Autorité de certification publique vs privée

Besoin d'améliorer votre visibilité?

Votre site internet ne décolle pas, ou vous souhaitez obtenir des conseils d'optimisation, notre expert vous répond gratuitement du lundi au samedi et de 9h à 19h:

Envoyer un message

Qu’est-ce qu’une autorité de certification (CA) ?

Autorité de certification publique vs privée

Une autorité de certification est une institution qui distribue des certificats numériques. L’émission de certificats est un élément essentiel de la sécurisation des interactions sur Internet, car les certificats lient cryptographiquement une identité à une clé publique.

Les certificats sont couramment utilisés dans le cryptage SSL, pour authentifier les personnes et les appareils, et pour légitimer les documents et le code.

L’ubiquité est une caractéristique d’une bonne autorité de certification. Ils doivent être compatibles avec autant de versions de systèmes d’exploitation et de navigateurs Internet que possible afin de pouvoir fournir une validation ininterrompue des certificats à tous les utilisateurs sur n’importe quel appareil ou service.

La réponse en anglais simple à la question « Que font les autorités de certification ? » est-ce:

Ils s’assurent que tout le monde sur Internet est ce qu’ils prétendent être.

Mais pourquoi devrions-nous les croire sur parole ?

Pourquoi faisons-nous confiance aux autorités de certification ?

Vous verrez souvent l’expression « autorité de certification » précédée du qualificatif « de confiance » parce que ce trait est si essentiel à leur fonctionnement.

Une autorité de certification doit être approuvée par toutes les personnes impliquées pour être utile. Ils sont chargés de valider que les entités en ligne sont bien celles qu’elles prétendent être. Une autorité de certification de confiance est la raison pour laquelle cliquer sur un lien vers « https://www.google.com » vous amène en fait à Google et non à un site falsifié.

Construire cette confiance est une entreprise intéressante et compliquée. Ils doivent bénéficier d’une large confiance afin d’attirer des clients, et pour devenir dignes de confiance, ils doivent déjà avoir des clients.

Il y a un peu l’énigme de la poule et de l’œuf ici, mais il existe des moyens de la contourner.

Les CA dignes de confiance feront partie du CA/Browser Forum, un groupe de réglementation auto-organisé et auto-régulé pour les autorités de certification. Ils créent et mettent à jour collectivement des directives qui régissent la création, l’utilisation et la distribution de certificats sur Internet.

Une autorité de certification qui souhaite être utilisée adhérera également aux « programmes d’adhésion » définis par chaque navigateur et système d’exploitation. Les programmes sont essentiellement un ensemble de règles et de directives strictes qui doivent être suivies afin d’envisager l’intégration.

Les CA plus anciennes sont également généralement considérées comme plus fiables pour la même raison que les entreprises mettent « Établi en XXXX » sur leurs logos. Les gens associent la longévité à la valeur.

Une partie du processus de délivrance d’un certificat est un contrôle d’identité. Chaque AC a ses propres procédures pour confirmer l’identité de l’entité demandant un certificat. C’est comme une vérification des antécédents, mais qui s’étend également aux appareils. Des procédures plus strictes rendent une autorité de certification plus fiable.

Hiérarchie d’approbation de l’autorité de certification

Au cœur de toutes les autorités de certification se trouve le certificat racine et sa clé privée associée. Il s’agit d’une sorte de « clé principale » – elle signe tous les certificats numériques émis par l’autorité et les légitime.

Une partie de la raison pour laquelle ils s’appellent de confiance autorités de certification est parce que nous sommes convaincus qu’elles gardent cette racine en sécurité. S’il était compromis, des parties malveillantes pourraient faussement valider tout certificat émis par l’AC, ce qui pourrait avoir des conséquences catastrophiques.

Les mesures prises par les CA pour protéger la racine sont extrêmes. Ils sont généralement stockés dans une installation sécurisée, éteints et isolés de sorte qu’il n’y ait aucune connexion réseau possible et aucun risque de vol.

