La différence entre les certificats racine et les certificats intermédiaires

SSL suit fondamentalement la mise en œuvre d'une paire de clés privée-publique. Les données du site sont cryptées à l'aide d'une clé privée, et seules les personnes possédant la bonne clé publique peuvent accéder au site. La clé publique est distribuée aux visiteurs sous la forme d'un fichier de certificat utilisé chaque fois qu'un utilisateur tente d'accéder à un site. 

Si le certificat du site n'est pas valide, cela signifie que le site n'a pas été correctement vérifié et qu'il représente une menace potentielle. Il existe différents niveaux de certification auxquels un site peut accéder, chacun avec des niveaux de confiance et des processus de validation différents. 

Les certificats sont délivrés par des autorités de certification compétentes, qui mènent leur propre enquête pour déterminer si le site qui demande un certificat SSL est authentique ou non. Chaque certificat a une date d'expiration, après laquelle il est considéré comme invalide et doit être renouvelé pour continuer à bénéficier des fonctions de protection de SSL . 

Comme vous pouvez le constater, SSL est un mécanisme qui permet aux utilisateurs de savoir si le site auquel ils se connectent a été correctement validé par une autorité de certification et s'il s'agit bien du site authentique auquel ils veulent accéder. Sans SSL, il n'y aura pas de cryptage et vous risquez également des violations de données et des vulnérabilités en matière de sécurité. 

On peut considérer les signatures numériques comme l'élément d'information numérique qui vérifie un fichier de certificat particulier. C'est un peu comme l'authentification de documents physiques par un notaire qualifié. Dans la chaîne de certificats SSL , chaque composant, qu'il s'agisse d'un certificat ou d'une clé publique, est signé par un certificat approprié. 

Lorsqu'ils sont chargés par un navigateur, les sites SSL reçoivent les certificats et la clé publique associés au site. Une fois reçus, l'application du navigateur vérifie l'authenticité du certificat à l'aide de la clé publique. Elle vérifiera la signature numérique du fichier de certificat et établira un lien avec le certificat qui l'a signé. Ce processus de vérification des signatures numériques se poursuit jusqu'à ce que le dernier certificat de la chaîne de certificats soit atteint. 

La clé publique ou le processus d'émission de certificats consiste en de nombreux services liés à la sécurité qui garantissent l'utilisation correcte des paires de clés publiques/privées. Une chaîne de certificats sera utilisée tout au long du processus et ne sera pas forcément accessible à l'utilisateur final. Cette chaîne de certificats est également appelée chaîne de confiance ou le chemin de certification.

Chaque chaîne de certificats comporte une liste de certificats, y compris le certificat final de l'utilisateur final et un ou plusieurs certificats d'autorité de certification, ainsi qu'un certificat auto-signé. Chaque certificat possède les propriétés suivantes :

• Coordonnées de l'émetteur du certificat. Cette valeur correspondra à l'objet du certificat suivant de la chaîne, à l'exception du dernier certificat de la chaîne. 
• Une clé secrète du certificat suivant dans la chaîne sera utilisée pour signer chaque certificat. Une fois encore, le dernier certificat de la chaîne n'a pas besoin de ce processus de signature par clé secrète. 
• Le dernier certificat d'une chaîne de certificats, comme indiqué précédemment, diffère des autres certificats. Il est appelé "ancre de confiance" et est toujours délivré par une entité digne de confiance, telle qu'une autorité de certification (AC) valide. Il est généralement appelé certificat de l'autorité de certification. Seule une autorité de certification vérifiée et jouissant d'une grande confiance peut émettre de tels certificats racine, car ils constituent l'ancre de confiance d'une chaîne de certificats.
  

Supposons qu'une chaîne de certificats ne puisse pas être reliée à un certificat racine valide. Dans ce cas, elle sera considérée comme non valide et l'application de l'utilisateur final ne considérera pas le site web correspondant comme provenant d'une source fiable.

La chaîne de certificats ou la chaîne de confiance définit le lien entre vos certificats SSL et l'autorité de certification de confiance. Pour qu'un certificat SSL soit considéré comme valide, il doit remonter à une autorité de certification valide. 

Lorsque vous enregistrez le certificat d'un nouveau site web auquel vous essayez de vous connecter, vous pouvez afficher le certificat pour plus de détails et obtenir la hiérarchie des certificats. Le premier certificat que vous possédez est le certificat racine, suivi des AC intermédiaires, puis le certificat final doit pointer vers une AC valide. 

Il s'agit d'un fichier de certificat numérique émis par l'autorité de certification et fourni avec tous les sites utilisant la protection SSL . Votre navigateur web téléchargera ce fichier et le stockera dans un magasin de confiance. Tous les certificats racine sont soigneusement gardés par les autorités de certification qui les émettent.

Ils viennent juste après le certificat racine dans la hiérarchie des certificats. Ils sont comme des branches des certificats racine qui agissent comme des intermédiaires entre les certificats racine et les certificats de serveur public. certificats de serveur délivrés au public. Il est courant de ne trouver qu'un seul certificat intermédiaire pour la plupart des chaîne de certificatsmais il est également possible de trouver plusieurs certificats intermédiaires.

