Une Autorité de Certification est un tiers de confiance situé à la base de la chaîne de certification électronique. C’est elle qui délivre et gère les certificats numériques utilisés pour sécuriser les échanges dématérialisés et garantir l’identité des émetteurs. Si vous avez déjà demandé un certificat numérique, ou si vous envisagez de le faire, vous avez certainement croisé ce qualificatif. Mais à quoi sert cette entité, exactement ? Comment fonctionne une Autorité de Certification ? Certains certificats électroniques étant utilisés pour la sécurisation des sites web, comment une AC est-elle associée aux navigateurs ? Voici cinq choses à savoir pour devenir incollable sur ce sujet.

 

À quoi sert une Autorité de Certification ?

En substance, une Autorité de Certification émet des certificats électroniques. Les certificats électroniques couvrent trois usages principaux : l’authentification, la signature et le chiffrement. Parmi ces certificats, on distingue les certificats SSL qui garantissent la sécurité et l’intégrité des informations échangées entre un site web et un navigateur, par le biais d’une clé cryptographique permettant d’activer une session sécurisée (protocole HTTPS) : ce sont les certificats de chiffrement. D’autres sont utilisés pour valider l’identité des émetteurs dans le cadre d’une procédure d’authentification, élément crucial de la sécurité des réseaux informatiques : ce sont les certificats d’authentification. D’autres enfin sont utilisés pour signer un document ou un fichier et pour en garantir l’intégrité : ce sont les certificats de signature.

En somme, une Autorité de Certification valide l’identité d’un demandeur et se porte garante de cette identité par le biais del’émission d’un certificat électronique. Sa signature électronique, une fois apposée, garantit que la clé publique appartient bien au demandeur qui l’a générée. Seule la clé publique certifiée peut fonctionner avec la clé privée appartenant au demandeur.

L’AC s’occupe enfin de gérer le cycle de vie des certificats, qu’il s’agisse de les renouveler ou de les révoquer (si les conditions nécessaires au renouvellement ne sont pas réunies), les certificats électroniques ayant une durée de validité limitée.

La suite de cet article présentera le fonctionnement des AC dans le cadre des certificats de chiffrement SSL.

 

Comment une Autorité de Certification émet-elle un certificat SSL ?

Le processus commence lorsqu’une personne physique ou morale entreprend d’établir une connexion sécurisée pour son site web, ou de créer un système d’authentification pour contrôler les accès à un réseau.

Le demandeur génère une demande de signature de certificat (CSR) contenant une clé cryptographique publique, qu’il envoie à l’Autorité de Certification (AC) de son choix, par exemple CertEurope. Dans le même temps, une autre clé, privée cette fois, est précieusement conservée par ses soins.

Le tiers de confiance se charge de vérifier l’identité du demandeur via une Autorité d’Enregistrement. Si tout est en ordre, l’AC signe la demande avec sa propre clé privée, avant de délivrer le certificat électronique. Le demandeur n’a plus qu’à installer son certificat sur son serveur web.

 

Quelles sont les vérifications effectuées avant d’émettre un certificat ?

Tout dépend de la nature du certificat électronique demandé. Les vérifications effectuées par l’Autorité de Certification correspondent au niveau de protection souhaité : le simple fait d’être possesseur du nom de domaine pour lequel le certificat est demandé suffit pour obtenir un certificat à validation de domaine. Mais pour un certificat à validation d’organisation ou à validation étendue, les vérifications sont plus poussées.

Une fois le certificat émis, c’est le navigateur web qui se charge de s’assurer que l’AC existe bien dans sa banque de certificats racines et que les données renseignées sont exactes.

 

Comment sont choisies les Autorités de Certification ?

Les certificats SSL émis par les Autorités de Certification sont reconnus automatiquement par les outils (navigateurs web, systèmes d’exploitation, appareils mobiles, etc.). Pour ce faire, ces outils intègrent nativement les informations issues des AC « autorisées » : celles-ci placent leur certificat racine dans une base de données dédiée.

Pour que leur certificat racine soit accepté, les AC doivent répondre à des exigences précises, formulées par les outils web. Prenons un exemple : le navigateur Chrome impose un certain nombre de critères aux Autorités de Certification qui souhaitent enregistrer leur certificat sur cette plateforme. Dès que les AC en sont « membres », les certificats émis par leurs soins sont d’emblée reconnus par Chrome.

Le choix se fait sur la confiance : ce sont généralement les Autorités de Certification les plus anciennes et les plus réputées qui sont présélectionnées par les navigateurs.

 

Comment fonctionne une Autorité de Certification ?

Une Autorité de Certification peut être une société privée ou une entité gouvernementale. Dans un cas comme dans l’autre, elle est composée de plusieurs éléments opérationnels :

  • Le personnel,
  • Le matériel de sécurité,
  • Les équipements,
  • Les logiciels,
  • Les réglementations,
  • Les déclarations relatives aux pratiques de sécurité,
  • Les rapports d’audit.

Une AC travaille de concert avec une Autorité d’Enregistrement et une Autorité de Dépôt. L’AE sert d’interface entre l’Autorité de Certification d’un côté et l’utilisateur de l’autre : c’est elle qui s’assure du respect des exigences liées à l’émission et à l’usage d’un certificat électronique. Quant à l’AD, sa mission consiste à centraliser, stocker et archiver les certificats, qu’ils soient valides, expirés ou révoqués.

À cette liste, il faut ajouter une composante moins connue mais tout aussi indispensable : l’Autorité de Séquestre, qui garantit le stockage sécurisé des clés de chiffrement dans un but de restauration (en cas d’incident). Sans oublier l’Entité finale, qui n’est autre que l’utilisateur du certificat.

Toutes ces entités forment une infrastructure de clé publique de confiance ou infrastructure de gestion de clé (PKI) en charge de délivrer des certificats électroniques.

Découvrez CertEurope, 1ère Autorité de Certification en France

 

Hélène Toutchkov

Hélène Toutchkov
Content Manager