PKI – Qu’est-ce qu’une infrastructure à clés publiques | SwissSign

Naviguer sur SwissID

Une spécialiste de la Poste Suisse pour la sécurité des données
Adrian Mueller • 07.04.2025

Qu’est-ce qu’une Certificate Authority, et pourquoi est-elle indispensable dans le quotidien numérique?

Sites web sécurisés, e-mails chiffrés, signatures électroniques – derrière chaque identité numérique de confiance se trouve une Certificate Authority. Elle vérifie, confirme et protège les identités sur internet, jouant un rôle clé dans la communication numérique sécurisée, tant pour les entreprises que pour les administrations et les citoyens.

In einer zunehmend digitalisierten Welt, in der Kommunikation, Geschäftsprozesse und behördliche Abläufe online stattfinden, wird Vertrauen zu einer entscheidenden Währung. Genau hier kommen sogenannte Certificate Authorities (CAs), auf Deutsch "Zertifizierungsstellen", ins Spiel.

Résumé: explication simple du rôle d’une Certificate Authority

Une Certificate Authority est une instance de confiance qui délivre des certificats numériques. Ces certificats servent à confirmer l’identité d’une personne, d’une organisation ou d’un système technique. Un certificat confirme que «Oui, ce site Web, cette adresse e-mail ou ce document appartient vraiment à l’entité indiquée». Et c’est précisément cette confirmation que délivre une CA. Elle est comparable à une carte d’identité numérique ou à une certification notariale sur Internet. Sans ces instances, il serait presque impossible de faire la différence entre les vraies et les fausses identités dans l’espace numérique. La CA joue donc un rôle clé dans le réseau de confiance d’Internet.

Les CA sont les gardiennes invisibles du monde numérique et veillent à ce que les identités puissent être confirmées de manière fiable sur le réseau et que les données puissent être transmises en toute sécurité. Mais qu’est-ce qu’une Certificate Authority exactement, comment fonctionne-t-elle, et pourquoi est-elle nécessaire?

À quoi servent les certificats numériques? 

Les certificats numériques sont utilisés dans de nombreux domaines. Les exemples les plus connus sont:

  • Certificats SSL/TLS pour les sites Web: ils veillent à ce que la connexion entre le navigateur et le serveur soit sécurisée (reconnaissables au «https://»).

  • Certificats S/MIME pour le courrier électronique: ils permettent de chiffrer et de signer les e-mails, ce qui empêche la manipulation et l’usurpation d’identité.

  • Identités des machines et IoT: les appareils ou les composants logiciels peuvent également utiliser des certificats pour s’authentifier mutuellement.

  • Signatures numériques: des documents ou des contrats peuvent être signés électroniquement, car un certificat confirme que la signature provient bien de la personne indiquée. 

Dans tous ces cas, la CA crée les bases de la confiance: avant de délivrer le certificat, elle vérifie l’identité de la partie requérante avec plus ou moins de profondeur et de rigueur selon le type de certificat.

Comment fonctionne une autorité de certification?

Le processus peut être divisé en plusieurs étapes:

  • Dépôt de la demande: une organisation ou une personne demande un certificat à une CA.

  • Vérification d’identité: la CA vérifie si les données sont correctes. Cela peut aller d’une simple vérification du domaine à une identification personnelle.

  • Délivrance du certificat: une fois le contrôle réussi, un certificat numérique est établi et transmis au demandeur. 

  • Publication: le certificat peut être placé dans un répertoire public afin que d’autres systèmes puissent le vérifier.

  • Validation et révocation: les CA offrent des services de révocation de certificats et tiennent également des listes de certificats révoqués (CRL) ou proposent des services tels que l’OCSP, qui permettent de vérifier la validité d’un certificat en temps réel. 

Sur le plan technique, le système est basé sur des infrastructures dites à clés publiques (PKI). Une CA signe le certificat avec sa clé privée et toute personne connaissant la clé publique de la CA (p. ex. par le biais d’un certificat Root dans le navigateur) peut en vérifier l’authenticité.

Infrastructure à clé publique - PKI

Dans notre blog, nous expliquons le fonctionnement d’une infrastructure à clés publiques et quel rôle y jouent les CA

Lire la suite

Types de CA et de certificats

Toutes les autorités de certification ne sont pas identiques. Il en existe plusieurs sortes. Dans le domaine d’application:

  • CA privées: les grandes entreprises gèrent souvent leurs propres CA internes pour les systèmes et les communications internes à l’entreprise.

  • CA publiques: elles proposent des certificats à utiliser sur Internet, p. ex. pour les pages Web ou les échanges d’e-mails.

  • CA réglementées par la loi: par exemple, pour la délivrance de certificats destinés aux signatures électroniques qualifiées.

