Qu’est-ce qu’une certificate authority ?

Que ce soit pour la confiance publique ou privée, une Certificate Authority est une pièce essentielle de l’écosystème de cybersécurité (Public Key Infrastructure) plus large. Vous ne savez pas ce dont il s’agit ou comment cela fonctionne ? Aucun problème.

Voici tout ce qu’il faut savoir sur les CA, y compris comment choisir la meilleure pour les besoins de votre entreprise.

Une Certificate Authority (CA), parfois appelée autorité de certification, est une entité qui valide l’identité numérique de sites web, d’adresses électroniques, d’entreprises ou d’individus. Pour ce faire, elle utilise des données cryptographiques appelées certificats numériques, qui attestent l’authenticité des identités.

Par exemple, les navigateurs web travaillent avec des autorités de certification pour authentifier les sites web et s’assurer qu’ils ne sont pas exploités par des pirates ou des personnes malveillantes. Sans Certificate Authority, les achats, les opérations bancaires ou la transmission d’autres informations sensibles sur Internet seraient risqués. Le « s » du préfixe https signifie « sécurisé ». Vous savez donc que le propriétaire du site web a été vérifié par une CA fiable.

CA publique et CA privée : quelle est la différence ?

Les autorités de certification sont soit publiques, soit privées. Bien qu’elles remplissent des fonctions similaires, il existe des différences importantes entre ces deux catégories :

• CA publiques : ce groupe comprend les entités qui fournissent des services au grand public. Leurs certificats sont acceptés dans le monde entier, ils sont donc adaptés à la sécurisation des sites web, des transactions en ligne et d’autres cas d’utilisation numérique. Il existe un nombre limité de CA publiques, mais elles jouissent d’une grande confiance de la part des principaux fournisseurs de navigateurs web.
• CA privées : cette catégorie comprend les autorités de certification qui sont spécifiques à l’usage interne d’une entreprise. En d’autres termes, elles émettent exclusivement des certificats à des fins internes et dans des cas d’utilisation tels que les réseaux privés et les VPN, l’authentification des utilisateurs et la signature de code. Par extension, une CA privée n’est approuvée que par les utilisateurs de l’organisation et délivre rarement des certificats à des entités externes. C’est pour cette raison qu’elle est aussi communément appelée « CA locale ».

Pourquoi les autorités de certification sont-elles considérées comme dignes de confiance ?

Les CA publiques sont des entités approuvées qui doivent répondre à des exigences de base établies par le CA/Browser Forum. Les autorités de certification et les navigateurs Internet ont collaboré pour élaborer des normes plus strictes et plus uniformes pour la gestion et l’émission de divers certificats numériques.

En raison de ces exigences de base, les CA publiques sont mondialement reconnues et acceptées pour la plupart des applications. Cependant, elles ne peuvent pas prendre en charge les cas d’utilisation internes, et c’est là que la CA privée entre en jeu. Chaque CA privée dispose d’une politique qui définit son rôle ainsi que les processus et les contrôles qu’elle utilise pour délivrer des certificats. En retour, elles sont considérées comme étant dignes de confiance et d’une grande fiabilité.

En termes simples, les certificats numériques sont un moyen de prouver l’authenticité d’un appareil, d’un serveur web, d’un utilisateur ou d’une entité. Ils ont une fonction similaire à celle d’un permis de conduire ou d’un passeport, en fournissant une forme d’identification et en vérifiant certains droits. Cependant, plutôt qu’une autorisation de conduire ou d’entrer dans un pays, les certificats numériques remplissent trois fonctions principales :

1. Authentification : les certificats font office d’identifiant qui valide l’identité de toute entité à laquelle ils sont délivrés, comme un domaine web ou une entreprise.
2. Chiffrement : ils sécurisent la communication sur Internet en chiffrant les informations transmises en ligne, telles que les noms d’utilisateur et les mots de passe ou les e-mails.
3. Signature : les certificats garantissent que les documents signés numériquement ne sont pas modifiés par un tiers, ce qui préserve leur intégrité.

Tout cela est possible grâce à l’infrastructure à clé publique (PKI). En bref, la PKI englobe l’ensemble du matériel, des logiciels, des procédures et des politiques nécessaires à la génération et au stockage des clés cryptographiques : les données qui rendent possibles le chiffrement, le déchiffrement et la vérification.

Comment fonctionne l’infrastructure à clé publique ?

Dans le cadre de la PKI, tous les certificats numériques sont liés à une paire de clés particulière : une clé publique et une clé privée. Chacune de ces données cryptographiques est une longue chaîne de bits utilisée pour chiffrer et déchiffrer des données. Chaque certificat est propre à une personne ou à une entité spécifique, à l’instar d’un passeport pour l’identification.

La clé publique est librement accessible à toute personne qui en fait la demande, ce qui lui permet de chiffrer des informations sensibles avant de les envoyer à l’entité associée. Toutefois, ce message ne peut être déchiffré qu’avec la clé privée, connue uniquement du propriétaire de la clé publique.

