Une autorité de certification (AC) est une entité de confiance qui émet des certificats numériques pour les sites Internet et d’autres entités. Elle valide pour cela le domaine du site concerné puis, en fonction des besoins, du propriétaire du site et d’autres facteurs, émet un certificat TLS/SSL comme gage de fiabilité sur différents navigateurs (Chrome, Safari, Firefox…). En vérifiant les sites Internet et toutes ces autres entités, les AC contribuent à faire du web un environnement plus sûr et à renforcer la confiance dans les communications et transactions en ligne.

Quel est le rôle des AC ?

Lorsque vous visitez un site web affichant la mention HTTPS, ou un petit cadenas à gauche de son URL, cela signifie que le site a été vérifié par une AC. À l’inverse, si le navigateur affiche « non sécurisé » au chargement de la page, alors vous savez que le site en question n’a pas été validé, ou que sa validation a expiré.

Pour pouvoir arborer la précieuse mention HTTPS ou le fameux cadenas, le site doit d’abord obtenir un certificat TLS/SSL auprès d’une autorité de certification. Celle-ci vérifie les informations du demandeur, comme l’identité du propriétaire du site, son nom, sa localisation, etc. Elle suit pour cela un processus strict, garantissant que toutes les AC appliquent les mêmes exigences de validation. C’est le CA/Browser Forum, consortium composé des plus grands navigateurs et AC du monde, qui définit les standards pour le chiffrement TLS et les certificats numériques.

Pourquoi les AC sont-elles indispensables ?

Les autorités de certification sont les garantes de la sécurité sur Internet. Sans elles, la navigation, nos achats ou nos transactions bancaires en ligne seraient beaucoup moins sûrs. Les informations saisies dans les formulaires seraient à la merci des hackers cherchant à intercepter les données transitant entre le navigateur et le serveur. En vérifiant l’identité des entreprises et des individus, les AC peuvent garantir que seuls les sites légitimes obtiennent un certificat TLS. Une mission partagée par plus d’une centaine d’autorités de certification à travers le monde.

Malgré ces précautions, les attaquants cherchent toujours à usurper les certificats pour tromper les internautes. Ces derniers doivent donc apprendre à reconnaître les signes de confiance, notamment les sceaux qui garantissent la fiabilité d’un site. Ils peuvent également vérifier l’identité du propriétaire du certificat (nom de l’entreprise, localisation, etc.). Ces informations sont affichées dans les certificats à haute assurance.

Les trois niveaux de validation des certificats TLS

Les AC peuvent émettre trois types de certificats TLS différents : les certificats DV (validation de domaine), OV (validation d’organisation) et EV (validation étendue), classés ici selon le niveau de validation auquel ils sont soumis, du moins élevé au plus élevé. Par rapport aux OV, les EV incluent des étapes de validation supplémentaires pour offrir un degré de confiance renforcé.

• DV – Pour obtenir un certificat DV, le demandeur doit prouver qu’il contrôle le domaine du site concerné. Ces certificats ne permettent pas de confirmer l’identité de l’entreprise. Leur utilisation n’est donc pas recommandée pour les sites commerciaux.
• OV – L’AC émet des certificats OV après avoir vérifié l’identité de l’entreprise au regard des registres du commerce tenus par les pouvoirs publics. Elle peut exiger pour cela des documents spécifiques et des coordonnées personnelles pour s’assurer de la légitimité des informations contenues dans les certificats OV. Il s’agit des certificats standards utilisés pour les sites de commerce ou grand public.
• EV – Les certificats EV offrent le plus haut niveau d’authentification pour la protection de votre marque et de vos utilisateurs. Ils sont employés par les plus grandes entreprises du monde, y compris par plus de la moitié des sites d’e-commerce, selon des études menées en 2019 par Comscore et Netcraft.

Découvrez dans cet article comment choisir le bon certificat pour votre site.

