Logo PG Software
mercredi, 13 décembre 2017 10:49

Certificats auto-signés : Les loups se déguisent en moutons

Évaluer cet élément
(0 Votes)

Les risques des certificats auto-signés : les loups peuvent-ils entrer dans la bergerie ?

Les choses se passent souvent bien quand on les fait soi-même. Mais lorsqu'il s'agit de signer des certificats SSL, vous devriez peut-être repenser à 2 fois avant de vous lancer ce projet 'fait maison'.

Avant d'approfondir les risques liés à l'utilisation des certificats auto-signés, passons un peu de temps à se familiariser avec les fonctions des certificats SSL.

Que font les certificats SSL?

Les fonctions exécutées par les certificats SSL peuvent être classées en deux grandes catégories:

  • Chiffrement: Les certificats SSL chiffrent les données en transit à l'aide du protocole SSL (Secure Socket Layer). Lorsque vous accédez à un site Web, les certificats SSL garantissent que les communications entre vous et le site Web restent confidentielles.
  • Authentification: Les certificats SSL certifient la validité d'une organisation, de sorte que les utilisateurs peuvent s'assurer qu'ils ont atteint le site Web légitime et se sentent en sécurité de partager leurs informations privées.

Risques liés à l'utilisation de certificats auto-signés.

Les certificats SSL sont généralement signés et émis par des tiers de confiance appelés autorités de certification (AC ou CA (Certificate Authority)). Les AC vérifient que les propriétaires de sites Web sont bien ceux qu'ils prétendent être (c'est exact, les navigateurs ne vous font pas confiance). Si votre entreprise a des sites Web accessibles au public, il est préférable d'utiliser des certificats signés par l'AC. La signature de certificats SSL par vous-même peut vous causer l'un ou l'autre ou les deux problèmes ci-dessous.

  • Avertissements de sécurité du navigateur : Si vous utilisez des certificats auto-signés, les navigateurs afficheront des avertissements de sécurité aux visiteurs de votre site Web, indiquant qu'il n'est pas suffisamment sûr pour qu'ils partagent des données privées avec votre organisation. Cela réduit considérablement la confiance des clients envers votre entreprise et porte un coup énorme à votre réputation.
  • Phishing du site Web en raison d'une clé compromise : Les certificats auto-signés proviennent de l'interne, ce qui signifie que les clés privées restent avec vous. Si vous ne faites pas attention à vos clés privées, il y a de fortes chances qu'elles tombent entre de mauvaises mains. Les attaquants qui ont accès à vos clés privées peuvent créer un certificat similaire, configurer un serveur en double, usurper votre site Web, détourner le trafic Internet et voler les données de vos clients. Les certificats auto-signés peuvent se transformer en un véritable désastre pour vous et vos clients si les clés privées sont compromises.

 

 

Remplacez les certificats auto-signés par des certificats à validation de domaine.

Donc, la question quidevrait immédiatement vous venir à l'esprit est : "Est-ce que je suis autorisé à utiliser des certs auto-signés ? "  Techniquement, oui. Vous pouvez utiliser des certificats auto-signés si votre site Web n'est pas accessible depuis Internet, c'est-à-dire lorsque vous développez/testez une application ou utilisez un site Web pour des connexions intranet. Mais que se passe-t-il s'il y a des attaquants dans votre réseau qui tentent de lancer une attaque MITM et de voler des données d'entreprise?

La meilleure solution et la plus sûre est de trouver tous vos certificats auto-signés et de les remplacer, au minimum, par des certificats DV (Domain Validated). Ces certificats auto-signés peuvent rester cachés dans votre réseau et il est difficile de les découvrir manuellement sans une solution automatisée de gestion des certificats. Et si vous êtes une grande entreprise qui utilise un grand nombre de certificats SSL, cela devient beaucoup plus difficile !

Key Manager Plus vaut le coup d'être essayé.

Key Manager Plus, notre solution Web de gestion de certificats SSL et de clés SSH, peut vous aider à gérer les certificats auto-signés. Key Manager Plus filtre tous vos certificats auto-signés et vous aide à les remplacer par des certificats DV en quelques minutes.

De plus, Key Manager Plus est intégré à Let's Encrypt, le célèbre CA gratuite, ce qui facilite grandement l'acquisition de nouveaux certificats DV en remplacement des certificats auto-signés. Voici comment faire avec Key Manager Plus : 

  • Utilisez Key Manager Plus pour scanner votre environnement SSL et filtrer tous les certificats auto-signés.
  • Révoquer les attestations auto-signées.
  • Demandez de nouvelles certifications DV à Let's Encrypt pour remplacer les certs auto-signés.
  • Déployez les nouveaux certs sur leurs serveurs de domaine correspondants.
  • Consultez notre documentation d'aide détaillée pour en savoir plus sur le remplacement de vos certificats auto-signés.

Alors allez-y, et donnez une chance à la version d'essai de Key Manager Plus ! 

Cliquez ici pour télécharger Key Manager Plus.

 

Lu 4719 fois

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.