Autorité de certification publique vs privée

Alors, comment valide-t-il les certificats dans cet état ? La racine est utilisée pour créer intermédiaire certificats, qui ont la même mesure de confiance accordée à la racine car ils sont validés par elle. En même temps, ils sont accessibles au public et peuvent donc valider les certificats à la place de la racine. Si un certificat intermédiaire est compromis, la racine est toujours disponible en tant que sauvegarde.

Autorité de certification publique vs privée

Qu’est-ce qu’une autorité de certification publique ?

Une CA publique est, sans surprise, une autorité de certification qui fournit des services au grand public. Toute organisation qui vous fournit des services d’AC à laquelle vous n’êtes pas affilié est une AC publique.

La plupart des CA ouvertes sont des sociétés qui ont gagné la confiance du grand public. Il existe également des AC publiques gérées par les gouvernements.

Ils sont un utilitaire largement utilisé sur Internet. La plupart des formes de sécurité ou de confidentialité incluent une autorité de certification publique sous une forme ou une autre. Les exemples incluent la mise en œuvre de SSL, la signature de documents numériques et le cryptage des e-mails.

Quand utiliser une autorité de certification publique

Autorité de certification publique vs privée

Les AC publiques délivrent la majorité des certificats. Ils sont l’option par défaut et sont suffisants pour la plupart des cas d’utilisation.

Étant donné que vous devez souvent payer pour chaque certificat émis, les autorités de certification publiques sont la meilleure option si vous n’avez besoin d’émettre qu’un nombre limité de certificats.

C’est également la solution de prédilection chaque fois que la situation nécessite une communication transparente sur Internet. Pour tout produit ou service public, vous aurez besoin d’une autorité de certification publique.

Qu’est-ce qu’une autorité de certification privée ?

Les autorités de certification privées, également appelées autorités de certification locales, sont des autorités de certification auto-hébergées généralement destinées à un usage interne.

Ils ont une portée intentionnellement limitée – généralement utilisés uniquement au sein d’une organisation telle qu’une très grande entreprise ou une université. L’autorité de certification privée n’est réellement « digne de confiance » que par les utilisateurs au sein de cette organisation – et ce n’est pas grave car elle s’interface rarement avec des réseaux externes.

Un CA Wi-Fi privé est-il plus sécurisé qu’un CA Wi-Fi public ? Oui et non. Ce n’est pas intrinsèquement plus sécurisé en raison de toute différence d’infrastructure ou de logiciel. Ce est plus sûr car il y a moins de maillons dans la chaîne et moins de points de défaillance potentiels.

L’inconvénient évident d’une autorité de certification privée est que vous devez configurer et exécuter l’infrastructure vous-même. Cela représente un temps et un engagement financier importants, de sorte qu’il n’est pas couramment utilisé à moins que ce ne soit nécessaire.

Quand utiliser une autorité de certification privée

Malgré les tracas, un CA privé offre des avantages très importants.

Si vous prévoyez de devoir émettre un grand nombre de certifications, soit parce que l’organisation est massive, soit parce que les certificats devront être réédités fréquemment, il peut être moins coûteux de gérer votre propre autorité de certification que de payer pour chacune émise par une autorité de certification publique.

Les AC privées peuvent également être nettement plus sécurisées que leurs homologues publiques. Lorsqu’une autorité de certification publique distribue des certificats à quiconque paie, les autorités de certification privées limitent leurs certificats à des personnes ou à des appareils spécifiques (généralement ceux au sein de l’organisation).

Le contrôle de l’expiration des certificats est une caractéristique importante pour les organisations qui ont une nature cyclique ou sensible au temps. Ce serait un désastre si les certificats expiraient au milieu de la semaine dans une université, déconnectant chaque personne et chaque appareil.

L’utilisation d’une autorité de certification privée est un élément important de la création d’un intranet robuste et sécurisé (réseau interne).

Exécution de votre propre CA et PKI privés

Autorité de certification publique vs privée

Une autorité de certification privée est nécessaire pour certaines organisations, mais sa configuration et sa maintenance peuvent être difficiles. SecureW2 offre une gamme complète de services PKI, y compris une autorité de certification privée adaptée à vos besoins. Nous avons des options abordables pour les organisations de toute taille. Cliquez ici pour voir nos options de tarification.


Article traduis depuis:
Source link