sécurité, ces noms d’utilisateurs doivent rester le plus confidentiels possible.

Le protocole TLS exige que le nom d’hôte figure dans le certificat SSL. Il était donc impossible d’émettre des certificats TLS prenant en charge les besoins des clients de Sandstorm. La solution : des certificats SSL Wildcard au format « *.exemple.sandcats.io », les seuls pouvant être utilisés.

Pourquoi Sandstorm a-t-il choisi d’utiliser des certificats de courte durée plutôt que des certificats classiques ?

Avantages des certificats de courte durée

L’utilisation de certificats individuels pour chaque client se révèle bien plus efficace que la multiplication des certificats multi-SAN (Subject Alternative Name) partagés où figurent les SAN de plusieurs sites, applications ou utilisateurs. Cela limite la durée d’exposition des clés pour chaque client, et rassure les clients qui prennent la sécurité très au sérieux. Dans le cas de Sandstorm, chaque client contrôle sa propre clé privée.

Des certificats de courte durée faciles à gérer

L’émission des certificats doit absolument être automatisée lorsque les certificats doivent être remplacés fréquemment. Sandstorm utilise les API de la solution complète MSSL (Managed SSL) de GlobalSign pour demander, réémettre et révoquer des certificats très rapidement, sans intervention de l’utilisateur. De cette manière, tous les certificats sont à jour en permanence et en cas de faille de sécurité, chaque utilisateur a l’assurance que tous ses certificats seront immédiatement remplacés.

Sandstorm profite de certaines fonctionnalités uniques à l’API de la plate-forme MSSL, dont la personnalisation de la période de validité qui permet de choisir la date d’expiration souhaitée pour les certificats. Sandstorm a constaté que le remplacement hebdomadaire de certificats d’une période de validité de 10 jours fonctionnait bien pour eux.  D’autres clients préfèrent des périodes de validité plus longues ou plus courtes, en fonction de leurs besoins.

Des certificats de courte durée économiques

La flexibilité des tarifs et des licences d’émission est une condition indispensable pour gérer des clients détenteurs de certificats de courte durée pour une base de clients en perpétuel changement, notamment avec des certificats SSL Wildcard. En général, le tarif d’un certificat Wildcard atteint plusieurs centaines d’euros. Une facturation unitaire (par certificat) n’a aucun sens dans un contexte de bases d’utilisateurs dynamiques. Cela explique pourquoi Sandstorm figure parmi nos nombreux clients de licences SAN. Cela leur permet à tout moment de posséder jusqu’à un nombre maximum de SAN uniques défini. Dès qu’un certificat expire, il est supprimé de l’inventaire ce qui permet de sécuriser de nouveaux clients sans impact financier.

Des certificats de courte durée faciles à gérer avec les LRC

L’utilisation de courtes périodes de validité permet de mieux gérer la taille des Listes de révocation de certificat (LRC).  Lorsque les LRC grossissent, les navigateurs ont plus de mal à récupérer et traiter les données. Les temps de chargement des pages s’allongent et la sécurité en pâtit. En cas d’incident de sécurité de grande ampleur entraînant la révocation de certificats de courte durée, la taille de la LRC diminuerait rapidement puisque les certificats expirés en seraient supprimés.

Une alerte continue de s’afficher dans les navigateurs lorsqu’un certificat de courte durée est périmé

GlobalSign a soutenu les initiatives sectorielles en faveur des certificats de courte durée dans le cadre de sa participation au CA/B Forum, un consortium regroupant des autorités de certification et des éditeurs de navigateurs, et continue d’ailleurs à travailler avec Mozilla sur l’identification des périodes de validité appropriées pour améliorer la sécurité. Certains navigateurs ne vérifient pas toujours le statut de révocation des certificats, mais tous affichent une alerte lorsqu’un certificat est expiré.

Et pour vous ?

Si vous exploitez un gros site Web et utilisez des sous-domaines pour héberger les contenus des utilisateurs, l’émission et le renouvellement de certificats de courte durée à l’aide d’un système d’émission automatisée de certificats vous permettront de réduire considérablement l’étendue des incidents de sécurité avec compromissions de clés.

Pour discuter de la gestion des émissions de certificats de courte durée avec GlobalSign ou d’une migration vers des certificats de courte durée comme Sandstorm.io, contactez-nous.

Partager ce blog