ÃÛÌÒTV

Ìý

Dans son publiée en juinÌý2024, Google a exprimé son intention de retirer sa confiance aux certificatsÌýEntrust pour de multiples raisonsÌý:

"Depuis plusieurs années déjà, publiés sur Internet mettent au jour une série de comportements inquiétants et ne répondant pas aux attentes, remettant ainsi en cause les compétences, la fiabilité et l’intégrité d’Entrust en tant qu’AC de confiance publique".

Google ajouteÌý:

"Les autorités de certificationÌý(AC) ont un rôle privilégié de gardiennes de la confiance sur Internet, laquelle sous-tend les connexions chiffrées entre les navigateurs et les sitesÌýweb. Cette lourde responsabilité implique d’adhérer aux standards de sécurité et de conformité qui font consensus dans le secteur, y compris aux exigencesÌýTLS de base énoncées par le CA/BrowserÌýForum.

Au cours des sixÌýdernières années, nous avons observé de multiples violations de ces exigences, le non-respect des engagements pris et une absence de progrès tangibles et mesurables en réponse à la publication de rapports d’incidents. Compte tenu de tous ces facteurs, et au vu du risque inhérent que chaque AC de confiance publique introduit dans l’écosystème d’Internet, nous estimons que la confiance de Chrome dans les certificatsÌýEntrust n’est plus justifiée".

À compter du 11ÌýnovembreÌý2024, date du déploiement de la nouvelle version stable de GoogleÌýChrome, les certificatsÌýTLS publics émis à partir des racines Entrust affichant un SCT (Signed Certificate Timestamp) ultérieur au 11ÌýnovembreÌý2024 ne seront pas validés par GoogleÌýChrome.

Les certificatsÌýTLS Entrust affichant un SCT antérieur au 11ÌýnovembreÌý2024 seront valables pour le reste de leur durée de validité. En revanche, toute modification, tout renouvellement ou toute réémission des clés pour un de ces certificats le rendront invalide.Ìý

Apple a publié en 2024 un énumérant les autorités de certification et les racines dont les nouveaux certificats n’auront plus sa confiance à compter de différentes dates. On retrouve dans cette liste un grand nombre de certificats racines Entrust, invalidés par Apple à compter du 15ÌýnovembreÌý2024. Sont impactés les certificatsÌýTLS, S/MIME, d’horodatage et BIMI (Brand Indicator for Message Identification).Ìý

Ces certificats demeurent néanmoins dans la d’Apple, car les certificats émis à partir de ces racines avant le 15ÌýnovembreÌý2024 sont toujours considérés comme valides. Apple applique en effet une logique qui consiste à ne retirer sa confiance qu’aux certificats émis après la date indiquée.Ìý

Apple ne précise pas lesquels de ses produits seront impactés. Dans la mesure où tous ces produits utilisent son rootÌýstore, on peut raisonnablement en déduire que l’intégralité des clientsÌýPKI seront touchésÌý: Safari, AppleÌýMail et toute application fonctionnant sur les systèmes d’exploitationÌýiOS ou iPadOS.

Mozilla a annoncé qu’il retirerait sa confiance aux certificatsÌýracines Entrust pour les nouvelles émissions à compter du 1erÌýdécembreÌý2024. Tout certificat TLSÌýEntrust affichant un SCT antérieur au 30ÌýnovembreÌý2024 sera valable pour le reste de sa durée de validité. En revanche, les certificats modifiés, renouvelés ou pour lesquels des clés ont été réémises à compter du 1erÌýdécembreÌý2024 seront invalidés par Firefox.Ìý

Microsoft n’a fait aucune déclaration à ce sujet.

Ìý

Nous recommandons aux clients de définir dès que possible leur stratégie de remplacement des certificats Entrust. Vous avez peut-être déjà subi des interruptions de service causées par l’invalidation de ces certificats. Pour éviter ce genre de problème, nous vous conseillons 1)Ìýde dresser un inventaire précis de vos certificats et de leurs dates d’expiration respectives, 2)Ìýd’évaluer le profil de risque du service associé et 3)Ìýde planifier le processus de remplacement. Contactez-nous pour élaborer votre plan de migration.

Divers outils peuvent se connecter à votre infrastructure pour analyser et détecter les certificats présents dans votre environnement. Si vous êtes client Entrust, la console Entrust vous proposera des outils adaptés.

Les clients ÃÛÌÒTV peuvent également utiliser les solutions ÃÛÌÒTV^®ÌýTrustÌýLifecycleÌýManagerÌý(TLM) et ÃÛÌÒTVÌýCertCentral^® pour identifier les certificats Entrust à remplacer. Besoin d’aide pour dresser cet inventaireÌý? Contactez-nous.

