Passer au contenu général

En termes simples, une autorité de certification est une entité qui émet des certificats numériques. Les autorités de certification jouent un rôle central dans la cybersécurité. Les certificats numériques qu’elles émettent vous permettent de prouver que votre site Web est légitime et n’est pas exploité par des pirates ou d’autres acteurs malveillants. Si les autorités de certification n’existaient pas, il serait dangereux de faire des achats, d’effectuer des opérations bancaires ou de transmettre d’autres informations sensibles sur l’internet. Le « s » du préfixe https signifie « sécurisé ». Vous savez donc que le propriétaire du site Web a été vérifié par une autorité de certification.

Autorités de certification publiques par rapport aux autorités de certification privées

Bien qu’elles remplissent des fonctions similaires, il existe des différences essentielles entre les autorités de certification publiques et privées.

  • Les autorités de certification privées sont spécifiques à une entreprise et émettent des certificats à des fins internes et pour des cas d’utilisation tels que les réseaux privés et les VPN, l’authentification des utilisateurs et la signature de codes.
  • Les autorités de certification publiques sont des entités auxquelles les navigateurs font confiance pour assurer la sécurité - par la vérification et le cryptage - des utilisateurs lorsqu’ils interagissent avec des sites Web et des services publics.

Comment une autorité de certification gagne-t-elle la confiance ?

Les autorités de certification publiques sont des entités approuvées qui doivent répondre à des exigences de base établies par le CA/Browser Forum. Les autorités de certification et les navigateurs Internet ont travaillé ensemble pour développer des normes plus strictes et plus uniformes pour la gestion des autorités de certification et l’émission de certificats TLS/SSL. Les exigences de base 1.0 sont entrées en vigueur le 1er juillet 2012.

Certificats SSL et PKI

Outre le « s » de https, lorsque vous allez sur un site Web et que vous voyez un cadenas dans la barre supérieure de votre navigateur, la technologie qui permet cela est un certificat SSL. Ce certificat a été émis par une autorité de certification publiquement reconnue, qui repose sur une infrastructure à clé publique. Le déploiement de certificats TLS/SSL est essentiel pour protéger votre entreprise, vos prospects et vos clients des cyberattaques liées aux transactions sur les sites Web.

Types de certificats TLS/SSL

Chaque interaction en ligne doit être protégée contre les attaques malveillantes. Les certificats TSL/SSL sont la base de la confidentialité, de la protection et de l’intégrité de la marque dans le domaine numérique. La plupart des autorités de certification proposent différents types de certificats en fonction des niveaux d’assurance souhaités, des exigences de conformité et du nombre de domaines à sécuriser.

  • Les certificats SSL à validation étendue (VE) offrent la plus haute garantie de sécurité, et le processus de vérification est le plus rigoureux. Lorsqu’ils sont déployés sur un site web, une icône de cadenas, le nom de l’entreprise et la désignation HTTPS deviennent visibles pour les visiteurs. Ce type de certificat est généralement utilisé pour les applications Web qui nécessitent une garantie d’identité pour la collecte de données, le traitement des connexions ou les paiements en ligne.
  • Les certificats SSL de validation d’organisation (VO) fournissent une garantie d’identité et un cryptage et sont les mieux adaptés pour crypter les informations des utilisateurs pendant les transactions. La plupart des sites Web destinés aux consommateurs sont légalement tenus de déployer des certificats SSL OV pour garantir la confidentialité des informations communiquées au cours d’une session.
  • Les certificats SSL de validation de domaine (VD) ont moins d’exigences en matière de vérification d’identité que les certificats VE ou VO, prouvant seulement le contrôle du domaine. Ils sont souvent utilisés pour des applications à faible risque, comme les blogs, les communautés d’utilisateurs ou les sites d’information. Les certificats DV sont donc moins chers et plus faciles à obtenir.
  • Les certificats SSL Wildcard sont vérifiés au niveau de la validation de l’organisation et constituent une solution rentable pour sécuriser un domaine de base et un nombre quelconque de sous-domaines affiliés. Outre des coûts moindres (par rapport à l’achat de plusieurs certificats individuels), ils offrent une plus grande simplicité car les utilisateurs n’ont pas à soumettre plusieurs demandes de signature de certificat (CSR) ou à gérer les dates d’expiration de plusieurs certificats TLS/SSL pour plusieurs URL.
  • Les certificats SSL de communications unifiées (UC) sont vérifiés soit au niveau de la validation étendue, soit au niveau de la validation de l’organisation. Pour consolider plusieurs certificats, un moyen efficace consiste à utiliser les noms de sujets alternatifs (SAN) pour réduire les coûts. Les certificats SSL UC établissent des identités de confiance et éliminent les notifications des navigateurs qui avertissent les visiteurs de ne pas entrer sur votre site.

