Qu’est-ce qu’une autorité de certification et comment fonctionnent-elles ?

Dernière mise à jour le par Dionisie Gitlan

Les autorités de certification sont l’épine dorsale de l’industrie SSL et la colonne vertébrale qui maintient l’ensemble des processus de cryptage et de sécurité. Il n’est pas possible de créer ou de demander des certificats SSL sans une autorité de certification.

Que vous ayez besoin d’un certificat auto-signé pour votre organisation intranet ou d’un certificat SSL public pour sécuriser votre site web, une autorité d’émission de certificats régit le processus d’émission SSL. Qu’est-ce qu’une autorité de certification et comment fonctionne-t-elle ? Ce guide fournit les réponses.

Table des matières

  1. Qu’est-ce qu’une autorité de certification ?
  2. Quelle est l’histoire des autorités de certification ?
  3. Qui réglemente les autorités de certification ?
  4. Quels sont les types d’autorités de certification ?
  5. Quelle est la liste des autorités de certification de confiance ?
  6. Quelle est la meilleure autorité de certification ?
  7. Quelle est l’autorité de certification la moins chère ?
  8. Quelle est la liste des autorités de certification non fiables ?
  9. Pouvez-vous créer votre propre autorité de certification ?

Qu’est-ce qu’une autorité de certification ?

Une autorité de certification (AC ) est une entité de confiance qui délivre des certificats numériques confirmant la propriété d’un domaine et l’identité du demandeur. Les autorités de certification jouent un rôle fondamental dans l’établissement de la confiance et de la sécurité des communications entre les navigateurs et les serveurs en vérifiant que le client ou l’organisation en question est bien celui qu’il prétend être.

N’importe qui peut devenir une autorité de certification et émettre des certificats auto-signés, mais seules quelques entreprises sélectionnées finissent par signer des certificats SSL/TLS pour le grand public.

Que font les autorités de certification ?

En substance, tout ce que fait une autorité de certification est de valider l’identité de la personne ou de l’entreprise qui demande le certificat SSL. Le processus est similaire à celui d’un notaire. En coulisses, les autorités de certification publiques suivent des lignes directrices strictes et se soumettent à des contrôles d’audit réguliers afin de se conformer aux pratiques les plus récentes du secteur.

Comment fonctionnent les autorités de certification ?

En fonction du niveau de validation SSL, les autorités de certification effectuent des contrôles approfondis pour déterminer la propriété du domaine et l’identité de l’entreprise. Si vous demandez un certificat de validation de domaine, votre autorité de certification utilisera plusieurs méthodes rapides pour confirmer que vous êtes le propriétaire du domaine. Toutefois, si vous commandez un certificat Business Validation ou Extended Validation, l’autorité de certification procédera à une vérification approfondie via les bases de données publiques locales ou utilisera votre numéro LEI.

Une fois que l’autorité de certification a authentifié le demandeur, elle signe le certificat numérique avec ses certificats d’autorité de certification racine et intermédiaire, complétant ainsi la chaîne de confiance SSL et rendant votre certificat SSL compatible avec tous les navigateurs.

L’autorité de certification est le propriétaire ultime de l’état du certificat et l’entité à laquelle tous les autres font confiance. Il assure la sécurité de l’ensemble de l’écosystème SSL et limite les risques d’atteinte à la protection des données. Si les racines de l’autorité de certification sont compromises, les navigateurs et les applications ne lui feront plus confiance, ce qui mettra probablement fin à son existence.

La confiance universelle sur le web ne va pas de soi. Elle s’appuie sur des directives de sécurité et une coopération efficace entre les décideurs de l’industrie SSL. Tout comme le cryptage web a parcouru un long chemin depuis la première version du protocole SSL, aujourd’hui disparu, les autorités de certification ont tracé leur chemin avec des hauts et des bas pour atteindre la fiabilité d’aujourd’hui.