Mais comment savoir si l’expéditeur d’une clé publique est bien celui qu’il prétend être ? C’est là que les certificats entrent en jeu. Ils contiennent non seulement la clé publique, mais aussi des informations relatives à son propriétaire, à la CA qui l’a émise, aux données sur lesquelles elle a été créée et à sa date d’expiration. Cela permet de vérifier que la clé appartient bien à l’entité revendiquée et non à une personne malveillante.

Qu’est-ce que la gestion de certificats ?

La gestion des certificats est le processus qui gère les certificats numériques tout au long de leur cycle de vie, de l’approvisionnement à la révocation en passant par le renouvellement. Toutefois, la gestion des certificats peut s’avérer difficile pour les entreprises qui ont un nombre croissant de certificats.

Dans ce contexte, les processus de gestion manuelle (comme les feuilles de calcul) ne sont pas viables. De nombreuses entreprises se tournent vers des outils de gestion du cycle de vie qui non seulement offrent une visibilité complète de leurs inventaires cryptographiques et de leur parc de certificats, mais fournissent également une couche d’automatisation indispensable.

Les certificats numériques, qui établissent les bases de la confidentialité et de la protection, sont essentiels pour sécuriser les interactions en ligne. La plupart des autorités de certification proposent une gamme de types de certificats pour différents cas d’utilisation, niveaux de garantie, exigences de conformité et autres applications. Voici quelques exemples :

Certificats Document Signing

Comme son nom l’indique, un certificat Document Signing sert à signer des documents électroniques. Plus important encore, il garantit l’intégrité du document, en attestant que son contenu n’a pas été altéré, et confirme l’identité du signataire. Ces certificats sont particulièrement utiles pour les contrats juridiques, en tant que mécanisme de non-répudiation dans les entreprises.

Certificats Code Signing

De même, un certificat Code Signing permet aux développeurs de logiciels de signer numériquement des applications et des programmes. Les utilisateurs finaux peuvent ainsi vérifier que le code qu’ils reçoivent n’a pas été modifié ou manipulé, ce qui protège les deux parties contre la fraude, les logiciels malveillants et le vol.

Certificats TLS/SSL

Les deux types de certificats numériques les plus courants sont les certificats TLS et SSL. TLS signifie « Transport Layer Security », tandis que SSL signifie « Secure Sockets Layer ». Ces deux protocoles de sécurité Internet permettent d’authentifier l’identité et d’établir des connexions chiffrées avec le navigateur.

Techniquement, le certificat SSL est obsolète, remplacé par le chiffrement TLS. Cependant, l’appellation SSL est encore couramment utilisée au lieu de TLS. C’est pourquoi, les deux acronymes sont souvent associés : TLS/SSL.

Ce type de certificat est normalement utilisé pour l’authentification des sites web, des clients et des serveurs. Sous cette vaste catégorie, il existe plusieurs types spécifiques de certificats TLS/SSL, notamment :

• Certificates Extended Validation (EV) : les certificats EV SSL offrent la plus haute garantie de sécurité et le processus de vérification le plus rigoureux. Lorsqu’ils sont déployés sur un site web, une icône de cadenas, le nom de l’entreprise et la désignation HTTPS deviennent visibles pour les visiteurs. Ce type de certificat est généralement utilisé pour les applications Web qui nécessitent une garantie d’identité pour la collecte de données, le traitement des connexions ou les paiements en ligne.
• Certificats Organization Validation (OV) : les certificats OV SSL fournissent une garantie d’identité et sont idéaux pour chiffrer les informations des utilisateurs pendant les transactions. La plupart des sites Web destinés aux consommateurs sont légalement tenus de déployer des certificats SSL OV pour garantir la confidentialité des informations communiquées au cours d’une session.
• Certificats Domain Validation (DV) : les certificats DV SSL ont moins d’exigences en matière de vérification d’identité que les certificats EV ou OV, prouvant seulement le contrôle du domaine. Ils sont souvent utilisés pour des applications à faible risque, comme les blogs, les communautés d’utilisateurs ou les sites d’information. Les certificats DV sont donc moins chers et plus faciles à obtenir.
• Certificats Wildcard SSL : les certificats Wildcard SSL sont vérifiés au niveau Organization Validation et constituent une solution rentable pour sécuriser un domaine de base et un nombre quelconque de sous-domaines affiliés. Outre des coûts moindres par rapport à l’achat de plusieurs certificats individuels, ils offrent une plus grande simplicité, car les utilisateurs n’ont pas à soumettre plusieurs demandes de signature de certificat ou à gérer les dates d’expiration de plusieurs certificats TLS/SSL pour plusieurs URL.
• Certificats SSL pour les communications unifiées (UC) : ces certificats sont vérifiés soit au niveau Extended Validation, soit au niveau Organization Validation. Pour consolider plusieurs certificats, un moyen efficace consiste à utiliser les noms de sujets alternatifs (SAN) pour réduire les coûts. Les certificats SSL UC établissent des identités de confiance et éliminent les notifications des navigateurs qui avertissent les visiteurs de ne pas entrer sur votre site.

