Certificats SSL expirés : bien plus qu'un problème de navigateur
Quand un certificat SSL expire, les navigateurs affichent un avertissement. Les utilisateurs cliquent « continuer quand même ». L'équipe IT reçoit des appels. On corrige. On passe à autre chose. Mais le problème est bien plus profond.
Les risques réels des certificats SSL mal gérés
Risque 1 : Attaques Man-in-the-Middle (MITM)
Un certificat expiré ou mal configuré permet à un attaquant de se positionner entre l'utilisateur et le serveur pour intercepter des communications chiffrées.
Risque 2 : Fuites d'information via les CT Logs
Les journaux de Transparence des Certificats (CT Logs) sont publics. Chaque certificat créé ou renouvelé pour vos domaines y est enregistré et visible par n'importe qui — y compris les attaquants, qui les utilisent pour cartographier votre infrastructure.
Risque 3 : Sous-domaines oubliés révélés
Les CT Logs révèlent l'historique complet de vos certificats. Des sous-domaines créés il y a 5 ans et oubliés depuis sont visibles — et potentiellement encore actifs.
Risque 4 : Algorithmes obsolètes (SHA-1, RSA 1024 bits)
Certains systèmes legacy utilisent encore des algorithmes considérés comme cassés. SHA-1 est vulnérable depuis 2017, RSA 1024 bits depuis 2010.
Risque 5 : Wildcard excessifs
Un certificat wildcard (*.example.com) cover tous les sous-domaines. Si un seul sous-domaine est compromis, le certificat peut être utilisé pour usurper n'importe quel autre.
Les statistiques qui alarment
- 18% des certificats dans les grandes organisations expirent sans être renouvelés dans les temps (Venafi 2024)
- En moyenne, une organisation maîtrise 67% de ses certificats — 33% lui échappent
- Le coût moyen d'une panne liée à un certificat expiré : 141 000€ (Ponemon Institute)
Ce que l'EASM surveille sur les certificats
| Contrôle | Alerte | Délai |
|---|---|---|
| Expiration imminente | 60, 30, 7 jours avant | Configurable |
| Certificat expiré | Immédiat | Alerte critique |
| Algorithme obsolète | Lors de la découverte | Moyen |
| Wildcard excessif | Lors de la découverte | Faible |
| Nouveau certificat détecté | Lors de la découverte | Information |
| Sous-domaine révélé via CT Log | Immédiat | Variable |
Bonnes pratiques pour les certificats SSL
- Automatiser le renouvellement (Let's Encrypt, ACME protocol)
- Centraliser la gestion dans une solution CLM (Certificate Lifecycle Management)
- Utiliser des certificats courts (90 jours recommandé par Let's Encrypt, 47 jours proposé par les navigateurs dés 2026)
- Monitorer les CT Logs pour détecter tout certificat créé à votre nom que vous ne connaissez pas
- Supprimer les wildcards quand des certificats spécifiques peuvent être utilisés
Conclusion
Les certificats SSL sont l'un des aspects les plus négligés de la sécurité externe. L'EASM automatise leur surveillance complète : expiration, algorithmes, découverte de nouveaux certificats via CT Logs.
Mots-clés : certificats SSL expirés risques, surveillance certificats SSL EASM, CT Logs transparence certificats, wildcard SSL risque, gestion certificats PKI