Definition

Autorité de certification

Une autorité de certification (CA, Certificate Authority) est une entité de confiance qui émet des certificats numériques, à savoir des fichiers de données servant à relier cryptographiquement une entité à une clé publique.

Essentielles à l'infrastructure à clé publique (PKI, Public Key Infrastructure), les autorités de certification émettent les certificats SSL (Secure Sockets Layer) que les navigateurs utilisent pour authentifier le contenu en provenance de serveurs Web.

Tous les grands navigateurs utilisent les certificats SSL pour entretenir la confiance dans les contenus fournis en ligne ; tous doivent se fier aux autorités de certification et à leur émission de certificats. Combinés au protocole TLS (Transport Layer Security), les certificats SSL servent à chiffrer et à authentifier les flux de données pour le protocole HTTPS. On les appelle parfois certificats SSL/TLS ou, tout simplement, certificats TLS.

Les certificats numériques incluent des données sur l'entité émettrice du certificat ainsi que des données de chiffrement servant à vérifier l'identité de l'entité liée au certificat numérique. Habituellement, ils contiennent des renseignements sur l'entité pour laquelle ils ont été créés, notamment sa clé publique et la date d'expiration du certificat, le nom de l'entité, les coordonnées du point de contact et d'autres informations sur l'entité certifiée.

Les serveurs Web transmettent ces informations quand un navigateur lance une connexion sécurisée par HTTPS ; le certificat est envoyé au navigateur qui authentifie le certificat sur la base de son propre magasin de certificats racine. Les principaux éditeurs de navigateurs, Microsoft, Google, Apple et Mozilla, tiennent chacun à jour leur magasin de certificats racine des autorités de certification qu'ils considèrent comme fiables dans leur navigateur.

Une entité ou une personne qui a besoin d'un certificat numérique peut en faire la demande à une autorité de certification ; après vérification de son identité, l’autorité créera un certificat numérique pour ce demandeur et le signera numériquement avec sa clé privée. Le certificat numérique pourra ensuite être authentifié (par exemple, par un navigateur) à l'aide de la clé publique de l'autorité de certification.

Les certificats numériques ne doivent jamais être signés directement avec le certificat racine de l'autorité de certification ; en effet ce dernier sert à générer des certificats intermédiaires selon les besoins, différents certificats servant à des fins différentes. Par exemple, une autorité de certification peut utiliser un certificat intermédiaire pour signer tous les certificats numériques de différents niveaux de confiance, ou un certificat intermédiaire distinct pour tous les certificats numériques d'une organisation cliente précise.

Les autorités de certification peuvent accepter directement les requêtes des demandeurs mais elles délèguent souvent la tâche d'authentification des demandeurs aux autorités d'inscription (RA, Registration Authority). Une autorité d'inscription sert souvent à des fins de commercialisation et d'assistance : elle collecte et authentifie les demandes de certificats numériques, puis les envoie à l'autorité de certification qui émet alors le certificat à communiquer au demandeur.

Utilisations d'une autorité de certification

L'usage le plus connu des autorités de certification est l'émission de certificats SSL pour les entités qui publient du contenu sur Internet. Les autorités de certification émettent des certificats SSL à trois niveaux selon le niveau de confiance de ces certificats. Les certificats au plus haut degré de confiance coûtent plus chers car l'autorité doit fournir davantage de travail.

Les trois certificats de différents niveaux de confiance sont :

  1. Les certificats de validation étendue (EV, Extended Validation) qui donnent l'assurance la plus forte que l'autorité de certification a validé l'entité demandeuse du certificat. L'organisme CA/Browser Forum (Certification Authority Browser Forum) établit les règles précises de la vérification par les autorités de certification des informations fournies par le demandeur d'une certification de validation étendue. Par exemple, une personne qui demande un tel certificat doit faire l'objet d'une validation de visu. La procédure comprend aussi l'examen de la lettre de motivation, d'une preuve d'identité principale comme un passeport ou un permis de conduire, et de deux preuves d'identité secondaires.
  2. Les certificats d'organisation validée (OV, Organization Validated) constituent le niveau de confiance juste en dessous du précédent. Les autorités de certification effectuent généralement un certain niveau de contrôle des demandeurs, qui peut inclure une vérification par téléphone et le recours à des tiers ou autres entités pour valider les renseignements fournis par le demandeur. Les certificats OV peuvent être émis si le demandeur prouve qu'il détient le contrôle administratif du nom de domaine pour lequel le certificat est demandé et que l'organisation a une existence légale.
  3. Les certificats de domaine validé (DV, Domain Validated) ne requièrent que la preuve que le demandeur est propriétaire du site pour lequel il fait la demande. Les certificats DV s'obtiennent quasiment immédiatement et à bas coût, voire gratuitement. Par exemple, Let's Encrypt est un service gratuit utilisable pour obtenir des certificats SSL sans frais.

