Que sont les certificats racines et pourquoi sont-ils importants ?

Rubriques connexes

Vous voulez continuer à apprendre?

Abonnez-vous à la newsletter SSL.com, restez informé et en sécurité.

Les certificats racines sont l'un des piliers de la sécurité Internet. Ils constituent la base de la validation de l'identité des sites Web via SSL/TLS certificats, fourniture de signatures numériques et bien plus encore. Mais comment fonctionnent-ils exactement et pourquoi sont-ils si importants ? Cet article vous expliquera tout ce que vous devez savoir sur les certificats racines.

Qu'est-ce qu'un certificat racine ?

Un certificat racine est un certificat numérique spécial émis et signé numériquement par une autorité de certification (CA) telle que SSL.com. Il représente le niveau de confiance le plus élevé dans une hiérarchie de certificats. Les certificats racines sont parfois appelés ancres de confiance car ils constituent la source ultime de vérification des certificats émis.

Lorsqu'une autorité de certification émet un certificat pour une entité telle qu'un site Web, il doit être validé en le remontant jusqu'à une racine de confiance. Le certificat racine contient la clé publique nécessaire pour vérifier cette chaîne de confiance. Les certificats racines sont généralement auto-signés, ce qui signifie que leur signature est générée avec la clé privée du certificat.

Tous les principaux navigateurs Web et systèmes d'exploitation sont livrés avec un ensemble préinstallé de certificats racines de confiance provenant des principales autorités de certification. Cela leur permet de vérifier automatiquement les certificats SSL/TLS certificats utilisés pour sécuriser et identifier les serveurs Web, après quoi le navigateur affiche que le certificat est approuvé et que le serveur Web est sécurisé. De même, Adobe conserve un magasin de racines approuvées pour les signatures numériques et Microsoft conserve un magasin de racines approuvées pour les signatures de code.

Hiérarchie de confiance

Les autorités de certification racines se situent au sommet d'une hiérarchie de certification qui se résume à des certificats intermédiaires et à des certificats d'entité finale :

  • Les certificats racine tels que celui de SSL.com (auto-signé) représentent une confiance ultime.
  • Certificats intermédiaires – signés par l’autorité de certification racine.
  • Certificats d'entité finale – délivrés aux utilisateurs et aux serveurs, signés par des intermédiaires

En séparant les tâches, les autorités de certification intermédiaires, également appelées « autorités de certification émettrices », peuvent émettre des certificats quotidiennement sans accéder aux clés racines hautement protégées. Les clés racines peuvent être conservées hors ligne et ne sont utilisées qu'occasionnellement pour générer des autorités de certification intermédiaires et d'autres certificats spécialisés, comme l'horodatage ou les listes de révocation de certificats.

Lorsqu'une autorité intermédiaire émet un certificat numérique, celui-ci contient la signature de l'autorité de certification émettrice et une chaîne de certificats reliant la racine. Cette chaîne est suivie pour vérifier le certificat final.

Importance et fonction des certificats racines

Les certificats racines remplissent plusieurs fonctions cruciales :

  1. Ancre de confiance – Il s’agit de l’ancre de confiance qui établit une chaîne de confiance. Tous les certificats émis par PKI peut être validé en remontant jusqu'à la racine.
  2. Navigation Web sécurisée – Permet des connexions HTTPS sécurisées. Les navigateurs vérifient les certificats des sites Web en les reliant à une racine de confiance.
  3. Vérifier le logiciel – Utilisé pour authentifier les logiciels signés numériquement comme les mises à jour du système d'exploitation, les applications, les utilitaires, etc. Les signatures sont vérifiées par rapport à la racine.
  4. Crypter la communication – Permet un transfert sécurisé des e-mails et des données en activant le cryptage associé à la signature de la racine.
  5. Sans certificats racines, il n'existerait pas de mécanisme centralisé permettant d'établir la confiance entre les certificats et les clés publiques. Ils constituent la source de confiance faisant autorité sur laquelle repose la cryptographie à clé publique.

Principales autorités de certification racine

Il existe environ 60 autorités qui gèrent des programmes de certificats racines de confiance publique. SSL.com, en est un exemple majeur, agissant en tant qu'autorité de certification racine. Nous utilisons des procédures de validation approfondies avant de délivrer des certificats d'autorité de certification intermédiaires aux propriétaires de domaines qui ont besoin de certificats SSL. Nos clés racines sont protégées par du matériel et des logiciels dans des installations sécurisées.

Les grandes entreprises comme Microsoft, Apple, Mozilla et Oracle décident des autorités de certification racine auxquelles elles font confiance par défaut dans leurs logiciels. De même, Adobe dispose d'un magasin de confiance de racines approuvées pour émettre des certificats de signature de documents dont les signatures sont reconnues comme valides par les lecteurs Adobe. En plus de son logiciel de navigation, Microsoft maintient également un magasin de confiance de racines dont les certificats de signature de code sont approuvés. Une autorité de certification comme SSL.com doit répondre à des exigences strictes pour devenir une autorité de certification publiquement approuvée intégrée dans les magasins de racines. En agissant en tant qu'autorité de certification racine, nous pouvons émettre des certificats approuvés sans dépendre d'une autorité racine externe. Notre certificat racine sert d'ancre de confiance pour notre hiérarchie.

Sécurisez votre infrastructure numérique avec Custom PKI Solutions
Pour les cas d'utilisation nécessitant une personnalisation PKI ou des intégrations de cycle de vie de certificat, contactez notre équipe de solutions clients pour discuter des exigences.