Dans la hiérarchie:

  • Les Root CA représentent le niveau de confiance le plus élevé. Ce modèle augmente la sécurité, car la clé Root n’est pas utilisée en permanence.

  • Les Root CA délivrent des certificats pour les «Sub CA» ou les «Issuing CA». Une Issuing CA délivre à son tour des certificats aux utilisateurs finaux.

Confiance dans la CA – Pourquoi cela fonctionne 

Les CA sont des sources de confiance uniquement parce qu’elles sont régulièrement contrôlées et certifiées. Les systèmes d’exploitation et les navigateurs tiennent des «Root Stores» dans lesquels les CA fiables sont répertoriées. Seules les CA qui répondent à certaines exigences techniques, juridiques et organisationnelles y sont admises. Cela comprend: 

  • Des audits réguliers selon des normes telles que WebTrust ou ETSI

  • Une infrastructure sécurisée et une protection des clés privées

  • Des processus transparents pour la délivrance, la révocation et la gestion des certificats 

Si une CA est compromise ou viole les règles, elle peut être retirée du Root Store avec des conséquences importantes pour tous les certificats qu’elle a émis. Les navigateurs ne les reconnaissent alors plus comme sûrs et les sites Web qui en sont dotés ne s’affichent plus. Leurs e-mails sont dirigés vers les dossiers spam. Pour les entreprises concernées, cela peut avoir des conséquences commerciales majeures.

Différence entre Certificate Authority et Trust Service Provider

Dans le langage courant, les termes «Certificate Authority (CA)» et «Trust Service Provider (TSP)» (fournisseur de services de confiance, en français) sont souvent utilisés comme synonymes, mais il existe cependant une différence importante, notamment dans le contexte juridique européen. 

Une Certificate Authority est en premier lieu une instance technique qui délivre et gère des certificats numériques. Elle se concentre sur l’aspect cryptographique de la confirmation d’identité, par exemple pour les sites Web ou la communication par e-mail. 

Un Trust Service Provider est quant à lui une notion plus large qui englobe tous les fournisseurs proposant des services dits de confiance, conformément, par exemple, au règlement européen eIDAS ou à la loi suisse SCSE. Il s’agit non seulement de services de certificats, mais aussi d’horodatages électroniques, de sceaux électroniques et de signatures électroniques qualifiées. Un TSP peut donc inclure une CA, mais toutes les CA ne sont pas automatiquement des TSP au sens juridique du terme. 

Dans la pratique, cela signifie que seul un Trust Service Provider officiellement reconnu peut délivrer des signatures qualifiées généralement équivalentes à une signature manuscrite. SwissSign est par exemple à la fois une CA et un Trust Service Provider reconnu en Suisse.

Quelles CA existent en Suisse?

Il existe plusieurs autorités de certification qui délivrent différents types de certificats numériques en Suisse. SwissSign est la seule CA à proposer aussi bien des certificats SSL/TLS et S/MIME commerciaux que des signatures électroniques qualifiées et des sceaux conformément à la loi fédérale sur la signature électronique (SCSE) et à la réglementation européenne eIDAS. QuoVadis Trustlink Suisse SA, qui fait aujourd’hui partie de l’entreprise américaine DigiCert, est également active dans le secteur des entreprises notamment. Swisscom et l’Office fédéral de l’informatique ont également une reconnaissance juridique (mais aucun ne propose de certificats pour Internet).

Quelles CA existent en France ?

SwissSign est également représentée dans l’UE par une filiale (en Autriche) et propose des services certifiés conformes au règlement eIDAS pour les entreprises françaises et d’autres pays européens. En France, l’un des principaux prestataires de services de confiance qualifiés est Chambersign France, spécialisé dans la fourniture de certificats numériques pour les entreprises, les administrations et les professions réglementées. Certinomis, une filiale de La Poste, fait également partie des acteurs bien établis dans le domaine des certificats électroniques et des signatures qualifiées. L’ANSSI (Agence nationale de la sécurité des systèmes d’information) tient à jour une liste des prestataires de services de confiance qualifiés reconnus en France, conformément au règlement eIDAS.

Pourquoi SwissSign joue un rôle particulier

SwissSign est une autorité de certification basée en Suisse qui se concentre tout particulièrement sur la protection des données, la sécurité juridique et l’excellence technique. En tant que fournisseur de services de certificats reconnu par la Confédération conformément à la loi fédérale sur la signature électronique (SCSE), SwissSign répond aux exigences les plus élevées en matière de fiabilité et de qualité de ses services.

SwissSign propose non seulement des certificats SSL/TLS classiques, mais aussi des signatures électroniques qualifiées. Ces signatures ont la même valeur juridique qu’une signature manuscrite. 

