Usuellement, on distingue deux familles de certificats num\u00e9riques\u00a0:<\/p>\n
Mais cette typologie n’est pas exhaustive\u00a0; un d\u00e9coupage plus orient\u00e9 applicatif pourrait \u00eatre envisag\u00e9. L’int\u00e9r\u00eat de la s\u00e9paration des usages d\u00e9coule notamment des probl\u00e9matiques de s\u00e9questre de cl\u00e9s et de recouvrement. En effet, lorsqu’il y a chiffrement, il peut y avoir n\u00e9cessit\u00e9 de recouvrer les informations chiffr\u00e9es. Alors que lorsqu’il y a signature, il est indispensable de s’assurer que la cl\u00e9 priv\u00e9e n’est poss\u00e9d\u00e9e que par une seule partie.<\/p>\n
Un certificat \u00e9lectronique est une donn\u00e9e publique<\/strong>. Suivant la technique des cl\u00e9s asym\u00e9triques<\/a>, \u00e0 chaque certificat \u00e9lectronique correspond une cl\u00e9 priv\u00e9e, qui doit \u00eatre soigneusement prot\u00e9g\u00e9e<\/strong>.<\/p>\n Un certificat num\u00e9rique porte les caract\u00e9ristiques de son titulaire<\/strong> : si le porteur est un \u00eatre humain, cela peut \u00eatre son nom et son pr\u00e9nom, le nom de sa structure (par exemple, son entreprise ou son… \u00c9tat\u00a0!) et de son entit\u00e9 d’appartenance. Si c’est un \u00e9quipement informatique (comme une passerelle d’acc\u00e8s ou un serveur d’applications s\u00e9curis\u00e9), le nom est remplac\u00e9 par l’URI du service. \u00c0 ces informations d’identification s’ajoute la clef publique du bicl\u00e9.<\/p>\n L’ensemble de ces informations (comprenant la cl\u00e9 publique) est sign\u00e9 par l’Autorit\u00e9 de Certification de l’organisation \u00e9mettrice<\/strong>. Cette Autorit\u00e9 a la charge de\u00a0:<\/p>\n Le certificat num\u00e9rique est donc, \u00e0 l’\u00e9chelle d’une organisation, un outil pour t\u00e9moigner, de fa\u00e7on \u00e9lectroniquement s\u00fbre, d’une identit\u00e9<\/strong><\/span>.<\/p>\n L’usage conjoint des cl\u00e9s cryptographiques publique (contenue dans le certificat) et priv\u00e9e (prot\u00e9g\u00e9e par l’utilisateur, par exemple au sein d’une carte \u00e0 puce), permet de disposer de fonctions de s\u00e9curit\u00e9 importante.<\/p>\n Un certificat num\u00e9rique na\u00eet apr\u00e8s qu’une demande de certificat<\/strong> a abouti.<\/p>\n Une demande de certificat est un fichier num\u00e9rique<\/strong> (appel\u00e9 soit par son format, PKCS<\/a>#10, soit par son \u00e9quivalent fonctionnel, CSR<\/strong> pour Certificate Signing Request<\/em><\/strong>) qui est soumis \u00e0 une autorit\u00e9 d’enregistrement<\/strong> par un utilisateur final ou par un administrateur pour le compte d’un utilisateur final.<\/p>\n Cette demande de certificat est examin\u00e9e par un Op\u00e9rateur d’Autorit\u00e9 d’Enregistrement<\/strong>. Cette position est une responsabilit\u00e9 cl\u00e9\u00a0: c’est lui qui doit juger de la l\u00e9gitimit\u00e9 de la demande<\/strong> de l’utilisateur et accorder, ou non, la confiance de l’organisation. Pour se forger une opinion, l’Op\u00e9rateur doit suivre une s\u00e9rie de proc\u00e9dures, plus ou moins compl\u00e8tes, consign\u00e9es dans deux documents de r\u00e9f\u00e9rence qui vont de pair avec la cr\u00e9ation d’une IGC qui sont la Politique de Certification<\/strong> (PC) et la D\u00e9claration des Pratiques de Certification<\/strong> (DPC). Ces documents peuvent exiger, en fonction des enjeux de la certification, des v\u00e9rifications plus ou moins pouss\u00e9es\u00a0: rencontre en face-\u00e0-face, validation hi\u00e9rarchique, etc. L’objectif de l’Op\u00e9rateur d’AE est d’assurer que les informations fournies par l’utilisateur sont exactes et que ce dernier est bien autoris\u00e9 \u00e0 solliciter la cr\u00e9ation d’un certificat.