Section générale
Comment SwissSign rend vos certificats e-mail encore plus fiables grâce au nouvel identifiant international unique de l’organisation
Le protocole de sécurité «Transport Layer Security» (TLS) pour le chiffrement et l’authentification de la communication avec des serveurs Web ainsi que ses prédécesseurs ont été remaniés à plusieurs reprises au cours des trente dernières années. Il en est actuellement à la version 1.3 – nous vous expliquons ses avantages à le prendre en charge.
Lorsqu’il s’agit d’une entreprise, la norme relative aux certificats e-mail prévoit l’obligation d’inscrire un numéro de registre. Les numéros du registre du commerce allemand représentent un défi à cet égard, car chaque registre du commerce agit localement et gère sa propre série de numéros. Ce problème peut être résolu grâce au «European Unique Identifier» (EUID) de l’Union européenne. SwissSign s’engage sur ce sujet dans la Community et y joue même un rôle de premier plan.
Utilisez-vous des certificats SwissSign pour la signature et le chiffrement des e-mails? Si oui, vous serez probablement intéressé par ce rapport dédié aux numéros de registre et à la manière dont ils sont inscrits dans les certificats. Les certificats e-mail (également appelés «certificats S/MIME») sont utilisés sur Internet, tout comme les certificats SSL/TLS.
Première réglementation des certificats S/MIME en septembre 2023 L’organisme qui réglemente les certificats S/MIME s’appelle le «CA/Browser Forum» (CABF). C’est là que se rencontrent les autorités de certification (Certificate Authorities) et les fabricants de navigateurs. Contrairement aux certificats SSL/TLS dont le CA/B s’occupe depuis déjà longtemps, la norme pour les certificats e-mail «S/MIME Baseline Requirements» (S/MIME BR) n’est entrée en vigueur qu’à l’automne 2023.
Il s’agissait d’une étape importante pour la réglementation internationale uniforme des certificats S/MIME. SwissSign a participé à la préparation de l’introduction de cette norme pendant plusieurs années. Cette nouvelle réglementation a notamment défini avec précision les types de certificats S/MIME: il existe des certificats avec ou sans personnes détentrices, ainsi que des certificats avec ou sans inscription de l’organisation (ainsi que les combinaisons correspondantes).
Identité, noms et unicité
Un certificat numérique n’est pas un simple paquet de données techniques. Il contient le nom du titulaire du certificat (également appelé «Subject») et atteste de son identité. Le type d’identité impose différentes exigences concernant le nom enregistré dans le certificat et l’étendue des attributs de nom contenus, c’est-à-dire les éléments qui composent le nom. Pour les certificats de signature et de chiffrement sécurisés des e-mails, cela se présente comme suit:
Le produit SwissSign «Personal E-Mail ID Silver» n’est délivré qu’à une seule adresse e-mail. Seule cette adresse e-mail est donc inscrite dans le champ de nom du certificat, par exemple «CommonName = [email protected]» («Common Name», qui peut être traduit approximativement par «nom normal», est souvent abrégé en «CN»).
Le produit SwissSign «Pro E-Mail ID Gold» a le même usage, mais il est délivré à une personne qui fait partie d’une organisation (généralement un/-e employé/-e). Le nom est donc plus complet. Exemple:
CommonName = John Doe
givenName = John
surname = Doe
Email = [email protected]
Organization = SwissSign AG
OrganizationIdentifier (2.5.4.97) = NTRCH-CHE-109.357.012
StateOrProvince = ZH
Country = CH
Les données relatives à la personne John Doe ainsi qu’à son organisation SwissSign AG sont donc contenues dans le nom.
Pour les attributs de nom mentionnés, il est d’ailleurs essentiel que chacun de ces attributs ait été vérifié. Il est également impératif que l’ensemble du nom, c’est-à-dire la combinaison des attributs du nom, ne représente qu’un seul détenteur de certificat et puisse donc être attribué de manière univoque.
Un nouvel identifiant international unique de l’organisation pour une meilleure compatibilité
Les certificats avec inscription de l’organisation représentent notamment un défi particulier. Il s’agit des certificats de types
-
«Sponsor Validated» (SV), qui, en plus de l’adresse e-mail, sont délivrés à une personne en tant qu’employé d’une organisation (disponibles en tant que produit «Pro S/MIME E-Mail ID Gold») et
-
«Organization Validated» (OV), qui sont établis au nom de l’organisation elle-même (vous pourrez probablement aussi obtenir ce produit auprès de SwissSign d’ici la fin de l’année).
Un nouvel attribut est ici obligatoire dans le nom du détenteur («Subject»). Il s’agit de «OrganizationIdentifier», qui contient un identifiant de l’organisation. Il est ailleurs non seulement utilisé dans les certificats e-mail, mais aussi dans les certificats conformes au règlement européen eIDAS ou à la loi suisse sur la signature SCSE, c’est-à-dire pour les signatures ou les sceaux d’organisation et les horodatages.