Dans les sections suivantes, vous découvrirez un bref historique des autorités de certification et qui les réglemente en dernier ressort.

Quelle est l’histoire des autorités de certification ?

C’est en 1995 que Mark Richard Shuttleworth, un jeune entrepreneur sud-africain et britannique, a fondé Thawte. Dirigée depuis le garage des parents Shuttleworth, Thawte est devenue la première autorité de certification à émettre des certificats SSL publics en dehors des États-Unis.

La même année, de l’autre côté de l’Atlantique, Verisign a été créé en tant que spin-off de l’entreprise de services de certification RSA Security. La nouvelle société a servi d’autorité de certification et, dans les années qui ont suivi, a gagné environ 50 % de la part de marché. L’autre moitié appartenait à Thawte. Verisign et Thawte avaient tous deux des certificats dans les premiers navigateurs Netscape.

En 1999, Verisign a racheté Thawte à Shuttleworth pour 575 millions de dollars et a consolidé sa position de leader du marché au début du nouveau millénaire.

C’est à cette époque, en 2002, qu’une nouvelle autorité de certification est apparue sur le devant de la scène. La marque GeoTrust, aujourd’hui réputée, a été la première autorité de certification à émettre des certificats SSL validés par le domaine public.

En 2007, Comodo CA (aujourd’hui Sectigo) a organisé la première réunion du forum CA/Browser. Le consortium volontaire des autorités de certification, des navigateurs Internet et des fournisseurs de systèmes d’exploitation a contribué à l’adoption des premières lignes directrices sur la validation étendue.

En 2010, Verisign a vendu à Symantec l’ensemble de son unité commerciale d’authentification, qui comprenait les services d’authentification SSL Certificate, Public Key Infrastructure, Verisign Trust et Verisign Identity Protection.

Après une série d’incidents de sécurité, Symantec a vendu en 2017 à DigiCert son activité de certificats numériques, y compris les marques Verisign, Thawte, GeoTrust et RapidSSL. L’ensemble de l’opération s’élevait à 950 millions de dollars.

Qui réglemente les autorités de certification ?

Si les autorités de certification sont responsables de la validation et de la révocation du SSL, qui les réglemente ? Pour répondre à cette question, examinons toutes les parties impliquées dans ce processus complexe.

Navigateurs et applications

Les navigateurs et les applications définissent les règles qui régissent les autorités de certification. Tous les navigateurs contiennent des informations sur les autorités de certification de confiance dans leur pack d’installation, également connu sous le nom de magasin racine. Les navigateurs n’acceptent les certificats SSL émis par des autorités de certification publiques que si les racines des autorités de certification sont déjà marquées comme fiables dans le magasin de racines.

Tous les navigateurs ne conservent pas leur propre magasin de racines de confiance. Ils s’appuient également sur la base de données du système d’exploitation du client. Si la racine d’une autorité de certification émet un certificat numérique qui ne fait pas partie du magasin de racines du navigateur ou du système d’exploitation, le navigateur avertit les utilisateurs qu’ils ne doivent pas faire confiance au certificat SSL.

Mais comment les navigateurs déterminent-ils les racines de l’autorité de certification auxquelles ils doivent faire confiance ? Ils ont toujours eu des règles prédéterminées sur le fonctionnement des AC. En outre, ils les améliorent en permanence afin d’établir des normes de sécurité de haut niveau.

Au fil du temps, ils ont réussi à éliminer les algorithmes plus faibles tels que MD5 et SHA-1. Ils ont également supprimé les tailles de clés obsolètes telles que 512 bits et 1024 bits. Si les autorités de certification ne répondent pas à la liste exhaustive des exigences des navigateurs, elles sont retirées du magasin de racines de confiance des navigateurs.

Navigateurs et autorités de certification

Les navigateurs ont un rôle important à jouer dans le fonctionnement des autorités de certification. Cependant, un navigateur n’est pas la seule entité qui réglemente les autorités de certification de confiance. Les autorités de certification elles-mêmes, avec l’approbation des navigateurs, ont adopté plusieurs lignes directrices essentielles qui ont révolutionné le paysage SSL.