Pourquoi les certificats TLS/SSL sont-ils essentiels ?

Il est extrêmement important, pour diverses raisons, de disposer de certificats TLS/SSL fiables émis par une autorité de certification réputée.

  • Exigences de conformité croissantes. Le règlement général sur la protection des données (RGPD) mis en œuvre en Europe est en train d’être adopté dans le monde entier. Les entreprises qui ne respectent pas les normes GDPR s’exposent à de lourdes amendes ou à une perte de revenus.
  • Perte de visibilité dans les moteurs de recherche. Les moteurs de recherche sévissent contre les sites Web qui présentent des menaces pour la sécurité en implantant des indicateurs de sécurité négatifs et en retirant des sites des résultats des moteurs de recherche.
  • Sécurité accrue des données. Il est essentiel de protéger les mots de passe, les numéros de cartes bancaires, les transactions financières et autres données de grande valeur.
  • Accent mis sur l’identité de confiance. L’autorité de certification vérifie l’identité des entreprises, confirme que l’entreprise a le contrôle de ses domaines et s’assure que le demandeur du certificat est employé par l’entreprise.

La nécessité de la gestion des certificats

Pour les entreprises qui ont un nombre croissant de certificats, la gestion des certificats peut s’avérer difficile. Les outils de gestion du cycle de vie des certificats deviennent nécessaires pour avoir une visibilité complète de vos inventaires de certificats. Recherchez des solutions de gestion qui offrent un large éventail d’intégrations afin que votre environnement de confiance corresponde aux besoins de votre entreprise. Les certificats numériques doivent s’adapter à tous vos besoins, y compris les cas d’utilisation traditionnels et les cas d’utilisation modernes tels que l’Internet des objets (IoT) et DevOps. Vous aurez également besoin de l’expertise de services professionnels pour résoudre des problèmes complexes et d’une équipe d’assistance à la clientèle disponible 24 heures sur 24, 7 jours sur 7, 365 jours par an, si vous avez besoin d’aide.

Le lien entre les autorités de certification et l’ICP

Que ce soit pour la confiance publique ou privée, les autorités de certification sont une pièce essentielle de l’écosystème PKI (infrastructure à clé publique) plus large. L’ICP est la pierre angulaire de la sécurité informatique et est utilisée pour établir la confiance et sécuriser les interactions entre les personnes, les systèmes et les objets. La meilleure façon d’y parvenir est d’utiliser les certificats numériques émis par une autorité de certification pour la signature, l’authentification ou le cryptage - ou les trois.

Web of Trust par rapport à l’autorité de certification

Le Web of trust est un modèle décentralisé de cryptage et sert d’alternative à la PKI. Au lieu de s’appuyer sur une autorité de certification, le réseau de confiance s’appuie sur une série de signatures provenant de sources disparates pour établir la légitimité et lier la clé publique de cryptage à son propriétaire. Le concept de réseau de confiance a été introduit par Phil Zimmermann en 1992 dans son manuel pour PGP (pretty good privacy) version 2.0. En revanche, une autorité de certification s’appuie sur des entités tierces de confiance qui doivent répondre à des exigences strictes et sont auditées chaque année.