En plus des certificats SSL liés à des noms de domaines et émis à des fins d'authentification et de chiffrement des données échangées avec les sites Web, les autorités de certification émettent d'autres types de certificats numériques à d'autres fins :

  • Les certificats de signature de code servent aux éditeurs de logiciels et aux développeurs à signer leurs distributions logicielles. Les utilisateurs finaux peuvent ensuite s'y référer pour authentifier leurs téléchargements logiciels et confirmer qu'ils proviennent de l'éditeur ou du développeur.
  • Les certificats d'e-mail permettent aux entités de signer, chiffrer et authentifier les e-mails à l'aide du protocole S/MIME (Secure Multipurpose Internet Mail Extension) pour les pièces jointes électroniques sécurisées.
  • Les certificats de périphériques peuvent être émis pour des appareils IoT afin de permettre l'administration et l'authentification des mises à jour du logiciel ou du microprogramme.
  • Les certificats d'objet servent à signer et authentifier n'importe quel type d'objet logiciel.
  • Les certificats clients ou utilisateurs sont utilisés par des personnes à différentes fins d'authentification. On les appelle parfois certificats de vérification de signature.

Depuis quelques années, les autorités de certification ne se contentent plus d'émettre des certificats SSL pour les domaines Web et ont élargi leur offre de services de certification.

Fonctionnement d'une autorité de certification

Si rien n'interdit techniquement à une personne ou une organisation de créer sa propre autorité de certification, les autorités jouissant de la confiance générale participent habituellement au CA/Browser Forum, également appelé CA/B Forum, qui est l'organisme sectoriel régissant le fonctionnement des autorités de certification dans les navigateurs. La plupart des membres du forum sont des autorités de certification ou des éditeurs de navigateurs, mais on y trouve aussi des associations de consommateurs.

Le CA/Browser Forum émet des recommandations sur tous les aspects de création, de diffusion et d'utilisation des certificats numériques sur Internet, notamment des règles sur l'expiration et la révocation des certificats.

Les activités d'une autorité de certification commencent avec le certificat racine, qui sera la base de la confiance pour tous les certificats émis par cette autorité. Le certificat racine, ainsi que la clé privée qui lui est associée, jouit généralement du plus haut degré de sécurité : il est habituellement stocké hors ligne dans un lieu protégé, parfois sur un appareil hors tension en dehors des périodes où le certificat doit être accessible.

L'autorité de certification utilisera le certificat racine pour créer des certificats intermédiaires, qui sont eux utilisés pour signer les certificats numériques émis par l'autorité. Le grand public peut ainsi se fier aux certificats émis alors que le certificat racine reste en sécurité quand un certificat intermédiaire arrive à expiration ou est révoqué.

Les certificats intermédiaires servent aussi à l'émission de certificats numériques par les autorités d'inscription, auxquelles une autorité de certification peut déléguer une partie ou toutes les obligations d'authentification de l'identité du domaine ou de l'organisation de l'entité demandeuse. Selon les règles du CA/Browser Forum, l'autorité de certification doit exiger contractuellement de l'autorité d'inscription qu'elle respecte les règles du CA/Browser Forum et qu'elle le documente. De plus, l'autorité de certification doit restreindre l'autorité d'inscription à l'inscription de certificats au sein de l'espace de noms de domaine qui a été affecté à cette RA (Registration Authorithy).

Le manquement à son obligation de contrôle de ses autorités d'inscription est l’un des griefs qui a été reproché à l’activité d'autorité de certification de Symantec qui, au bout du compte, a fini par se défaire de sa responsabilité dans cette activité au bénéfice de DigiCert en 2017.

Les autorités de certification sont également soumises à de nombreuses règles d'audits opérationnels et les infractions peuvent entraîner d'autres obligations d'audit et d'autres conséquences susceptibles de diminuer la confiance en leurs activités. Avant le désinvestissement de Symantec de ses activités d'autorité de certification, le CA/Browser Forum l’avait appelée à donner différentes suites, sans obtenir de réponse satisfaisante.

Cette définition a été mise à jour en novembre 2018

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)