Les autorités de certification et les navigateurs ont uni leurs forces et créé le CA/Browser Forum, une organisation volontaire composée de plus de 50 membres d’autorités de certification et de neuf membres de navigateurs, qui définit les normes industrielles SSL.

Régimes d’audit Webtrust/ETSI

Une fois que les membres du forum CAB ont approuvé chaque série de lignes directrices et de mises à jour, ils les soumettent soit à l’Institut canadien des experts-comptables/American Institute of CPAs (Certified Public Accountants), soit à l’Institut européen des normes de télécommunication (ETSI).

Les nouvelles règles deviennent alors les nouvelles directives d’audit WebTrust ou les normes ETSI. Enfin, les navigateurs peuvent les ajouter aux exigences de leur magasin de racines de confiance, et les autorités de certification doivent s’y conformer.

En conclusion, les navigateurs et les autorités de certification supervisent ensemble tous les aspects de la sécurité sur le web. Leurs efforts combinés pour améliorer les normes industrielles SSL ont rendu le cryptage SSL sûr et hors de portée des pirates informatiques.

Quels sont les types d’autorités de certification ?

Lorsque nous discutons des différents types d’autorités de certification, nous devons les classer en fonction de leur hiérarchie, de leurs produits et de leur niveau de confiance. Nous commencerons par l’ordre hiérarchique qui comprend une autorité de certification racine, une autorité de certification intermédiaire et une autorité de certification émettrice.

Qu’est-ce qu’une autorité de certification racine ?

Une autorité de certification racine est l’autorité de certification qui signe elle-même les certificats racine, auxquels les navigateurs et les systèmes d’exploitation font confiance par défaut. Comme ces certificats sont valables sans vérification supplémentaire, ils sont stockés sur des dispositifs physiques et conservés dans des coffres-forts hautement surveillés.

Qu’est-ce qu’une autorité de certification intermédiaire ?

Une autorité de certification intermédiaire est une autorité de certification qui n’est pas approuvée par les navigateurs et les systèmes d’exploitation, mais dont les certificats sont signés par une autorité de certification racine. Si une application peut vérifier que les certificats émis par une AC intermédiaire remontent jusqu’à l’AC racine, ils sont considérés comme valides.

Le rôle des autorités de certification intermédiaires est d’agir comme une couche de sécurité supplémentaire entre les autorités de certification racines et les autorités de certification émettrices. En cas de violation de la sécurité, l’AC intermédiaire atténuera l’impact potentiel sur la sécurité.

Qu’est-ce qu’une autorité de certification émettrice ?

Une autorité de certification émettrice est l’autorité de certification qui fournit des certificats SSL aux utilisateurs finaux. Elle est subordonnée à une AC intermédiaire qui utilise sa clé publique pour signer l’AC émettrice. Les certificats signés par une autorité de certification émettrice ont une validité d’un an et ne sont reconnus par les navigateurs que s’ils sont enchaînés à leurs intermédiaires et racines respectifs.

En ce qui concerne la confiance, les autorités de certification sont divisées en deux branches principales : les autorités de certification publiques et les autorités de certification privées.

Quelle est la différence entre une autorité de certification publique et une autorité de certification privée ?

Une autorité de certification publique est une autorité de certification de confiance contrôlée par une organisation tierce, généralement pour délivrer des certificats SSL au grand public. Toutes les autorités de certification commerciales et libres dont les certificats SSL sont reconnus par les navigateurs et les systèmes d’exploitation sont des autorités de certification publiques. Les AC publiques peuvent être classées en deux catégories : les AC commerciales et les AC à code source ouvert.

Les AC commerciales proposent des certificats numériques payants présentant le niveau de confiance et de sécurité le plus élevé. Ce sont les seules autorités de certification à fournir des certificats SSL Business Validation, Extended Validation et multi-domaines.

