Quel est l'impact de la mise à niveau du certificat X.509 sur les utilisateurs ?

Contexte

Un certificat X.509 est un certificat numérique qui utilise la norme internationale d'infrastructure à clé publique (PKI) X.509 largement acceptée pour vérifier qu'une clé publique appartient au nom d'hôte/domaine, à l'organisation ou à l'individu figurant dans le certificat.

Le 5 novembre 2019, Procore a mis à jour les certificats de serveur TLS/SSL X.509 publics pour les domaines app.procore.com et login.procore.com. Nous sommes passés de l'utilisation de certificats génériques à des certificats qui correspondent au nom de domaine complet. Bien que les certificats génériques puissent être pratiques, ils enfreignent le principe de sécurité du moindre privilège. La possibilité que la clé privée d'un certificat soit compromise augmente lorsque plusieurs systèmes partagent un certificat générique. De plus, la valeur perçue de cette clé pour les attaquants est considérablement augmentée, ce qui en fait une cible plus attractive.

Réponse

Si les utilisateurs ont recours à l'épinglage de certificat, les clients Web sont configurés à l'avance pour savoir à quel certificat de serveur ils doivent s'attendre. Dans ce scénario, le certificat X.509 mis à jour ne correspond pas au certificat configuré à l'avance et le client empêche la session d'avoir lieu. Si vous rencontrez des problèmes de connectivité avec Procore après la mise à niveau du certificat X.509, contactez l'assistance de votre service informatique. Vos clients Web doivent être mis à jour pour gérer correctement le nouveau certificat. Si, au contraire, vos clients Web ne sont pas configurés pour l'épinglage de certificats, aucune action n'est requise et ces modifications doivent être transparentes. Tout au plus, vous devez éventuellement vous authentifier à nouveau après la mise à jour des certificats.