Dans le monde des infrastructures et de la sécu, il y a des sujets qui reviennent en boucle, souvent parce qu’ils bousculent nos vieilles habitudes d’admin. Le passage aux certificats SSL/TLS à durée de vie courte (90 jours, voir moins) en fait clairement partie.
Si vous gérez des environnements de production, vous vous êtes forcément posé la question : pourquoi s’infliger ça alors qu’on était si bien avec nos certificats valides 2 ans ?
Derrière ce qui ressemble à une contrainte technique, il y a de vrais impératifs de sécurité et d’architecture. Voyons pourquoi c’est devenu une bonne pratique incontournable.
La réduction de la surface d’exposition (Le facteur risque)
C’est de la logique pure en : moins un composant dure dans le temps, moins il a de chances d’être exploité s’il est compromis.
Imaginez qu’une clé privée soit dérobée à la suite d’une faille sur un serveur ou d’une mauvaise manipulation.
- Avec un certificat à l’ancienne (1 ou 2 ans) : L’attaquant a plusieurs mois, voire des années, pour intercepter votre trafic ou usurper l’identité de votre site en toute tranquillité.
- Avec un cycle de 90 jours : La fenêtre de tir se referme très vite d’elle-même. Même si vous ne détectez pas la fuite, le certificat devient obsolète et inutilisable à court terme.
L’automatisation forcée : Éliminer l’erreur humaine
On a tous connu cette situation un matin : un site de prod en carafe, une alerte de sécurité rouge vif sur les navigateurs des utilisateurs, et un admin en sueur qui cherche qui a reçu le mail de rappel d’expiration et pourquoi son reminder n’a pas fonctionné…
Renouveler manuellement des certificats tous les deux ans, c’est l’assurance d’oublier la procédure, de perdre les accès ou de voir la personne responsable quitter l’entreprise entre-temps. Pire avec le nombre de certificat, on passe déjà beaucoup de temps à les renouveler.
En passant à un rythme trimestriel, le manuel devient tout simplement impossible. Cela oblige les équipes à mettre en place une automatisation stricte (via le protocole ACME et des outils comme Certbot). Une fois le script ou le cron calé en tâche de fond, le renouvellement se fait de manière transparente, sans aucune intervention humaine. C’est l’esprit DevOps appliqué à la sécurité.
Tout cela est lourd et implique de mettre encore des outils tiers (scripts ou autres) qui là encore seront à surveiller…
Voilà pourquoi il existe une feature simple et efficace que propose Parallels Ras, l’automatisation du renouvellement de certificat via Let’s Encrypt !
Les prérequis
Bien sur il faut déjà avoir les Appliances HALB de Parallels Ras et vos Secure Gateway déjà configurés. Ensuite il faudra que vos brokers puisse négocier avec Let’s Encrypt la génération du certificat et son renouvellement, pour cela il faudra avoir les port 443 & 80 ouvert sur votre VIP portée par le HALB.
la mise en place
Depuis la console RAS, cliquer sur Farm, Certificate et via un clic droit chosir: Let’s Encrypt Settings.
Accepter les conditions générale et entrer un mail de contact pour être informer. Ensuite ne reste plus qu’a choisir la fréquence de renouvellement des certificats. Dans mon cas, j’ai choisi 30 jours.
Toujours depuis la partie Certificat, un clic droit fait apparait le menu ci-dessous, on prend la dernière option “Issue Let’s Encrypt certificate”
Ici on retrouve les informations classique pour la demande d’un certificat classique. les options
Une fois les informations entrées, la demande de validation passe en mode “Issuing”
Et ensuite passe au statut OK (attention il faut bien avoir les ports 443 & 80 ouvert)
Voilà votre renouvèlement de certificat automatique est terminée !