Le processus est simple et rapide, à condition d’être réactif. Il nous faut seulement quelques secondes pour valider votre domaine et quelques minutes pour valider votre organisation. Dans la plupart des cas, l’émission de nouveaux certificats s’opère très rapidement.

La validation d’organisationÌý(OV) est valable pendant deuxÌýans. Durant cette période, la validation de domaineÌý(DV) suffit pour émettre de nouveaux certificats, ce qui accélère considérablement le processus.

Non. Nous devons valider nous-mêmes votre organisation avant de remplacer vos certificatsÌýOV ou EV (Extended Validation) émis par Entrust.

Oui. Pour les certificatsÌýDV, nous procédons uniquement à une validation de domaine. Ce processus s’effectue en quelques clics et ne prend que quelques secondes.

ÃÛÌÒTV et son AC s’imposent comme les leaders de la confiance numérique, et ce pour troisÌýraisons.

Premièrement, nous respectons à la lettre des processus clairement définis, et nous utilisons des outils spécialement conçus pour réduire les risques, notamment PKILint.

Deuxièmement, nous collaborons étroitement avec le CA/BrowserÌýForum pour réagir sans tarder et en toute transparence au moindre problème.

Enfin, nous jouons un rôle actif dans les organismes normatifs pour non seulement nous conformer à leurs exigences, mais aussi contribuer à l’évolution des standards dans le secteur.

Ces craintes sont selon nous infondées. Dès que nous avons été informés de cet incident, nous avons réagi immédiatement et signalé le problème à toutes les parties concernées. Nous avons ensuite travaillé au contact direct de nos clients et des éditeurs de navigateurs pour remplacer les certificats impactés dans les délais prescrits.

Dans son , Google indiqueÌý: «ÌýLorsqu’un problème survient, nous attendons des AC qu’elles opèrent des changements significatifs et démontrables, qui se traduisent par des améliorations concrètes et continues.Ìý» C’est exactement ce que nous avons fait. Nous avons tout mis en Å“uvre pour implémenter ces changements le plus rapidement possible, et nous avons collaboré étroitement avec le groupe Chrome et d’autres éditeurs pour corriger ensemble le problème avec le minimum de perturbations pour nos clients.

La décision de valider ou d’invalider une AC ne revient pas au CA/BÌýForum, mais aux éditeurs des applications qui utilisent les certificats, représentés en majorité par les grands éditeurs de navigateurs (en particulier GoogleÌýChrome).

Le forum Bugzilla (sur la console ) offre un lieu d’échange sur le sujet. Il est gratuit et ouvert à tous. Nous vous invitons néanmoins à exercer votre jugement lorsque vous lisez les publications d’autres utilisateurs. Ces derniers ne partagent pas toujours la même opinion, et il faut parfois un certain temps pour établir un consensus.

Seuls les certificatsÌýTLS émis à compter du 12ÌýnovembreÌý2024 inclus, et rattachés aux certificats racines Entrust, sont concernés.

Apple a choisi d’invalider les certificats racines Entrust pour l’émission des certificatsÌýTLS, S/MIME, d’horodatage et BIMI (Brand Indicator for Message Identification), aussi appelés certificatsÌýVMC. Consultez son pour savoir quels certificats racines ont été invalidés par Apple, et pour quelle fonction.Ìý

Vous voulez remplacer d’autres certificatsÌýEntrustÌý? ÃÛÌÒTV propose des solutions pour gérer les certificatsÌýS/MIME, VMC, de signature de code et de signature de document. Vous pouvez également utiliser nos autres outils de sécurité de certificats basés sur la PKI.

ÃÛÌÒTV TrustÌýLifecycleÌýManager prend en charge les PKI d’entreprise à grande échelle. La solution s’appuie sur votre architecture existante pour identifier les certificats émis par toutes les sourcesÌýTLS/SSL, pas uniquement par ÃÛÌÒTV et Entrust. Nous proposons des fonctionnalités d’automatisation pour les PKI privées et publiques. TrustÌýLifecycleÌýManager s’accompagne également d’une plateforme sécurisée qui simplifie l’implémentation et la gestion des contrôles d’accès basés sur les rôles.

ÃÛÌÒTV propose des offres incitatives pour certains clients impactés par l’invalidation. Contactez-nous pour en savoir plus.

Si vous possédez des certificatsÌýEntrust, Ìýles versions actuelles de Chrome, Safari et Firefox afficheront des erreurs lorsque les utilisateurs essaieront d’accéder à vos sites. Si vous ne savez pas quels certificats vous utilisez, ou par qui ils ont été émis, nous vous conseillons de dresser un inventaire complet de vos assets cryptographiques. ÃÛÌÒTV peut vous accompagner dans cette démarche. Contactez-nous pour établir un plan de migration personnalisé ou bénéficier d’une assistance à la prise en main de notre nouvel outil Entrust Discovery Connector.