SwissSign est 100% Swiss Made, avec une infrastructure entièrement autogérée et géo-redondante en Suisse. Cela assure une sécurité et une disponibilité maximales, ainsi qu’une protection optimale des données sensibles des clients. En tant que Trust Service Provider reconnu, SwissSign s’engage à respecter les normes de sécurité et les exigences réglementaires les plus strictes. L’objectif étant de garantir un maximum de confiance pour vous et vos clients finaux. 

Avec plus de 20 ans d’expérience dans le domaine des identités numériques, SwissSign apporte des connaissances approfondies ainsi qu’une forte compréhension des exigences individuelles des clients. Qu’il s’agisse de PKI, de signatures ou d’identités électroniques, vous bénéficiez de tous les services auprès d’une seule source. Le tout est complété par des conseils personnels et professionnels qui vous aident à prendre à tout moment des décisions éclairées dans l’intérêt de votre entreprise et de votre clientèle.

Conclusion: la CA comme source de confiance dans le monde numérique 

Il ne serait pas possible de communiquer de manière sûre et fiable sur Internet sans les Certificate Authorities. Elles veillent à ce que les identités numériques soient vérifiables, que les données puissent être transmises sous forme chiffrée et que les signatures numériques soient reconnues légalement. 

Le rôle des CA est plus important que jamais, surtout à une époque où la cybercriminalité, le vol d’identité et les fuites de données se multiplient. Elles constituent l’épine dorsale de l’infrastructure de confiance numérique, laquelle est généralement invisible, mais indispensable.

FAQ: questions fréquentes sur la Certificate Authority

Comment expliquer en des termes simples le rôle d’une Certificate Authority?

Une CA est une organisation ou une instance qui délivre des certificats numériques afin de confirmer que quelqu’un ou quelque chose possède réellement l’identité indiquée, par exemple un site Web ou une personne.

Pourquoi ai-je besoin d’un certificat numérique?

Pour les sites Web sécurisés (HTTPS), le chiffrement des e-mails, les signatures numériques ou l’authentification des appareils et des utilisateurs.

Que se passe-t-il lorsqu’une CA n’est plus digne de confiance?

Elle peut alors être supprimée des Root Stores. Tous les certificats qu’elle a délivrés sont ensuite considérés comme non sécurisés, avec des conséquences parfois graves pour les services concernés.

SwissSign est-elle une CA?

Oui, SwissSign est une autorité de certification reconnue en Suisse qui délivre aussi bien des certificats publics pour Internet que des certificats qualifiés selon la loi suisse sur la signature électronique SCSE ou selon le règlement européen eIDAS.

Ce que vous devriez faire maintenant

 

1. Choisissez votre certificat et sécurisez dès maintenant votre communication en ligne ou par e-mail: Achetez un certificat dans notre boutique en ligne dès maintenant. Des instructions d’installation simplifiées sont fournies. 

Commander des certificats maintenant

2. Simplifiez la gestion de vos certificats pour TLS/SSL et e-mail : Avec notre Managed PKI (MPKI), vous pouvez gérer de manière autonome et individuelle les certificats de vos collaborateurs, clients et partenaires en fonction de vos besoins et économiser par rapport à l'achat de certificats individuels.

Commander MPKI maintenant

3. Faites-vous conseiller sur la manière d'optimiser votre PKI-Set Up - êtes-vous plus avantageux avec une MPKI ? Devriez-vous investir dans un Certificate Lifecycle Management ?

Demandez conseil maintenant

4) Si vous avez appris quelque chose de notre article, envoyez-le à d'autres personnes de votre organisation, enregistrez le lien pour plus tard ou partagez-le sur LinkedIn 👇

Vers l'aperçu

Cela pourrait aussi vous intéresser

Adrian Mueller • 21.11.2024

PKI – Qu’est-ce qu’une infrastructure à clés publiques?

Qu’est-ce qu’une PKI? La base des certificats SSL ou encore des signatures numériques – pour la sécurité et l’efficacité numériques dans les entreprises
Cybersécurité Certificats
Adrian Mueller • 14.04.2025

Qu’est-ce que TLS 1.3 – et quels sont ses avantages par rapport à la version TLS 1.2?

Le protocole de sécurité «Transport Layer Security» (TLS) pour le chiffrement et l’authentification de la communication avec des serveurs Web ainsi que ses prédécesseurs ont été remaniés à plusieurs reprises au cours des trente dernières années. Il en est actuellement à la version 1.3 – nous vous expliquons ses avantages à le prendre en charge.
Cybersécurité Certificats
Adrian Müller • 02.04.2025

Nouvelles exigences S/MIME: changements importants pour vos certificats de messagerie à partir de juillet 2025

Pourquoi les certificats SwissSign-S/MIME vont changer à partir de juin 2025 - et ce que vous devez faire maintenant.
Cybersécurité Certificats

SwissSign

Ressources

Connaissances

Support

Une spécialiste de la Poste Suisse pour la sécurité des données

Logo de «La Poste», vous accédez au site de «La Poste».