Depuis l’introduction du protocole SSL par Netscape en 1994, les certificats numériques se sont développés en même temps que l’ensemble du Web. Grâce à des essais et des erreurs, des innovations et des ajustements, les certificats SSL ont été constamment affinés pour répondre aux besoins de sécurité les plus rigoureux.
La réduction de la validité du protocole SSL à un an seulement et la suppression de la barre d’adresse verte sur les certificats Extended Validation ne sont que quelques-unes des modifications récentes que le CA/Browser Forum a mises en œuvre pour garder une longueur d’avance sur les cybermenaces et rendre le cryptage numérique plus prévisible. Dans le monde des autorités de certification, le changement est la seule constante.
Le champ Unité d’organisation (OU) n’est pas un élément que l’on associe directement à la sécurité SSL, d’autant plus qu’il fait partie du processus de commande SSL depuis le tout début. Mais aujourd’hui, le temps du champ OU touche à sa fin, et les AC le supprimeront d’ici à la fin du mois d’août 2022. Quelle est donc la raison de la suppression d’un champ apparemment inoffensif ? Pour en avoir le cœur net, il faut d’abord savoir quel était l’objectif initial du champ de l’OU.
Les champs de l’unité structurelle – un bref aperçu
Chaque fois que vous commandez un certificat SSL, vous devez générer une demande de signature de certificat (CSR) et remplir les champs avec vos coordonnées dans le cadre du processus de validation. Le CSR contient des informations sur votre entreprise, votre pays de résidence et le nom de domaine que vous souhaitez sécuriser. Parmi les champs à remplir figure également le champ Unité d’organisation. Vous pouvez y saisir pratiquement toutes les données que vous voulez, et c’est précisément ce qui le rend vague et trompeur.
L’objectif initial du champ OU était de servir de champ d’enregistrement dans lequel les entreprises pouvaient insérer des données pertinentes concernant le certificat et la manière dont il était censé être utilisé. Une pratique courante consiste à inclure des données de référence pour la facturation afin que le service financier sache qui a acheté le certificat.
Si vous suiviez cet exemple, vous écririez quelque chose comme “IT” ou “Security” dans le champ OU. Mais rien ne vous empêche de saisir ce que vous voulez, des noms de pays aux personnages de dessins animés. Si votre entreprise a son siège aux États-Unis, mais qu’une branche internationale gère les certificats, vous pourriez écrire quelque chose comme “France” ou “outre-mer”. C’est là que l’ambiguïté du champ OU peut dérouter les utilisateurs.
Supposons que l’un des clients de votre entreprise soit Delta Air Lines. Si vous l’incluez dans le champ OU, certains utilisateurs penseront que le certificat appartient à Delta Air Lines et non à votre organisation. Bien que cet exemple puisse sembler extrême, la nature facultative du champ OU le rend propice à la confusion et aux erreurs d’interprétation, ce qui est inacceptable dans le domaine de la cybersécurité moderne.
Failles de sécurité potentielles
Les certificats SSL sont désormais obligatoires pour tous les types de sites web. Les entreprises déploient des centaines de certificats pour répondre à leurs besoins de sécurité, mais tout le monde ne suit pas les meilleures pratiques de gestion SSL. Selon un rapport de Detectify Labs rapport le déploiement de ces certificats présente des dangers qui “peuvent conduire à l’exposition ou à la compromission des données de l’entreprise par des acteurs malveillants”.
Detectify a analysé plus de 900 millions de certificats SSL et a mis en évidence les principaux risques associés à SSL. Dans le contexte du champ d’action de l’OU, la conclusion suivante est pertinente :
“Les analystes ont constaté qu’une majorité écrasante de domaines nouvellement certifiés avaient reçu des noms descriptifs. Cela peut sembler inoffensif, mais peut en fait constituer un risque pour les informations commerciales”.
Si le certificat est délivré à un stade de développement, les concurrents pourraient avoir suffisamment de temps pour saper les nouvelles entreprises ou les nouveaux produits avant qu’ils n’atteignent le marché. Mais même si vous avez choisi des chaînes aléatoires plutôt que des produits descriptifs, une information aléatoire dans le champ OU soumis au cours du processus de commande pourrait potentiellement révéler certains de vos secrets.
L’heure des adieux
Les cybermenaces augmentant de jour en jour, les autorités de certification font des heures supplémentaires pour affiner et renforcer les protocoles de sécurité régissant les certificats SSL. Les anciens concepts et éléments devenant obsolètes, l’approche “moins, c’est plus” est un moyen efficace d’éliminer la confusion et les failles potentielles que les pirates informatiques peuvent exploiter.
À la fin des années 1990 et au début des années 2000, seule une poignée d’autorités de certification étaient présentes sur le marché, et le nombre d’entreprises demandant le SSL était nettement inférieur. L’objectif initial était que les quelques autorités de certification existantes soient vérifiées manuellement par les navigateurs, ce qui renforcerait la confiance dans le fait que les autorités de certification effectuent toutes leurs opérations de la manière la plus sûre possible. Mais avec l’essor des certificats SSL, cette tâche est devenue de plus en plus difficile.
Le problème avec le champ OU est que les autorités de certification doivent vérifier et affirmer l’identité du sujet du certificat dans le nom du sujet du certificat. Le champ OU, en revanche, n’est pas une description exacte, bien qu’il s’agisse d’une partie plus petite de l’organisation. Les autorités de certification ne disposent d’aucune méthode pour vérifier de manière cohérente la partie la plus petite de l’organisation et affirmer son identité.
La vie après le retrait du champ de l’OU
Quelles seront donc les conséquences de la suppression du champ d’application de l’OU pour les entreprises ? Voici tout ce qu’il faut savoir sur le changement à venir :
- Pour se conformer aux normes de l’industrie, les autorités de certification supprimeront le champ Organizational Unit (OU) pour tous les certificats SSL publics d’ici la fin août 2022.
- Cette modification n’affectera pas les certificats délivrés antérieurement et dont le champ OU est valide.
- Cela n’affecte pas les certificats SSL privés ou d’autres types de certificats non-SSL.
Conclusion
La technologie du web évolue à un rythme effréné et, parallèlement, les cybermenaces deviennent de plus en plus sophistiquées. En ce qui concerne le cryptage du web, les organismes de réglementation doivent être proactifs et anticiper les vulnérabilités des systèmes qu’ils réglementent.
Le champ Unité d’organisation n’est pas un élément essentiel du processus global de commande de SSL et, en tant que tel, devient une menace potentielle. La supprimer est un moyen simple d’éviter la confusion et d’améliorer le temps de validation.
Economisez 10% sur les certificats SSL en commandant aujourd’hui!
Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10