Les types de certificats émis par les AC

Les AC gèrent principalement les certificats TLS, mais elles peuvent émettre d’autres types de certificats :

• Certificats de signature de code – Ils permettent à l’éditeur ou au développeur de signer les versions logicielles pour en prouver l’authenticité.
• Certificats de sécurisation de la messagerie – Le protocole S/MIME empêche les altérations en protégeant les e-mails et en validant l’identité de leur expéditeur.
• Certificats de signature de documents – Ils donnent une valeur juridique aux signatures électroniques apposées sur des documents de différents formats (Adobe, Microsoft, etc.) pour garantir leur fiabilité et éviter tout risque d’altération.
• Certificats de sécurisation des appareils – Pour la sécurité des appareils IoT (Internet des objets).
• Certificats clients ou utilisateurs – Pour l’authentification des individus.

Comment obtenir un certificat auprès d’une AC ?

Pour obtenir un certificat auprès d’une autorité de certification comme DigiCert, vous devez remplir une requête CSR (Certificate Signing Request) et un bon de commande. Le processus est le même, quel que soit le type de certificat TLS que vous commandez. Néanmoins, comme mentionné plus haut, il vous faudra fournir des informations supplémentaires pour les certificats OV et EV. DigiCert procède à votre validation en moins de 24 heures. Vous obtenez donc votre certificat TLS en moins d’une journée.

N’oubliez pas que les certificats TLS/SSL publics sont valables pour un délai maximal de 398 jours et devront être renouvelés à l’issue de chaque période.

Choisir la bonne autorité de certification

Plusieurs facteurs entrent en ligne de compte dans le choix d’une AC : service client, image de marque, coûts, outils proposés, etc. Vous devez avant tout choisir une AC en qui vous avez confiance, car la sécurité de vos produits et services, mais aussi de vos utilisateurs finaux, dépendra de la technologie fournie par votre autorité de certification. Les AC de confiance se soumettent à des audits réguliers menés par des organismes indépendants. Elles suivent les recommandations du secteur et appliquent les bonnes pratiques pour sécuriser leur infrastructure. Bon nombre d’AC s’impliquent dans des groupes de travail et contribuent à développer les standards de certification. Véritables références dans leur domaine, elles vous fournissent toutes les ressources dont vous avez besoin et vous accompagnent à chaque étape du parcours. Vérifiez également si l’AC peut vous fournir un support 24 h/7 j personnalisé. Toutes ne le font pas. Enfin, certaines plateformes publient une liste des AC de confiance. N’hésitez pas à la consulter.

Découvrez dans cet article comment choisir la bonne autorité de certification.

Où se procurer des certificats TLS/SSL ?

Vous pouvez obtenir un certificat TLS/SSL auprès de n’importe quelle autorité de certification de confiance. DigiCert reste l’une des meilleures options dans ce domaine.

Avec plus de vingt ans d’expérience dans le secteur, DigiCert fait partie des plus grandes AC de la planète. Nous fournissons des solutions de confiance pour des millions d’utilisateurs et d’appareils dans le monde entier, et gérons à l’heure actuelle plus de 22 millions de certificats TLS. La majorité des entreprises du Fortune 500 et du Global 2000 nous font confiance. Nous prenons cette responsabilité très au sérieux, et avons mis en place plusieurs mesures pour garantir l’intégrité de nos certificats. Nous nous soumettons notamment à plus de 20 audits chaque année. Nous vous offrons également un service client cinq étoiles 24 h/7 j et innovons en permanence pour simplifier la gestion des certificats. DigiCert participe activement aux travaux du CA/B Forum. L’objectif : développer de nouveaux outils pour aider les entreprises à se conformer aux standards les plus stricts. En prime, DigiCert vous propose des certificats numériques pour tous vos besoins de sécurité.

Pour en savoir plus sur nos produits et services, rendez-vous sur www.digicert.com/fr ou cliquez ici pour acheter votre certificat TLS.

Découvrez dans notre eBookcomment la PKI s’inscrit dans la suite logique de vos initiatives TSL/SSL.