Autorité de certification (CA) privée

Une CA privée est une autorité de certification (CA) spécifique à une entreprise qui fonctionne comme une CA de confiance publique mais qui est exclusivement gérée par -- ou pour -- l'entreprise. Une entreprise peut créer son certificat racine privé pour émettre des certificats d'entité finale. Les certificats émis par une autorité de certification privée ne sont pas publiquement reconnus et ne doivent pas être utilisés en dehors des membres et de l'infrastructure de confiance de l'entreprise.

L'autorité de certification vérifie l'identité de chaque machine, processus de code ou utilisateur au sein de l'infrastructure. Une attaque par des programmes "man-in-the-middle" peut voler des données ou émettre de faux ordres, entraînant des pertes financières et d'autres problèmes de sécurité. Dans le cas des mécanismes de confiance publics -- tels que les certificats utilisés pour sécuriser le trafic web, le courrier électronique et le code distribué -- les certificats émis suivent une "chaîne" cryptographique jusqu'aux AC publiques. Les AC privées sont utilisées pour établir l'organisation comme la source finale de vérité concernant les utilisateurs, les dispositifs et les processus auxquels on peut faire confiance au sein du réseau.

Les entreprises ont utilisé l'AC de Microsoft pour créer des certificats de machine Windows ou d'autres technologies Microsoft dans le passé. Microsoft CA est gratuite et s'intègre à Active Directory. Elle est donc bien adaptée à bon nombre de ces utilisations. Cependant, ces dernières années, des tendances telles que la prise en charge des appareils mobiles (y compris le BYOD), l'internet des objets (IoT), le cloud computing et le DevOps ont imposé l'utilisation de systèmes d'exploitation non Microsoft à grande échelle pour les applications critiques. Cela a nécessité d'autres produits d'AC privés, tels que les applications d'AC privées après-vente des fournisseurs de sécurité informatique. Les utilisations courantes des AC privées sont les suivantes : Sites Web intranet Authentification VPN ou sans fil Identification des appareils Projets liés à l'Internet des objets (IoT). Les communications entre services sont protégées Les communications entre tiers, y compris les environnements cloud qui sont conteneurisés et connectés à des API. Quelle est l'importance des AC privées ? Le besoin d'identité contrôlée par certificat au sein de l'entreprise est vaste. De nombreux cas d'utilisation sont inappropriés pour les certificats communs de confiance publique, les entreprises doivent donc émettre des certificats à partir de leur propre structure de confiance pour ces circonstances. Des pratiques d'identité insuffisantes pour les systèmes internes posent un risque sérieux de vol de données et d'autres catastrophes. Une offre commerciale d'AC privée peut aider une entreprise à réduire les risques et à faciliter la conformité en suivant les meilleures pratiques de l'infrastructure à clé publique (ICP), de la cryptographie et de la sécurité informatique, y compris le suivi et l'automatisation du renouvellement des certificats déployés. Cela peut accélérer le temps nécessaire à la mise sur le marché d'un produit et permettre aux administrateurs de réseau de maintenir les certificats et les pratiques plutôt que de créer leur propre PKI. Elle peut également libérer le temps des employés pour qu'ils puissent faire autre chose en automatisant la plupart des tâches administratives liées aux certificats internes. Que doit encore savoir le lecteur sur les AC privées ? Bon nombre des architectures à l'origine de l'utilisation accrue des certificats n'en sont encore qu'à leurs débuts. Les conteneurs et l'informatique multi-cloud, l'IdO, l'IoT et d'autres architectures informatiques modernes font grimper la quantité de certificats nécessaires de plusieurs ordres de grandeur. Cela réduit à son tour l'espérance de vie d'un certificat moyen. Dans ces architectures, l'automatisation est une exigence pour le déploiement et la gestion des certificats.