Redirecting you to
Article de blog janv. 09, 2024

Qu'est-ce que la chaîne de confiance des certificats SSL ?

La chaîne de confiance SSL garantit la sécurité en ligne en reliant un certificat d’entité finale à un CA racine de confiance via des certificats intermédiaires. Cette structure hiérarchique permet aux navigateurs de vérifier l'identité des sites Web et de sécuriser les communications chiffrées. Elle protège contre les certificats expirés ou frauduleux, évitant les violations de données et les attaques MITM.

Table des Matières

Qu'est-ce que la chaîne de certificats ?

Une chaîne de certificats permet d'établir la confiance dans l'identité d'une entité en ligne et de sécuriser les connexions sur l'internet. Dans cette chaîne, une série de certificats numériques suit un certificat d'entité finale (c'est-à-dire un certificat feuille), chacun étant signé par l'autorité de certification (AC) suivante dans la chaîne afin d'établir son authenticité. À la fin de la chaîne se trouve une ancre de confiance, la clé de vérification publique d'une autorité de certification réputée.

Quel est l'objectif du chaînage de certificats ?

Le chaînage de certificats est essentiel pour la cybersécurité. Il établit la confiance dans les communications numériques par le biais d'une structure hiérarchique et permet aux utilisateurs d'interagir avec des entités en ligne en toute confiance. L'authentification empêche les acteurs malveillants de se faire passer pour des sites web légitimes (par exemple, dans le cadre d'une attaque par hameçonnage), tandis que le cryptage garantit la sécurité de la transmission des données.

La confiance établie par la chaîne de certificats empêche les criminels d'intercepter des informations sécurisées, ce qui peut entraîner des violations de données et des vols. La chaîne de certificats permet également d'arrêter les attaques de type « man-in-the-middle » (MITM) en empêchant les pirates d'utiliser des certificats expirés, révoqués ou frauduleux.

Une chaîne de certificats permet aux utilisateurs d'établir la confiance avec une entité en ligne dans le cadre de diverses transactions numériques, par exemple pour partager des données personnelles, saisir des identifiants de connexion ou des informations de paiement. Elle est également essentielle pour permettre aux entreprises de se conformer à diverses réglementations sur la confidentialité des données et normes de sécurité, telles que la loi HIPAA (Health Insurance Portability and Accountability Act), la norme PCI DSS (Payment Card Industry Data Security Standard) et le règlement général sur la protection des données (RGPD).

Composants d'une chaîne de certificats

La structure hiérarchique de la chaîne de certificats crée un modèle dans lequel la confiance va du sommet (c'est-à-dire le certificat racine) à la base (c'est-à-dire le certificat feuille).

  • Certificat racine: Une autorité de certification de confiance située au sommet de la hiérarchie des certificats émet et signe elle-même un certificat racine qui sert d'ancre de confiance pour établir la crédibilité de tous les certificats des autorités de certification associées.
  • Certificat intermédiaire : Un ou plusieurs certificats intermédiaires se situent entre le certificat racine et le certificat feuille dans une chaîne de confiance, chacun étant émis par une autorité de certification intermédiaire certifiée par une autorité de certification racine.
  • Certificat de feuille : Ce certificat d'entité finale authentifie une entité individuelle telle qu'un utilisateur, un appareil ou un serveur. Il hérite de la confiance des certificats de niveau supérieur de la chaîne, vérifiée par des signatures numériques.

Les autorités de certification racine sont le fondement de la confiance dans la PKI, où la confiance dans le certificat racine est héritée par l'ensemble de la chaîne. Tant que chaque certificat de la chaîne est valide, qu'il est signé correctement et qu'il est possible de remonter jusqu'à une racine de confiance, le certificat feuille est considéré comme digne de confiance. Si la clé privée d'une ancre de confiance est compromise, la racine doit être immédiatement exclue des logiciels qui la supportent. Une nouvelle racine est nécessaire pour permettre la réémission de tous les certificats intermédiaires et de feuilles émis à partir de cette racine.