Navigateurs et certificats racines

Les navigateurs Web sont livrés préchargés avec un magasin de certificats de confiance contenant plus de 100 certificats racines de confiance provenant des principales autorités de certification. Cela leur permet de valider les certificats SSL/TLS les certificats utilisés pour les sites Web HTTPS de manière transparente.

Lorsque vous visitez un site Web sécurisé avec SSL/TLS, le navigateur va :

  1. Recevez le certificat du site Web et la chaîne de certificats intermédiaires.
  2. Validez la chaîne de confiance jusqu’à un certificat racine de confiance intégré.
  3. Vérifiez que le nom de domaine correspond au certificat du site Web.
  4. Affichez l'icône de verrouillage sécurisé et autorisez une connexion cryptée.

Il avertira l'utilisateur si le navigateur rencontre un certificat non valide, une racine non fiable ou une incompatibilité de nom de domaine.

Les navigateurs disposent également d'outils de gestion des certificats permettant d'afficher les autorités de certification racines et de prendre des décisions de confiance. Chrome, Firefox, Edge et Safari permettent aux utilisateurs d'afficher, d'exporter ou de désactiver les certificats racines.

Installation et gestion des certificats racines

Bien que les systèmes d'exploitation et les navigateurs soient livrés avec des racines préinstallées, vous devrez peut-être installer des certificats racines supplémentaires dans certains cas :

  • Pour faire confiance à la vie privée de votre entreprise PKI chaîne de certificats
  • Si vous utilisez une autorité de certification nouvelle ou inconnue
  • Lors du dépannage des erreurs de « certificat non approuvé »

Les certificats racines peuvent être installés globalement au niveau du système d'exploitation ou localement au niveau du navigateur ou de l'application. Sous Windows, le gestionnaire de certificats gère les racines de confiance. Sous Mac, les racines se trouvent dans le trousseau d'accès. Sous Linux, elles se trouvent sous /etc/ssl. SSL.com propose ses certificats racines et intermédiaires en téléchargement sur notre site Web.

Lors de l'installation d'une nouvelle racine, il est important de vérifier qu'elle est valide et qu'elle provient d'une source fiable. Une fois installées, les racines non valides ou compromises peuvent être supprimées ou ne plus être fiables. Cependant, la révocation de la confiance dans une racine publique majeure peut entraîner une panne généralisée des applications.

Expiration et renouvellement des certificats racines

Les certificats racines ont une durée de vie de 20 ans ou plus. Mais ils finissent toujours par expirer pour des raisons de sécurité. Lorsque les racines approchent de leur expiration, les autorités de certification doivent déployer de nouvelles racines et faire en sorte que les utilisateurs et les logiciels fassent confiance aux nouvelles clés.

Certains impacts des certificats racines expirés, anciens ou non fiables incluent :

  • Avertissements de certificats non valides dans les navigateurs
  • Des chaînes de certificats brisées provoquent des erreurs de connexion
  • Le logiciel ne parvient pas à valider les contrôles de signature

Les meilleures pratiques pour gérer l’expiration de la racine incluent :

  • Renouvellement des clés racines sur une longue période avec chevauchement
  • Utilisation de racines parallèles et de périodes de validité qui se chevauchent
  • Obtenir de nouvelles racines distribuées dans les mises à jour du logiciel client
  • Révoquer/supprimer les anciennes racines une fois la transition terminée

Une gestion appropriée du cycle de vie du certificat racine est essentielle pour éviter les interruptions dans la communication de confiance et la vérification des logiciels.

Protection des clés de certificat racine

En raison de leur rôle fondamental dans l'établissement de la confiance, les clés privées associées aux certificats racines doivent être extrêmement bien protégées. Les normes du secteur recommandent :

  • Conserver les clés hors ligne dans un stockage sécurisé comme un module de sécurité matériel (HSM)
  • Maintenir une sécurité physique et logicielle élaborée
  • Accès uniquement lorsque cela est nécessaire, à l'aide de contrôles multipartites
  • Gestion des clés uniquement au sein de modules cryptographiques sécurisés
  • Suppression complète des clés privées lorsqu'elles ne sont plus nécessaires

Le respect de procédures strictes de cérémonie de clés et la séparation des tâches pour les autorités de certification racines protègent PKI ancre de confiance du compromis.

Racine de confiance de SSL.com

Les certificats racines constituent la base de la confiance pour sécuriser les communications et les transactions sur Internet. Ils établissent les chaînes d'assurance qui sous-tendent l'infrastructure à clés publiques. En ancrant les hiérarchies d'autorités de certification et en distribuant des magasins racines de confiance, ils permettent l'utilisation à grande échelle de SSL/TLS, la signature de code, l'authentification des appareils et d'autres technologies de sécurité critiques. Par conséquent, la gestion des clés racines et des certificats est l'une des responsabilités les plus importantes de l'écosystème des certificats numériques. En tant qu'autorité de certification de premier plan, SSL.com exploite sa propre autorité de certification racine et émet des certificats liés aux principaux programmes racines. Avec plus de 20 ans d'expérience en tant qu'autorité de certification de confiance, SSL.com suit les meilleures pratiques du secteur en matière de génération, de gestion et de protection des clés racines. Visitez notre Page des certificats SSL aujourd'hui pour en savoir plus et obtenir votre certificat SSL sécurisé auprès d'une autorité éprouvée en laquelle vous pouvez avoir confiance.

Restez informé et en sécurité

SSL.com est un leader mondial de la cybersécurité, PKI et les certificats numériques. Inscrivez-vous pour recevoir les dernières nouvelles de l'industrie, des conseils et des annonces de produits de SSL.com.

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.