Il s'agit du certificat délivré par l'autorité de certification au domaine qui doit mettre en œuvre le protocole SSL . 

Comme les chaînes de certificats sont utilisées pour valider le certificat de l'utilisateur final afin de vérifier qu'il provient bien d'une autorité de certification de confiance, chaque certificat d'une chaîne contient une signature numérique qui correspond au certificat suivant dans le lien, jusqu'au certificat de l'ancre de confiance. Atteindre le certificat de l'ancre de confiance signifie que le certificat de l'utilisateur final peut être approuvé car il peut être tracé jusqu'à une ancre de confiance émise par une autorité de certification appropriée. 

Comme vous pouvez le constater, le certificat racine est la partie la plus importante d'une chaîne de confiance, car c'est lui qui est utilisé pour valider le certificat de l'utilisateur final. A programme racine permet de gérer les certificats racine et leurs clés publiques sur l'appareil, dans un emplacement particulier appelé magasin racine.

L'emplacement et la mise en œuvre de ce magasin de racines peuvent varier en fonction du système d'exploitation de l'appareil ou de toute autre application tierce utilisée. Certains des programmes de racine les plus populaires sont fournis par :

• Microsoft
• Pomme
• Google
• Mozilla

Bien que la mise en œuvre effective puisse varier d'un programme racine à l'autre, ils suivent tous des lignes directrices et des règlements stricts définis par les exigences de base du forum CA/B. Certains programmes racine peuvent également imposer des restrictions supplémentaires pour valider les fichiers de certificat. Certains programmes racine peuvent également imposer des restrictions supplémentaires pour valider les fichiers de certificats.

Le certificat racine est la partie la plus critique du protocole SSL , car tout certificat signé avec sa clé privée sera facilement reconnu par tous les navigateurs. Il convient donc d'être très prudent et de s'assurer qu'une autorité de certification valide émet bien le certificat racine. C'est le certificat racine qui établit le facteur de confiance qui ajoute de la crédibilité à un site.

Une autorité de certification valide doit subir plusieurs vérifications et procédures de conformité pour être jugée suffisamment digne de confiance pour délivrer des certificats racine. C'est donc par le biais d'un certificat racine que l'ancre de confiance d'une autorité de certification est établie, ce qui est directement lié aux sites qui utilisent les certificats de sécurité signés fournis par l'autorité de certification. 

Bien que le certificat racine suffise à lui seul à mettre en œuvre la sécurité du site SSL , dans la pratique, la plupart des autorités de certification utilisent des certificats intermédiaires. Cela s'explique par les aspects pratiques liés à l'obtention des qualifications essentielles requises pour délivrer un certificat d'autorité de certification. 

Dans la plupart des cas, une autorité de certification commence par délivrer des certificats croisés. Ces certificats numériques sont délivrés par une autorité de certification qui établit un lien avec la clé publique d'un certificat racine délivré par une autre autorité de certification bien établie. 

Une autorité de certification débutante qui commence à peine ses activités peut ne pas avoir les qualifications nécessaires pour délivrer un certificat racine. Elle utilisera donc les services d'une autre autorité de certification bien établie et liera ses certificats à un certificat racine valide, formant ainsi la chaîne de confiance. Un seul certificat racine de confiance sera lié à plusieurs autres certificats intermédiaires avec des certificats croisés, permettant ainsi aux utilisateurs d'obtenir une chaîne de confiance valide pour leur mise en œuvre de SSL . 

Une fois que l'autorité de certification a obtenu la validation nécessaire et qu'elle est jugée digne de confiance pour émettre ses propres certificats racine, elle remplacera l'ancre de confiance par ses propres certificats racine. Et les racines correspondantes seront ajoutées au magasin de racines. 

Les certificats intermédiaires servent donc à combler le fossé entre une autorité de certification intermédiaire et un certificat racine de confiance. Ils sont utilisés pour permettre aux entreprises d'AC en pleine croissance de trouver leurs marques et d'aider à établir une base de consommateurs. Après une validation adéquate, elles émettront leurs propres certificats racine, complétant ainsi la chaîne de confiance sans l'aide d'une autre autorité de certification. 

Voici d'autres raisons pour lesquelles les certificats intermédiaires sont utilisés 

• Les certificats intermédiaires permettent de contrôler le nombre de certificats racine utilisés et d'atténuer les risques de sécurité et de fraude. Comme de plus en plus d'utilisateurs mettent en place des sites SSL , le nombre d AC racine augmentera également. Mais un trop grand nombre d'autorités de certification racine peut avoir de graves conséquences sur la sécurité, ce que les certificats intermédiaires visent à résoudre. Ils permettent aux autorités de certification racine de déléguer certaines de leurs responsabilités en matière d'émission de certificats à des autorités de certification intermédiaires, en fournissant des certificats intermédiaires qui se substitueront à un certificat racine.
• Les certificats intermédiaires peuvent être reproduits en grand nombre sans compromettre le cadre de sécurité et en aidant à établir la chaîne de confiance. 
• Ils contribuent à la mise en œuvre évolutive du réseau SSL . 