<\/p>\n Une fois son opinion form\u00e9e, l’Op\u00e9rateur de l’AE valide la demande ou la rejette. S’il la valide, la demande de certificat est alors adress\u00e9e \u00e0 l’Autorit\u00e9 de Certification<\/strong> (AC). L’AC v\u00e9rifie que la demande a bien \u00e9t\u00e9 valid\u00e9e par un Op\u00e9rateur d’AE digne de confiance et, si c’est le cas, signe la CSR. Une fois sign\u00e9e, une CSR devient… un certificat. Le process de signature est exactement le m\u00eame qu’une signature \u00e9lectonique de document (hash puis chiffrement par la clef priv\u00e9e de l’AC).<\/p>\n Le certificat, qui ne contient aucune information confidentielle, peut par exemple \u00eatre publi\u00e9 dans un annuaire d’entreprise\u00a0: c’est la t\u00e2che du Module de Publication<\/strong>, souvent proche de l’AC.<\/p>\n Il existe deux fa\u00e7ons distinctes de cr\u00e9er des certificats \u00e9lectroniques\u00a0: le mode centralis\u00e9 et le mode d\u00e9centralis\u00e9.<\/p>\n Le mode d\u00e9centralis\u00e9 est pr\u00e9conis\u00e9 pour les certificats d’authentification (pour des questions de co\u00fbt, parce qu’il est plus simple de refaire un certificat en d\u00e9centralis\u00e9 qu’\u00e0 recouvrer une cl\u00e9) et de signature (parce que les conditions d’exercice d’une signature juridiquement valide pr\u00e9voit que le signataire doit \u00eatre le seul possesseur de la cl\u00e9\u00a0: en mode d\u00e9centralis\u00e9, l’IGC n’a jamais acc\u00e8s \u00e0 la cl\u00e9 priv\u00e9e).<\/p>\n Le mode centralis\u00e9 est pr\u00e9conis\u00e9 pour les certificats de chiffrement, car, lorsqu’un utilisateur a perdu sa cl\u00e9 (par exemple, sa carte est perdue ou dysfonctionne), un op\u00e9rateur peut, au terme d’une proc\u00e9dure de recouvrement, r\u00e9cup\u00e9rer la cl\u00e9 de chiffrement et la lui remettre. Chose qui est impossible \u00e0 faire avec des cl\u00e9s qui n’ont pas \u00e9t\u00e9 s\u00e9questr\u00e9es.<\/p>\n Il existe deux sc\u00e9narios possibles de fin de vie d’un certificat num\u00e9rique\u00a0:<\/p>\n Familles Usuellement, on distingue deux familles de certificats num\u00e9riques\u00a0: les certificats de signature, utilis\u00e9s pour signer des documents ou s’authentifier sur un site web, et les certificats de chiffrement (les gens qui vous envoient des courriels utilisent la clef publique de votre certificat pour chiffrer le contenu que vous serez seul \u00e0 pouvoir d\u00e9chiffrer avec […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[34,7],"tags":[],"_links":{"self":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/1024"}],"collection":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1024"}],"version-history":[{"count":7,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/1024\/revisions"}],"predecessor-version":[{"id":1026,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/1024\/revisions\/1026"}],"wp:attachment":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1024"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1024"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1024"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
Gestion<\/h2>\n
Modes de cr\u00e9ation<\/h2>\n
\n
\n
Sc\u00e9nario de fin de vie<\/h2>\n
\n