Les autorités de certification libres émettent des certificats SSL gratuits reconnus par les navigateurs et les systèmes d’exploitation. Ces autorités de certification ne peuvent valider que la propriété d’un domaine et conviennent aux sites web personnels, aux blogs ou aux portefeuilles en ligne qui ne traitent pas de transactions en ligne.

Une autorité de certification privée est une autorité de certification gérée par une seule organisation, généralement pour délivrer des certificats numériques à ses appareils et à ses employés. Les certificats SSL privés sont utilisés exclusivement sur les serveurs et machines internes.

Qu’est-ce que la liste des autorités de certification de confiance ?

Toutes les AC publiques sont des AC de confiance car leurs certificats racine sont déjà inclus dans les packs de pré-installation des navigateurs ou dans les magasins de racines. Vous trouverez ci-dessous une liste d’autorités de certification commerciales et libres auxquelles vous pouvez faire confiance.

Des autorités de certification commerciales de confiance

Digicert – une autorité de certification de premier plan opérant sur le marché SSL à haut niveau d’assurance. Les entreprises du Fortune 500 et 97 des 100 premières banques mondiales utilisent les services de DigiCert pour crypter leurs sites web et leurs appareils.

Sectigo (anciennement Comodo) – l’un des noms les plus connus de l’industrie SSL, offrant des certificats abordables pour tous les besoins. Plus de trois millions de clients utilisent les produits Sectigo dans le monde.

Thawte – l’autorité de certification la plus ancienne qui jouit d’une excellente réputation et propose des solutions de sécurité dans le segment SSL haut de gamme. Les certificats SSL de Thawte sont un indicateur fort de confiance et de fiabilité.

GeoTrust – une autre autorité de certification de premier plan qui dessert plus de 100 000 clients internationaux dans 150 pays. Les certificats GeoTrust offrent des garanties SSL élevées et des sceaux de site dynamiques qui renforcent la confiance des utilisateurs.

RapidSSL – une autorité de certification qui valide uniquement la propriété du domaine. C’est le choix idéal pour les petits sites web et les entreprises. RapidSSL utilise un processus d’émission entièrement automatisé qui délivre des certificats numériques de première qualité en cinq minutes seulement.

Des autorités de certification libres auxquelles vous pouvez faire confiance

Let’s Encrypt – la plus grande autorité de certification open-source proposant des certificats SSL gratuits de validation de domaine adaptés aux sites personnels, aux blogs et aux plates-formes d’information. Les certificats Let’s Encrypt sont assortis de limitations et peuvent ne pas être compatibles avec certains serveurs ou clients de messagerie.

Quelle est la meilleure autorité de certification ?

La meilleure autorité de certification est celle qui convient le mieux à votre budget et à votre projet. Une voiture bon marché et une voiture chère vous conduiront toutes deux d’un point A à un point B. Le même principe s’applique aux CA

Tous les certificats SSL suivent le même protocole cryptographique et offrent une puissance de cryptage identique. Ainsi, que vous utilisiez un certificat à sept dollars ou un certificat à prime, les navigateurs lui accorderont la même confiance. Les AC se différencient par leur image de marque, leur niveau de validation, leurs fonctions supplémentaires et leur segment de marché.

En 2023, la part de marché de SSL, selon les enquêtes de W3 Techs, se présente comme suit :

  • IdenTrust – 54,3
  • Groupe Digicert – 15,7
  • Sectigo – 14,3
  • Let’s Encrypt – 6.3
  • Groupe GoDaddy – 5,7
  • GlobalSign – 3,7
  • Certum – 0,7 %.

Vous vous demandez peut-être qui est IdenTrust et pourquoi nous n’en avons pas parlé jusqu’à présent. IdenTrust est une autorité de certification qui fournit des certificats numériques aux institutions financières, aux prestataires de soins de santé, aux agences gouvernementales et aux entreprises.

