Infrastructure de clé publique (ou PKI)
CA : Autorité de Certification
VA : Autorité de Validation
RA : Autorité d’Enregistrement (Register Authority)
Les Autorités
Autorité de Certification
Une Autorité de Certification (AC ou CA pour Certificate Authority) est un tiers de confiance permettant d’authentifier l’identité des correspondants, elle délivre des certificats décrivant des identités numériques et met à disposition les moyens de vérifier la validité des certificats qu’elle a fournis.
L’autorité de certification (AC) opère elle-même ou peut déléguer l’hébergement de la clé privée du certificat à un opérateur de certification (OC) ou autorité de dépôt.
Exemples : Digicert, ChamberSign, Let’s Encrypt, ZeroSSL, Buypass.
Voir liste : https://en.wikipedia.org/wiki/Certificate_authority
Autorité d’enregistrement
Une autorité d’enregistrement (généralement abrégée AE) est l’entité qui vérifie que les demandeurs ou les porteurs de certificat soient identifiés, que leur identité soit authentique et que les contraintes liées à l’usage d’un certificat soient remplies, tout cela conformément à la politique de certification.
L’autorité d’enregistrement peut avoir également pour tâche de réceptionner les demandes de révocation de certificats et peut les traiter : le certificat sera révoqué et ajouté à la liste de certificats révoqués de l’autorité de certification.
L’autorité d’enregistrement archive les dossiers de demande de certificats ou de révocation.
Autorité de Validation
Une autorité de validation (VA) est une entité qui fournit un service utilisé pour vérifier la validité d’un certificat numérique.
Alors qu’une autorité de validation est capable de répondre à une demande de liste de révocation de certificats basée sur le réseau, elle n’a pas la capacité d’émettre ou de révoquer des certificats. Elle doit être continuellement mise à jour avec les informations actuelles de la CRL (Certificate Revocation List) provenant d’une autorité de certification qui a émis les certificats contenus dans la CRL.
Certificat
Un certificat numérique (anciennement appelé certificat SSL) ou une clé publique utilise une clé publique et une clé privée pour permettre une communication sécurisée entre un programme client (navigateur Web, client de messagerie, etc.) et un serveur sur un SSL chiffré (couche de socket sécurisée ) ou une connexion TLS (transport layer security).
Le certificat sert à la fois à chiffrer l’étape initiale de communication (échange de clé sécurisé) et à identifier le serveur et est un bon moyen d’empêcher les attaques Man In The Middle.
Services d’authentification (?)
Emettent des certificats
(A vérifier) -
Quelques exemple de services d’authentification :
SSL.com offre une gamme complète de certificats numériques de confiance et de solutions PKI gérées pour les entreprises, les gouvernements et l’Internet des objets (IoT).
SSL.com se défini également comme une CA (https://www.ssl.com/fr/)verisign.com (?)
Protocole
ACME
ACME (Automated Certificate Management Environment) est un protocole standard pour automatiser la validation de domaine, l’installation et la gestion des certificats X.509. Il a été conçu par Internet Security Research Group et est décrit dans IETF RFC8555 et est largement adoptée en tant que solution d’automatisation des certificats d’entreprise.
Clients ACME
Ces clients permettent de demander ou de révoquer un certificats SSL/TLS en allant interoger le site SSL.com (note perso : uniquement SSL.com ?) via le protocole ACME.
Exemple de logiciels client ACME : Certbot, Lego, GETSSL. Voir cette liste https://letsencrypt.org/fr/docs/client-options/
Certbot est un outil gratuit et open-source, développé par l’Electronic Frontier Foundation (EFF)
Exemple résumé
Il est possible de choisir l’autorité de certification Let’s Encrypt en utilisant le client Certbot qui ira interoger SSL.com via le protocole ACME.
Documentation
https://www.ssl.com/fr/faq/quel-est-le-protocole-acme/
https://fr.wikipedia.org/wiki/Let's_Encrypt
https://fr.wikipedia.org/wiki/Autorit%C3%A9_de_certification
https://fr.wikipedia.org/wiki/Autorit%C3%A9_d%27enregistrement
https://en.wikipedia.org/wiki/Validation_authority
https://letsencrypt.org/fr/docs/client-options/
https://www.ssl.com/about/
https://securite.developpez.com/actu/310692/La-liste-des-alternatives-a-Let-s-Encrypt-offrant-des-certificats-gratuits-via-ACME-s-agrandit-et-comporte-des-options-comme-ZeroSSL-pour-mieux-proteger-les-sites-web/
https://en.wikipedia.org/wiki/Certificate_authority