Une autorité de certification s’agit d’un tiers de confiance qui se situe à la base de la chaîne de certificats électroniques. En fait, c’est cette entité qui délivre et gère des certificats numériques utilisés. Le but étant de sécuriser tous les échanges dématérialisés et de garantir l’identité des émetteurs. Avez-vous déjà demandé un certificat numérique ou envisagez-vous de le faire ? Vous avez certainement entendu parler de cette entité, mais à quoi sert-elle exactement ? Comment fonctionne-t-elle ? Les lignes suivantes vous livreront les réponses.
À quoi sert une autorité de certification ?
En principe, une Autorité de Certification délivre les certificats électroniques. Ces derniers qui couvrent notamment trois usages principaux, à savoir :
- L’authentification
- La signature
- Le chiffrement
Parmi ces certificats, vous retrouverez les certificats SSL. Ce type de certificats assure la sécurité et l’intégrité des informations échangées entre un navigateur et un site web par le biais d’une clé cryptographique qui permet d’activer une session sécurisée, protocole HTTPS : certificats de chiffrement. Les autres certificats s’utilisent pour valider l’identité des émetteurs dans le cadre d’une procédure d’authentification, ce sont les certificats d’authentification. Tandis que d’autres enfin sont pour signer un document, un fichier et pour en garantir l’intégrité : des certificats de signature.
Dans tous les cas, une autorité de certification valide l’identité du demandeur et se porte garante de cette identité par le biais de l’émission d’un certificat électronique. Une fois apposée, la signature électronique garantit ainsi que la clé publique appartient bien au demandeur qui l’a générée.
C’est l’autorité de certification s’occupe de gérer le cycle de vie des certificats, qu’il s’agisse de les renouveler ou de les révoquer.
Quelles vérifications à effectuer avant d’émettre un certificat ?
D’une manière générale, tout dépend de la nature du certificat électronique demandé. En effet, les vérifications faites par l’autorité de certification doivent correspondre au niveau de protection souhaité. Cependant, le simple fait d’être possesseur du nom de domaine du certificat demandé suffit pour obtenir un certificat à validation de domaine. En revanche, pour un certificat à validation d’organisation ou à validation étendue, les vérifications sont plus poussées.
Une fois le certificat délivré, le navigateur web se chargera de s’assurer que l’autorité de certification existe bien dans sa banque de certificats racines et que les données renseignées sont exactes.
Une autorité de certification : comment ça marche ?
Tout d’abord, il faut noter qu’une autorité de certification peut être une société privée ou une entité gouvernementale. Dans un cas comme dans l’autre, elle est ainsi composée de quelques éléments opérationnels, comme :
- Personnel
- Matériel de sécurité
- Équipements
- Logiciels
- Réglementations
- Rapports d’audit
- Déclarations relatives aux pratiques de sécurité
Cette entité travaille également avec :
- Une autorité de dépôt : ayant pour mission de centraliser, stocker et archiver les certificats qu’ils soient valides, expirés ou même révoqués.
- Une autorité d’enregistrement qui sert d’interface entre l’autorité de certification et l’utilisateur. Pour tout dire, c’est elle qui s’assure du respect des exigences liées à l’émission et à l’usage d’un certificat électronique.
- Une autorité de séquestre qui garantit le stockage sécurisé des clés de chiffrement en cas d’incident.
- L’utilisateur du certificat
En fait, toutes ces entités forment une infrastructure de clé publique de confiance ou une infrastructure de gestion de clé, en charge de délivrer des certificats électroniques.