En 2015, IdenTrust a procédé à la signature croisée des certificats intermédiaires de Let‘s Encrypt, ce qui a permis à l’autorité de certification de Let’s Encrypt d’être reconnue par tous les principaux navigateurs.

Si l’on exclut les autorités de certification à code source ouvert et que l’on se concentre uniquement sur la part de marché des autorités de certification commerciales, Digicert et Sectigo sont les autorités de certification les plus populaires au monde.

Quelle est l’autorité de certification la moins chère ?

Sectigo (anciennement Comodo) est l’autorité de certification la moins chère du marché, avec des prix commençant à 7 dollars par an pour un certificat de validation de domaine d’entrée de gamme. Sectigo est synonyme de SSL abordable.

Ils ont même une gamme exclusive appelée Positive SSL qui propose des certificats économiques pour tous les besoins. Que vous ayez besoin de sécuriser le site web d’une petite entreprise ou un réseau multisite haut de gamme, Sectigo est la solution.

Quelle est la liste des autorités de certification non fiables ?

Vous pouvez trouver de nombreuses listes d’autorités de certification de confiance pour différents navigateurs et systèmes d’exploitation, mais qu’en est-il des autorités de certification non fiables ? Les autorités de certification non fiables n’existent plus et ne sont pertinentes que pour des études de cas et à des fins éducatives.

Il est pratiquement impossible pour une autorité de certification d’être compromise et de se remettre d’une violation importante de la sécurité. Nous présentons ci-dessous quelques exemples de ce qui se passe lorsque les autorités de certification sont confrontées à de graves incidents de sécurité.

Incident DigiNotar

Quinze ans après l’arrivée des premières autorités de certification sur le marché, les procédures de sécurité et de délivrance des certificats présentaient encore des lacunes importantes, exposées sans pitié par les cyber-attaquants. C’est en 2011 que le secteur a été le plus réveillé, lorsqu’un pirate inconnu a obtenu un accès administratif complet aux systèmes essentiels de l’ autorité de certification de DigiNotar.

L’autorité de certification néerlandaise a émis un certificat Wildcard erroné pour Google.com, compromettant ainsi plus de 300 000 utilisateurs iraniens de Gmail qui ont été victimes d’attaques de type “man-in-the-middle”. Tous les grands navigateurs se sont rapidement méfiés de DigiNotar, qui a déposé une demande de mise en faillite volontaire.

La fin de Symantec CA

Alors que DigiNotar était un poisson relativement petit sur le marché, ce qui est arrivé à Symantec quelques années plus tard a mis l’industrie de l’AC sous une pression et une surveillance accrues. En 2015, Google a découvert que Symantec avait délivré à dessein plus de 100 certificats de test pour 76 domaines différents sans l’autorisation des propriétaires de ces domaines.

Dans un premier temps, Google a demandé à Symantec d’appliquer de nouvelles mesures préventives et de se soumettre à un audit de sécurité réalisé par un tiers, mais par la suite, tous les principaux navigateurs se sont méfiés de Symantec en raison de ses agissements continus.

La débâcle de Symantec aurait pu mettre fin à l’écosystème SSL, car la plus grande autorité de certification de l’époque émettait un tiers de tous les certificats numériques sur le web. Alors que des millions de certificats sont concernés et que l’échéance de 2018 fixée par Google pour les certificats de confiance approche à grands pas, Symantec a accepté de vendre l’ensemble de son activité de certificats numériques à son principal concurrent, DigiCert.

En octobre 2018, DigiCert avait revalidé plus de 500 000 identités professionnelles et remplacé plus de 5 millions de certificats affectés.

Pouvez-vous créer votre propre autorité de certification ?

