ACME : de l'intérêt de déployer un protocole Internet de Sécurité dans un réseau privé Capitole du Libre 2023

Cette présentation donnera un retour d'expérience sur le déploiement d'un proxy open source ACME en frontal d'une PKI privée au sein d'un réseau d'entreprise. J'exposerai : - tout d'abord une présentation générale du protocole ouvert ACME, de son histoire et de ses apports sur Internet, - une analyse des manques de notre offre actuelle de PKI interne (lenteur, lourdeur, contrôles sécurité moyennement robustes), - notre recherche pour améliorer notre offre et notre architecture, - pourquoi nous avons regardé ce qui se passait dans l'écosystème des PKI publiques sur Internet,why - pourquoi nous avons choisi ACME. Je détaillerai ensuite à l'auditoire : - les bénéfices attendus d'avoir ACME dans notre écosystème de PKI interne, comme la robustesse du processus d'obtention de certificats ou les opportunités concernant l'automatisation - mais aussi les bénéfices plutôt inattendus comme des cas d'usage pas envisagés au préalable directement issus de propositions venues d'un large éventail de collègues IT qui n'étaient obligatoirement des utilisateurs réguliers de notre PKI. Enfin, je terminerai en parlant de nouveaux usages d'ACME en réseau privé qui sont proposés par l'industrie Sécurité IT comme le nouveau challenge ACME device-attest-01, proposé par Google [1] et utilisé par Apple dans sa solution Managed Device Attestation [2] utilisée pour enroller de nouveaux périphériques d'entreprises tournant sur ses OS iOS/MacOS/iPadOS. [1] https://www.ietf.org/id/draft-acme-device-attest-01.html [2] https://support.apple.com/guide/deployment/managed-device-attestation-dep28afbde6a/web