Vue d'ensemble du cycle de vie des certificats

Chaque certificat numérique a un cycle de vie : il est demandé, émis, déployé, surveillé, renouvelé et, à terme, révoqué. La gestion du cycle de vie des certificats (CLM) est la discipline qui consiste à gouverner chacune de ces étapes à grande échelle, et la maîtriser fait toute la différence entre une infrastructure sécurisée et une bombe à retardement.

Vue d'ensemble

Un certificat numérique n'est pas un objet statique. Du moment où il est demandé jusqu'à celui où il est révoqué ou expire, un certificat traverse plusieurs étapes, chacune avec ses propres exigences, risques et responsabilités. La gestion du cycle de vie des certificats (CLM) consiste à superviser chacune de ces étapes à l'échelle de toute une organisation.

Le besoin de CLM s'est accentué ces dernières années. Les organisations gèrent désormais des dizaines de milliers (parfois des centaines de milliers) de certificats dans des environnements cloud hybrides, des architectures microservices, des flottes IoT et auprès d'effectifs distants. Dans le même temps, la durée de vie des certificats se réduit. L'industrie passe de certificats d'un an à des durées de validité de 90 jours, et bientôt de 47 jours. Plus de certificats, des durées de vie plus courtes et une complexité accrue forment un problème qui ne peut être résolu avec des tableurs et des rappels de calendrier.

Ce chapitre offre une vue d'ensemble complète du cycle de vie des certificats, explique pourquoi la gestion manuelle s'effondre à grande échelle et présente un modèle de maturité pour vous aider à évaluer où en est votre organisation aujourd'hui et où elle doit aller.

Étapes clés

Demande

Le cycle de vie commence lorsqu'un acteur (administrateur système, développeur, processus automatisé) soumet une demande pour un nouveau certificat. Cela implique généralement de générer une paire de clés et de créer une Certificate Signing Request (CSR) qui précise le sujet, l'algorithme de clé et la durée de validité souhaitée. Dans les organisations matures, les demandes passent par un workflow d'approbation qui les contrôle par rapport aux politiques de certificat avant qu'elles n'atteignent la CA.

Émission

L'autorité de certification valide la demande et, si tout est conforme, signe et émet le certificat. La validation va de la vérification automatisée du contrôle du domaine (pour les certificats DV) à la vérification manuelle de l'organisation (pour les certificats OV et EV). Le certificat émis est ensuite renvoyé au demandeur, prêt à être déployé.

Déploiement

Le certificat doit être installé sur le système cible : un serveur web, un load balancer, une passerelle API, un serveur de messagerie ou tout autre endpoint qui en a besoin. Le déploiement inclut aussi la configuration de la chaîne de certificats correcte, l'association du certificat au bon service et le stockage sécurisé de la clé privée. Les déploiements mal configurés sont l'une des sources les plus courantes de pannes liées aux certificats.

Surveillance

Une fois déployé, le certificat doit être surveillé en continu. Une surveillance efficace suit les dates d'expiration, valide que les certificats sont correctement installés, vérifie le statut de révocation et signale les certificats qui enfreignent les politiques de l'organisation (algorithmes de clé faibles ou CA non approuvées, par exemple). Sans surveillance active, les problèmes ne sont découverts que lorsque quelque chose casse.

Renouvellement

Avant qu'un certificat n'expire, il doit être renouvelé. Le renouvellement implique de générer un nouveau certificat (souvent avec une nouvelle paire de clés), de le faire signer par la CA et de le déployer en remplacement de celui qui arrive à échéance. Avec des durées de vie qui tendent vers 47 jours, le cycle de renouvellement devient nettement plus fréquent. Les protocoles d'automatisation comme ACME, SCEP et EST sont indispensables pour gérer ce volume sans intervention humaine.

Révocation

Lorsqu'un certificat est compromis, que la clé privée associée fuite, ou que le certificat n'est plus nécessaire, il doit être révoqué. La révocation ajoute le certificat à une Certificate Revocation List (CRL) ou rend son statut disponible via OCSP, afin que les parties qui en dépendent sachent qu'il ne faut plus lui faire confiance. Une révocation rapide est essentielle pour limiter la fenêtre de dégâts après un incident de sécurité.

Evertrust & Vue d'ensemble du cycle de vie des certificats

Couverture complète du cycle de vie — Evertrust CLM gère chaque étape du cycle de vie des certificats depuis une seule plateforme. De la demande initiale et des workflows d'approbation au renouvellement et à la révocation automatisés, chaque étape est tracée, auditable et soumise aux politiques.

Découverte continue — Evertrust scanne en continu votre réseau, vos environnements cloud et les CT logs pour identifier chaque certificat, y compris ceux dont personne ne connaissait l'existence. Plus de zones d'ombre ni de tableurs obsolètes.

Automatisation à grande échelle — Que vous gériez 500 ou 500 000 certificats, Evertrust automatise l'enrôlement, le renouvellement et le déploiement via ACME, SCEP, EST et des connecteurs natifs vers votre infrastructure. Votre équipe se concentre sur la stratégie, pas sur les files de tickets.

Politiques et conformité — Définissez des règles d'entreprise sur les algorithmes de clé, les durées de validité, les conventions de nommage et les CA approuvées. Evertrust applique ces politiques automatiquement et fournit les pistes d'audit que les équipes conformité et les régulateurs exigent.

PKI

CLM

Cas d'usage

Secteurs

Conformité

Apprendre

Outils & Analyses

Événements & Communauté