N’importe qui peut créer une autorité de certification et émettre des certificats auto-signés pour son organisation ou des serveurs personnalisés. Avec des outils tels que l’autorité de certification de Microsoft ou l’utilitaire OpenSSL, vous pouvez mettre en place une autorité de certification privée relativement rapidement. Voici les étapes générales de la création d’une AC :

  • Créer les répertoires et les fichiers de configuration de l’autorité de certification.
  • Générer la clé privée et le certificat racine.
  • Ajoutez le certificat racine en tant que certificat de confiance sur votre réseau.
  • Configurez Microsoft CA ou OpenSSL pour qu’il utilise la clé privée et le certificat du serveur pour signer les demandes de certificat.
  • Générer une demande de signature de certificat SSL (CSR).
  • Créez des certificats auto-signés pour vos besoins.

Bien entendu, les navigateurs et les applications ne feront pas confiance à votre autorité de certification privée, mais celle-ci pourrait être utile pour sécuriser les réseaux intranet et à des fins de test.

Réflexions finales

Les autorités de certification sont les gardiennes du cryptage des sites web. Grâce à une technologie avancée et à des directives strictes, ils gèrent et protègent le processus d’émission SSL afin que nous, les utilisateurs, puissions naviguer en toute sécurité et partager des données sensibles avec des magasins en ligne, des banques et des services d’abonnement.

Ce guide complet explique non seulement ce qu’est une autorité de certification, mais s’aventure aussi plus loin dans les différents types d’autorités de certification et leur utilité. Nous espérons que vous êtes maintenant mieux armé pour distinguer un AC public d’un AC privé et choisir celui qui répond le mieux à vos besoins.

Questions fréquemment posées

Les autorités de certification sont-elles gratuites ?

Les autorités de certification privées sont gratuites, mais leurs certificats sont auto-signés et ne conviennent pas à l’internet. Par ailleurs, les autorités de certification publiques peuvent être à la fois gratuites et commerciales. Les navigateurs et les systèmes d’exploitation font confiance à un certificat numérique gratuit ou commercial s’il est signé par une autorité de certification publique.

Copier le lien

Comment une autorité de certification vérifie-t-elle l’identité ?

En fonction du niveau de validation SSL, l’autorité de certification effectue une série de contrôles pour établir l’identité. Pour les certificats de validation de domaine, la vérification de la propriété du domaine est un processus automatisé qui exige du demandeur qu’il suive des étapes préétablies.

Si vous demandez le SSL Business ou Extended Validation, l’autorité de certification utilisera des bases de données publiques pour confirmer l’identité de votre entreprise. Si ce n’est pas le cas, l’AC vous demandera de fournir des documents supplémentaires.

Copier le lien

Comment choisir une autorité de certification ?

Assurez-vous que l’autorité de certification est digne de confiance et valide. Toutes les autorités de certification commerciales proposent des certificats numériques fiables assortis de garanties SSL dans le cas improbable d’une violation de données ou d’une émission frauduleuse. Ensuite, déterminez les besoins et le budget de votre site web avant de vous procurer un certificat numérique. Un outil comme l’Assistant SSL peut vous aider à choisir le certificat idéal pour votre projet.

Copier le lien

Economisez 10% sur les certificats SSL en commandant aujourd’hui!

Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10

Économisez 10% dès maintenant!
Rédigé par

Rédacteur de contenu expérimenté spécialisé dans les certificats SSL. Transformer des sujets complexes liés à la cybersécurité en un contenu clair et attrayant. Contribuer à l'amélioration de la sécurité numérique par des récits percutants.

Articles connexes
Qu’est-ce qu’un ensemble d’autorités de certification (CA Bundle) dans le cadre du protocole SSL et comment le créer ?
Certificats racine et intermédiaire – Quelle est la différence ?
Qu’est-ce qu’un dossier CAA et comment fonctionne-t-il ?
Qu’est-ce que la garantie d’un certificat SSL et comment fonctionne-t-elle ?
Les certificats auto-signés sont-ils sûrs ? Quels sont les risques ?