Autorités de Certification et Hiérarchies de Confiance


Que sont les Autorités de Certification et les Hiérarchies de Confiance ?


Les Autorités de Certification (AC) émettent des certificats numériques. Les certificats numériques sont des petits fichiers de données vérifiables qui contiennent des informations d'identification permettant aux sites web, aux personnes et aux appareils de prouver l’authenticité de leur identité en ligne (authenticité garantie par la vérification de leur identité par une AC). Les AC jouent un rôle essentiel au niveau du fonctionnement d'Internet et de la transparence des transactions effectuées en ligne. Elles émettent des millions de certificats numériques chaque année et ces certificats peuvent être utilisés pour protéger des informations, chiffrer des milliards de transactions et sécuriser les communications.

Un certificat SSL est un type de certificat numérique largement utilisé qui lie les informations de propriété d'un serveur web (et d’un site web) à une clé cryptographique. Cette clé est utilisée dans le protocole SSL/TLS, afin d'activer une session sécurisée entre un navigateur et le serveur web qui héberge le certificat SSL. Pour qu'un navigateur puisse faire confiance à un certificat SSL et établir une session SSL/TLS sans déclencher d'alerte de sécurité, le certificat SSL doit contenir le nom de domaine du site web pour lequel il est utilisé, avoir été émis par une AC de confiance et être valide.

D'après le site d'analyse Netcraft (www.netcraft.com), en août 2012, plus de 2,5 millions de certificats SSL étaient utilisés sur des sites web publics. En réalité, il est très probable que presque 50 % de certificats en plus de ce nombre n'aient pas été identifiés par Netcraft. Le SSL est l'une des technologies de sécurité les plus utilisées au monde à l'heure actuelle.

Qui décide quelle Autorité de Certification peut être digne de confiance ?

Les navigateurs, les systèmes d'exploitation et les appareils mobiles ont mis en place des programmes « d'adhésion » pour les AC autorisées. Afin de pouvoir devenir membre, les AC doivent se conformer à plusieurs critères bien détaillés. Une fois membres, les Autorités de Certification peuvent émettre des certificats SSL qui sont automatiquement reconnus par les navigateurs et donc par les personnes et les appareils qui dépendent de ces certificats. Le nombre d'Autorités de Certification autorisées est plutôt limité. Elles se divisent entre les sociétés privées et les entités gouvernementales. Généralement, plus une AC a d’ancienneté, plus les navigateurs et les appareils feront confiance aux certificats qu'elle émet. Pour qu'un certificat soit automatiquement reconnu, il doit être compatible avec les navigateurs et les appareils mobiles plus anciens. C'est l'une des caractéristiques les plus importantes qu'une AC puisse offrir à ses clients.

Avant d'émettre un certificat numérique, une Autorité de Certification doit d'abord effectuer certaines vérifications pour s'assurer de l'identité du client. Les vérifications sont relatives à la classe et au type de certificat commandé. Un certificat SSL à validation de domaine, par exemple, sera émis à l'unique condition que la personne ou l'organisation qui le demande puissent prouver qu'elles possèdent le domaine pour lequel le certificat a été commandé. A l'inverse, pour obtenir un certificat SSL à validation étendue, un grand nombre d'informations sur l'entreprise devra être vérifié par l'AC.

Pour plus d'informations sur les différentes classes de certificats SSL, reportez-vous à l'article : Les différents types de certificats SSL et leurs cas d'utilisation.

PKI et Hiérarchies de confiance

Les navigateurs et les appareils décident de faire confiance à une AC en acceptant son certificat racine dans leur magasin de certificats racine, une base de données contenant une liste d'AC autorisées qui a été pré-installée dans le navigateur ou sur l'appareil. Windows, Apple et Mozilla (Firefox) ont tous implémenté un magasin de certificats racine dans leur système et la majorité des fabricants d'appareils mobiles ont également leur propre magasin de certificats racine.

Root Certificates
Le magasin de certificats racine de confiance d'Apple OSX.

Les Autorités de Certification utilisent ces certificats racine pré-installés, afin d'émettre des certificats racine intermédiaires et des certificats numériques. Elles reçoivent des demandes de certificat qu'elles doivent d'abord valider avant d'émettre ceux-ci. Elles publient ensuite leur statut de validité pour que toutes les parties qui en dépendent puissent avoir la garantie qu'ils sont valides.

Les Autorités de Certification ont souvent plusieurs certificats racine d'AC intermédiaire qui sont utilisés pour émettre les certificats destinés aux utilisateurs finaux, tels que les certificats SSL. C'est ce que l'on appelle une hiérarchie de confiance et elle ressemble à cela :

Certificate Authority GlobalSign EV Root



L'AC intermédiaire qui apparaît dans cet exemple est l'AC - G2 à validation étendue de GlobalSign. Elle est automatiquement reconnue comme fiable car elle hérite de la confiance de la racine publique de GlobalSign (au sommet de la hiérarchie).  L'AC intermédiaire peut émettre des certificats de confiance publique destinés aux utilisateurs finaux. Dans cet exemple, l'AC intermédiaire a émis un certificat SSL à validation étendue (EV) pour le domaine www.globalsign.com.

Aucune Autorité de Certification ne devrait émettre de certificats numériques directement depuis sa racine mais toujours à travers l'une de ses AC intermédiaires. Ainsi, elles se conforment aux meilleures pratiques de sécurité en minimisant les risques d'exposition de leur AC racine. GlobalSign est l'une des rares Autorités de Certification à avoir toujours utilisé des certificats intermédiaires (depuis sa création en 1996).

Comment fonctionne une Autorité de Certification ?

En tant qu’ancres de confiance pour Internet, les Autorités de Certification ont une grande responsabilité. En conséquence, elles sont régulièrement soumises à des audits auxquels il est difficile de se conformer. L'infrastructure d'une AC est composée d'éléments opérationnels essentiels, tels que les équipements et les logiciels, les réglementations et les déclarations de pratiques de sécurité, les rapports d'audit, le matériel de sécurité et le personnel. Ensemble, ces éléments forment une PKI de confiance (infrastructure de clé publique de confiance).

CA Structure

Il existe différentes formes de certificats qui ne servent pas seulement à la sécurisation SSL, mais également à l'authentification des personnes et des appareils et à la légitimation du code et des documents. Veuillez visiter la page de produits GlobalSign pour plus d'informations.