Les certificatsÌýTLS Entrust émis avant le 12ÌýnovembreÌý2024 ne posent aucun problème dans l’immédiat. En revanche, à mesure qu’ils expireront, vous devrez les remplacer par de nouveaux certificatsÌýTLS émis par une AC de confiance publique comme ÃÛÌÒTV.

Dans leurs annonces, Chrome et Firefox mentionnent uniquement l’invalidation des certificatsÌýTLSÌýEntrust. De son côté, Apple retire sa confiance aux certificats racines Entrust pour l’émission des certificatsÌýTLS, S/MIME, d’horodatage et BIMI (Brand Indicator for Message Identification). Consultez son pour savoir quels certificats racines ont été invalidés par Apple, et pour quelle fonction.Ìý

Seuls et ont annoncé le retrait de leur confiance à Entrust.

L’invalidation par Google et Mozilla concerne uniquement les certificatsÌýTLS publics émis à partir de racines Entrust et affichant un SCT (Signed Certificate Timestamp) ultérieur au 11ÌýnovembreÌý2024. À l’heure actuelle, cette décision n’impacte pas les autres certificats publics émis par Entrust (signature de code, S/MIME, etc.).Ìý

Nous vous recommandons de vous rapprocher de votre service juridique pour obtenir plus d’informations à ce sujet.

Nous vous conseillons de faire appel à un fournisseur qui a déjà fait ses preuves dans les migrations post-invalidation. La première étape consiste souvent à dresser un inventaire complet de vos assets cryptographiques. Il vous aide à définir des leviers d’action prioritaires et à planifier tous les autres changements et améliorations nécessaires.

Oui. À compter du 12ÌýnovembreÌý2024, toute modification, tout renouvellement ou toute réémission des clés pour un certificat existant rendront le certificat en question invalide.Ìý

ÃÛÌÒTV propose un support en direct primé, des services personnalisés et un accompagnement de premier plan dans l’émission, la gestion et la protection des certificats tout au long de leur cycle de vie. Réputés pour notre sens de l’écoute, nous aidons nos clients à répondre à tous leurs besoins en matière de certificats. Let’sÌýEncrypt est un acteur important de notre secteur, mais il ne fournit pas tous les types de certificats. Il ne propose ni console de gestion, ni support technique en direct, ni services annexes avancés, par exemple pour la gestion du cycle de vie des certificats. À l’inverse, nos outils CertCentral et TrustÌýLifecycleÌýManager vous permettent de gérer respectivement vos certificats ÃÛÌÒTV et les certificats émis par d’autres AC.

Oui, mais une solution a été publiée en réponse à ce problème, comme l’indique cet extrait de l’annonce GoogleÌýChromeÌý:

À compter de la version ChromeÌý127, les entreprises pourront contourner les contraintes imposées par le rootÌýstore Chrome (y compris celles concernant les certificatsÌýEntrust décrites dans cet article). Pour ce faire, il leur suffira d’installer le certificatÌýAC racine en tant que sur la plateforme où Chrome s’exécute (autrement dit, l’installer dans le magasin de certificats Microsoft Windows en tant qu’AC racine de confiance).

Chrome utilise le rootÌýstoreÌýChrome sur Android. L’impact sera donc le même. En revanche, sur iOS, Chrome utilise les rootÌýstores Apple. Il se peut donc qu’il ne soit pas affecté par l’invalidation. Il faut néanmoins savoir que Chrome a déjà bloqué des racines dans son code par le passé. Or, Google a repoussé l’invalidation des certificats Entrust au 12ÌýnovembreÌý2024, date coïncidant avec la publication d’une nouvelle version de Chrome. On peut donc raisonnablement penser que les racines seront bloquées dans le code de cette nouvelle version.

De la même manière, si Apple choisit prochainement de retirer sa confiance à tous les certificats Entrust, les appareilsÌýiOS et MacOS seront impactés par cette invalidation.

Tout à fait. Seul le composant WebPKI est concerné. Les AC gouvernementales n’utilisent pas ce composant et ne sont donc pas directement impactées par l’invalidation.

Oui. Notre outil TrustÌýLifecycleÌýManager récupère un inventaire de vos assets cryptographiques à partir de votre compte Entrust. Ensuite, un clic suffit pour obtenir un nouveau certificat ÃÛÌÒTV en remplacement. TrustÌýLifecycleÌýManager permet également d’automatiser l’installation et le renouvellement des certificats sur un grand nombre de systèmes et services.