Presque toutes les AC de confiance utilisent des certificats intermédiaires, car ils ajoutent une couche de sécurité supplémentaire et permettent de gérer les incidents de sécurité avec élégance. En cas d'attaque de sécurité, seul le certificat intermédiaire doit être révoqué au lieu de révoquer le certificat racine et tous les certificats associés qu'il a été utilisé pour signer.

En révoquant uniquement le certificat intermédiaire en question, seul le groupe de certificats faisant partie de la même chaîne que le certificat intermédiaire sera affecté, ce qui minimisera le coût et l'impact de l'incident de sécurité.

Une ancre de confiance ou le certificat racine est un type spécial de certificat SSL au format X.509. Il peut exister seul ou être utilisé pour émettre d'autres certificats intermédiaires. Voici d'autres caractéristiques de l'autorité de certification racine qui la rendent spéciale. 

• La durée de vie d'une autorité de certification racine est beaucoup plus longue que celle d'un certificat ordinaire TLS/SSL . Elle peut atteindre 25 ans, alors que la durée de vie habituelle d'un certificat ordinaire est limitée à 1 ou 2 ans. 
• Chaque autorité de certification de confiance peut avoir plusieurs certificats racine, chacun différant par ses attributs, tels que la signature numérique utilisée. Les propriétés du certificat peuvent être consultées à partir des applications du magasin de racines. 
• C'est par le biais du certificat racine qu'une clé publique est signée et que d'autres certificats sont validés. Si un lien de la chaîne de certificats intermédiaires ne remonte pas à un certificat racine, il sera considéré comme invalide. 

Une AC autorisée à émettre des certificats racine doit respecter des règles strictes pour obtenir le statut qui lui permet d'émettre des certificats racine. Une AC racine doit se qualifier dans deux contextes spécifiques pour être autorisée à émettre des certificats racine.

Confiance sociale

• La confiance sociale fait référence aux divers audits, règles, réglementations et contrôles publics auxquels l'AC doit se soumettre pour être jugée digne de confiance. Elle peut également s'appliquer à la marque et à la perception de l'image de l'AC sur le marché.

Confiance technique

• La confiance technique fait référence à la solidité technique et à la sécurité de l'autorité de certification racine en ce qui concerne la mise en œuvre des certificats et les mesures de sécurité. Seule une autorité de certification techniquement forte sera en mesure d'obtenir la confiance sociale nécessaire pour fonctionner à long terme. 

Il est assez facile de déterminer si un certificat est racine ou intermédiaire et on peut le déduire directement en examinant les détails du magasin racine. Voici comment vous pouvez connaître les détails d'un certificat.  

Cliquez sur le certificat du magasin racine et ouvrez-le pour en voir les détails. 

Allez dans le chemin de vérification du certificat. Vous pourrez voir les différents niveaux du chemin de vérification du certificat. Vous pouvez également recueillir d'autres informations telles que l'autorité de certification qui a émis le certificat, l'autorité de certification à laquelle le certificat est délivré et la durée de vie du certificat. 

Voici les marqueurs qui indiquent qu'un certificat est un certificat racine. 

• Le chemin d'accès au certificat ne contient qu'un seul niveau. 
• Les valeurs "issued to" et "issued by" renvoient à la même autorité de certification. 
• Le certificat a une durée de validité de plus de deux ans. La validité d'un certificat racine peut généralement atteindre 25 ans, tandis que les AC intermédiaires n'ont qu'une ou deux années de validité. 

L'application Windows root store permet de différencier plus facilement les certificats en les classant dans différentes catégories. Vous trouverez les certificats racine dans la catégorie Autorités de certification racine de confiance et les certificats intermédiaires dans la catégorie Autorités de certification intermédiaires. 

Bien que l'implémentation de la racine chaînée soit la plus couramment utilisée, elle présente également certaines complications de mise en œuvre.

• L'installation d'une chaîne de racines peut s'avérer complexe, car les certificats intermédiaires doivent être chargés sur chaque serveur et application qui utilise un certificat de la chaîne. 
• Les racines chaînées dépendent fortement de l'ancre de confiance à laquelle elles sont enchaînées. Les certificats intermédiaires n'ont aucun contrôle sur le certificat racine. Si l'autorité de certification racine devait cesser ses activités, les autorités de certification intermédiaires qui en dépendent devraient également cesser leurs activités. 
• Une autre complication dans la mise en œuvre des certificats intermédiaires est la durée de vie des certificats. En général, les certificats racine ont une durée de vie comparativement beaucoup plus longue de 25 ans. Les certificats intermédiaires doivent toujours avoir une date d'expiration inférieure à celle de leur ancre de confiance. Cela peut ajouter à la complexité de l'installation, car si un certificat racine approche de sa date d'expiration, tous ses certificats intermédiaires doivent expirer avant cette date. 

Il ne fait aucun doute que la gestion des certificats et la compréhension de tous les aspects techniques qui y sont liés constituent un défi. Mais ce n'est plus le cas. Confiez à Keyfactor tous vos besoins en matière de certificats de sécurité, et détendez-vous ! Contactez-nous dès aujourd'hui pour en savoir plus.