Bien qu'un certificat racine puisse théoriquement signer un certificat feuille, cette pratique n'est pas autorisée dans les ICP publiques. Même si aucun obstacle technique n'empêche un certificat racine de signer un certificat feuille dans une PKI privée, l'utilisation de certificats intermédiaires est considérée comme une bonne pratique. De cette manière, si un certificat intermédiaire est compromis, l'impact est limité aux certificats émis sous ce certificat, sans affecter le certificat racine ou d'autres certificats intermédiaires.

Comment fonctionne une chaîne de certificats ?

Prenons l'exemple d'une chaîne de certificats SSL / TLS. Le propriétaire d'un site web souhaite sécuriser son serveur à l'aide d'un certificat SSL. Tout d'abord, il détermine le type de certificat SSL/TLS dont il a besoin et en obtient un auprès d'une autorité de certification publique. Après avoir reçu le certificat de feuille, le propriétaire l'installe sur le serveur web. Lorsqu'un utilisateur se connecte au site web, le navigateur effectue une vérification de confiance :

  • Le navigateur vérifie si l'autorité de certification racine est présente dans sa liste de confiance préinstallée. S'il trouve le certificat racine, il procède à la vérification du certificat intermédiaire. Dans le cas contraire, il n'établira pas de connexion.
  • Le navigateur vérifie la signature numérique du certificat intermédiaire à l'aide de la clé publique du certificat racine. Si la signature est valide, il fait confiance au certificat.
  • Une chaîne de certificats peut contenir un ou plusieurs certificats intermédiaires, chacun bénéficiant de la confiance de l'autorité de certification qui lui est supérieure. Le client vérifie chaque certificat de la chaîne, confirmant que le nom de l'objet d'un certificat correspond au nom de l'émetteur du certificat suivant.
  • Le navigateur vérifie ensuite la signature numérique du certificat du serveur à l'aide de la clé publique du certificat intermédiaire. Il établira une connexion sécurisée pour l'échange de données chiffrées si la signature est valide. Il refusera de se connecter s'il ne peut vérifier aucun certificat le long du chemin.

Maintenir la confiance avec une chaîne de certificats

Vous n'avez pas à gérer les certificats intermédiaires et racine lorsque vous obtenez un certificat feuille dans une PKI publique. La chaîne de confiance de l'autorité de certification publique a été établie lorsqu'elle a été mise en place et vérifiée pour émettre le type de certificat feuille que vous achetez. Voici comment sélectionner une autorité de certification digne de confiance :

  • Recherchez une autorité de certification qui utilise des certificats racine de confiance dans sa chaîne de confiance.
  • Achetez auprès d'une autorité de certification qui publie des rapports d'audit et se conforme aux normes industrielles telles que WebTrust ou ETSI.
  • Vérifiez si l'autorité de certification appose une signature croisée sur ses certificats avec d'autres autorités de certification bien connues.
  • Examinez l'historique et la stabilité de l'autorité de certification et choisissez-en une qui offre depuis longtemps des services fiables.
  • Recherchez une autorité de certification qui propose l'ensemble des types de certificats que vous prévoyez d'utiliser, y compris les certificats SSL, S/MIME, de signature de code, de signature de document et eIDAS.
  • En outre, la gestion du cycle de vie de tous les certificats de feuilles dans votre infrastructure est essentielle pour assurer une sécurité continue et prévenir les interruptions, les brèches ou les perturbations de service. Cependant, les processus manuels ne sont plus suffisants pour gérer le grand nombre de certificats que les entreprises d'aujourd'hui doivent gérer. Pour s'assurer que rien ne passe à travers les mailles du filet, vous avez besoin d'une vue d'ensemble de votre inventaire et d'automatiser le processus de gestion du cycle de vie des certificats.

Sectigo Certificate Manager (SCM) est une plateforme indépendante des autorités de certification qui vous permet de gérer tous vos certificats numériques privés et publics en un seul endroit. Apprenez-en plus et essayez SCM dès aujourd'hui pour voir comment nous pouvons vous aider à rationaliser la gestion des certificats.

Envie d'en savoir plus ? Contactez nous pour réserver une démo de Sectigo Certificate Manager !