Il est extrêmement important, pour diverses raisons, de disposer de certificats TLS/SSL fiables émis par une autorité de certification réputée :

• Exigences de conformité croissantes : le règlement général sur la protection des données (RGPD) mis en œuvre en Europe est en train d’être adopté dans le monde entier. Les entreprises qui ne respectent pas les normes RGPD s’exposent à de lourdes amendes ou à une perte de revenus.
• Perte de visibilité dans les moteurs de recherche : les moteurs de recherche sévissent contre les sites Web qui présentent des menaces pour la sécurité en implantant des indicateurs de sécurité négatifs et en retirant des sites des résultats des moteurs de recherche.
• Sécurité accrue des données : il est essentiel de protéger les mots de passe, les numéros de cartes bancaires, les transactions financières et autres données de grande valeur.
• Accent mis sur l’identité de confiance : l’autorité de certification vérifie l’identité des entreprises, confirme que la société a le contrôle de ses domaines et s’assure que le demandeur du certificat est employé par l’entité associée.

Le processus commence lorsqu’un demandeur génère une paire de données cryptographiques, la clé publique et la clé privée, avec une demande de signature de certificat (CSR). En bref, une CSR est un fichier codé qui comprend la clé publique et d’autres informations pertinentes à inclure dans le certificat.

Il peut s’agir du nom de domaine correspondant, de l’entreprise et des informations de contact, mais cela dépend en fin de compte du niveau de validation et du cas d’utilisation prévu. La clé privée, en revanche, est toujours tenue secrète et ne doit jamais être montrée à qui que ce soit, y compris à la CA.

Ensuite, le demandeur envoie la demande de signature du certificat à l’Issuing CA. Celle-ci vérifiera alors de manière indépendante que les informations contenues dans la CSR sont correctes. Si c’est le cas, elle signera numériquement le certificat avec sa propre clé privée et le renverra, ajoutant ainsi une couche de confiance dans le processus.

Enfin, le certificat numérique peut être authentifié à l’aide de la clé publique, par exemple lorsqu’une personne visite le site web du demandeur à l’aide d’un navigateur web. En outre, les navigateurs confirment que le contenu du certificat n’a pas été modifié ou altéré depuis qu’il a été signé par l’Issuing CA.

La chaîne de confiance est une hiérarchie que les certificats utilisent pour vérifier la validité de l’Issuing CA. Dans ce modèle, les certificats sont émis et signés par d’autres certificats qui existent plus haut dans la chaîne. Cela permet à toute personne souhaitant vérifier l’authenticité d’un certificat de remonter jusqu’à l’original de la CA, connu sous le nom de « certificat racine ».

Globalement, ce processus se compose de trois parties :

1. Une ancre de confiance est la CA d’origine. Leur certificat racine est normalement téléchargé à l’avance dans la plupart des navigateurs dans un « magasin de confiance ».
2. Au moins un certificat intermédiaire qui se ramifie à partir des certificats racines comme un arbre. Ils constituent un tampon entre la Certificate Authority de confiance et l’entité finale.
3. Le certificat d’entité finale valide l’identité d’un site web, d’une entreprise ou d’une personne. La chaîne de confiance garantit que les CA respectent les normes de conformité, en particulier celles relatives à la sécurité, à la confidentialité et à l’évolutivité.

Toutes les CA ne sont pas conçues ou ne disposent pas des capacités pour sécuriser le cas d’utilisation spécifique de votre entreprise. Certaines ne sont pas compatibles avec votre infrastructure informatique, tandis que d’autres n’offriront peut-être pas les services attendus. Voici quelques considérations clés que vous devez garder à l’esprit lors de la sélection d’une autorité de certification :

• LA CA protège-t-elle adéquatement votre marque ?
• La CA respecte-t-elle les meilleures pratiques du Certificate Authority Browser Forum ?
• La CA propose-t-elle des politiques flexibles en matière de licences et de prix ?
• La CA peut-elle se développer parallèlement à votre entreprise pour répondre à ses besoins actuels et futurs ?
• La CA participe-t-elle activement au Conseil de sécurité de la CA ?

Confiez-nous vos certificats numériques

D’innombrables entreprises se tournent vers Entrust pour leurs besoins en matière de certificats publics et privés, et pas sans raison. Entrust est une autorité de certification mondialement reconnue avec des dizaines d’années d’expérience dans l’émission et la gestion de certificats. En outre, notre plateforme unique gère les certificats publics et privés, y compris ceux émis par d’autres CA. 

De plus, en tant que membre fondateur du Conseil de sécurité de la CA et du CA/Browser Forum, nous sommes toujours à l’avant-garde des normes du secteur. Avec un large portefeuille de solutions et de certificats numériques, vous avez accès à une liste croissante de produits et de services innovants.

Avec la plateforme de certificats primée d’Entrust, voici ce dont vous bénéficiez :

• Assistance de qualité supérieure
• Compatibilité avec les navigateurs universels
• Rééditions illimitées
• Nombre illimité de licences de serveur pour le chiffrement de 128 à 256 bits