Cet article a été traduit automatiquement.
Une autorité de certification peut vous aider à prouver que vous êtes propriétaire d'une entité numérique telle qu'un site web ou une adresse électronique. Ce même organisme peut émettre des clés cryptographiques utilisées pour protéger les informations contre les pirates informatiques et autres acteurs malveillants.
Certains utilisent l'autorité de certification pour la vérification humaine. Après avoir établi un partenariat avec une entreprise reconnue, ces personnes peuvent, par exemple, ouvrir un compte courant ou franchir des frontières sans avoir à remplir de lourdes formalités administratives.
Mais la plupart des personnes et des organisations utilisent une autorité de certification pour les aider à prouver la propriété numérique et à protéger les actifs critiques. Nous nous concentrerons ici sur ce cas d'usage.
Qu'est-ce qu'une autorité de certification ?
Comme son nom l'indique, une autorité de certification délivre un certificat aux personnes ou organisations autorisées. Vous ne connaissez peut-être pas explicitement ces entreprises, et si vous n'avez jamais créé de site web, vous ne les avez jamais contactées directement. Mais chaque fois que vous visitez un site web protégé, vous avez besoin de l'aide de l'autorité de certification.
Une autorité de certification fournit deux choses :
- Certificat numérique : Ces petits fichiers de données contiennent des identités identifiantes.
- Les clés cryptographiques : Ces éléments de données permettent de crypter et de protéger les données en transit.
Voyons cela de plus près.
Une autorité de certification est un organisme de confiance qui certifie la propriété. Une fois ce processus achevé (nous y reviendrons dans une minute), l'entreprise délivre un certificat officiel signé par sa clé cryptographique. Chaque fois que votre navigateur veut s'assurer que vous visitez un site dont quelqu'un s'est porté garant, il peut rechercher cette clé comme preuve. Si votre navigateur détermine que le site est sécurisé, les deux parties échangent des clés cryptographiques pour le cryptage et le décryptage des données.
Si votre site web ne se connecte pas à une autorité de certification, vos visiteurs verront apparaître une boîte de dialogue qui les informera du problème. En général, ces avertissements indiquent à l'utilisateur que les sites qu'il souhaite visiter ne sont pas dignes de confiance. Les visiteurs peuvent passer outre ces avertissements et visiter le site malgré tout. Mais certains ne prendront pas le risque.
Comment fonctionnent les autorités de certification ?
La mise en relation avec des sociétés d'autorité de certification peut rassurer les visiteurs sur la sécurité et la fiabilité de votre site. Il est relativement facile de commencer à utiliser l'informatique.
Une fois que vous avez choisi le bon partenaire de certification, vous devez suivre les étapes suivantes :
Validation : Certaines entreprises utilisent le courrier électronique pour vérifier l'identité. Les adresses indiquées comme contact administratif doivent répondre à une note pour lancer le processus. D'autres entreprises vont plus loin pour s'assurer qu'une source fiable soutient réellement le site.
Génération : Vous allez générer un ensemble de clés cryptographiques, l'une publique et l'autre privée. Vous devez également remplir un formulaire de demande de signature de certificat. Vous enverrez toutes ces pièces à votre entreprise partenaire.
Vérification : L'entreprise vérifie vos documents et vos clés. Si tout est en ordre, l'entreprise utilisera une clé publique cryptographique pour signer votre certificat. Vous recevrez en retour une clé privée d'émission et votre certificat signé.
Stocké : Vous placerez votre certificat et les clés appropriées sur votre site web.
Les vulnérabilités sont présentes ici. Si vous travaillez avec une entreprise qui propose des processus de validation minimaux, il est assez facile pour un pirate informatique de passer à travers les mailles du filet. Vos visiteurs ne seront pas aussi en sécurité qu'ils le croient.
Toute personne qui héberge un site web devrait s'intéresser à la certification. Après tout, Google veut du chiffrement sur tous les sites web, et l'entreprise peut pénaliser ceux qui ne s'y conforment pas. Sans certificat, Google risque de dévaloriser votre site dans les recherches.
Qui sont les autorités de certification ?
Les autorités de certification jouent un rôle essentiel dans le monde moderne connecté, mais elles sont peu nombreuses.
Selon les chercheurs, sept sociétés seulement traitent la plupart des demandes de certification. Il s'agit de
DigiCert
Sectigo
GoDaddy
GlobalSign
Confier
Trustwave
Solutions de réseau
Toutes les entreprises que nous avons répertoriées ici acceptent de se conformer aux organisations de surveillance du secteur, telles que l'autorité de certification Security Council, le Common Computing Security Standard Forum et d'autres. Méfiez-vous de tout groupe non affilié qui tente de vous vendre un certificat. Vous pourriez avoir affaire à un imposteur.
Nous avons parlé un peu des clés cryptographiques dans cet article de blog. Si vous n'êtes pas sûr de la signification de ce terme ou du fonctionnement des clés, nous avons écrit sur le chiffrement des clés publiques ici, et nous vous encourageons à y jeter un coup d'œil.
Références
Les dangers du certificat numérique et comment les combattre. (août 2013). Planète eSecurity.
Conseil de sécurité (ST05-010). (novembre 2019), Agence pour la cybersécurité et la sécurité des infrastructures.
Chiffrement HTTPS sur le web. Google.
Le marché mondial de l'autorité de certification TLS. (2019). Frost et Sullivan.