Cet attribut est construit avec un préfixe incluant le code du pays. L’inscription de SwissSign AG sert ici d’exemple. Il s’agit de NTRCH-CHE-109.357.012
-
Les trois premières lettres indiquent le sous-schéma utilisé. «NTR» signifie «National Trade Register», ce qui équivaut dans de nombreux pays au registre du commerce.
-
«CH» est un code de pays normalisé et représente la Suisse («Confoederatio Helvetica»).
-
Le tiret «-» est ensuite suivi du numéro de registre du commerce mentionné.
Grâce à la structure avec préfixe, cet OrganizationIdentifier est donc unique dans le monde entier. Selon que l’organisation identifiée soit
-
une entreprise ou d’autres organisations privées,
-
un organisme public, ou
-
une organisation internationale,
la structure de l’identifiant peut différer dans OrganizationIdentifier.
Quel est l’avantage d’un tel numéro unique? Les certificats sont toujours délivrés de manière à ce qu’ils puissent être clairement attribués au détenteur, par exemple à l’organisation. Différents attributs de nom sont utilisés à cette fin, comme le nom de l’entreprise et le pays dans lequel elle est établie. Combiner différents attributs techniques est toutefois peu pratique, et de telles caractéristiques peuvent également être amenées à changer, par exemple lors d’une modification du nom de l’entreprise. Des identifiants uniques de ce type réduisent la complexité dans le monde numérique. Ils sont donc également utilisés dans le traitement automatisé des transactions.
Le problème: Pas d’unicité en Allemagne
Les organismes publics et les organisations internationales ont leurs propres défis à relever en matière d’identifiants d’organisation, mais cet article se concentre sur les entreprises et les organisations privées en général.
Il existe plusieurs possibilités de sous-systèmes utilisables pour les organisations privées. Ces derniers sont soit peu répandus (p. ex. le «Legal Entity Identifier», ou LEI, utilisé dans le secteur financier), soit ils posent des défis en termes de vérifiabilité et de persistance. Des numéros de TVA (en anglais «Value Added Tax» ou VAT) sont certes attribués dans pratiquement chaque pays, mais les registres ne sont pas accessibles au public et toutes les organisations privées ne disposent pas de ce type de numéro. Sans oublier qu’une entreprise peut bénéficier d’une franchise en base de TVA.
Le schéma mentionné ci-dessus avec NTR (National Trade Register Number) est donc le seul à être complet et utilisable en pratique pour les entreprises.
Les registres du commerce utilisés sont souvent régionaux, mais le numéro attribué est presque toujours unique au niveau national. Exemple en Suisse: la tenue des registres du commerce incombe aux cantons. Dans l’exemple ci-dessus, SwissSign AG est inscrite au registre du commerce du canton de Zurich sous le numéro de registre CHE-109.357.012. Il s’agit d’un «Numéro d’identification des entreprises» (IDE). Celui-ci est attribué par l’Office fédéral suisse de la statistique et sert non seulement de numéro de registre du commerce, mais aussi d’identifiant dans d’autres registres publics, et il est par exemple aussi utilisé comme numéro de TVA. Il est donc harmonisé et unique dans toute la Suisse pour tous les registres du commerce (et autres registres publics des entreprises). Même en cas de changement éventuel de canton, ce numéro ne change pas et désigne ensuite la société au registre du commerce du canton où elle a désormais son siège.
Ce fonctionnement s’applique dans la grande majorité des États du monde. Il existe toutefois quelques exceptions à ce principe de numéros de registre du commerce uniques au niveau national: aux États-Unis et au Canada, les numéros ne sont pas attribués à l’échelle nationale, mais au niveau des États fédérés.
Pour l’OrganizationIdentifier, ce problème est résolu en incluant le code standard (ISO 3166-1) pour les États-Unis ou le Canada, puis en ajoutant le code de l’État fédéré (ISO 3166-2). Exemples:
-
NTRUS+NY-123456 (l’entreprise a son siège aux États-Unis («US») dans l’État de fédéré New York «NY»)
-
NTRCA+QC-123456 (l’entreprise a son siège au Canada («CA») dans l’État fédéré du Québec «QC»)
L’Allemagne constitue une autre exception en ce qui concerne les numéros de registre du commerce uniques au niveau national. L’inclusion de l’État fédéré ou de son code standardisé, de manière similaire aux États fédérés nord-américains, ne suffirait pas à résoudre le problème. Car les registres du commerce sont tenus par les tribunaux d’instance et il existe généralement plusieurs registres de ce type dans chaque État fédéré allemand. Le numéro du registre du commerce allemand est donc attribué à un niveau purement régional, mais il n’est unique qu’à l’intérieur de la plage de numéros du tribunal administratif respectif.
En Rhénanie-du-Nord-Westphalie, un même numéro de RC peut par exemple être attribué plusieurs fois en raison du grand nombre de tribunaux d’instance. C’est pourquoi le numéro NTRDE -123456 peut prêter à confusion dans un certificat, car il ne permet pas toujours d’identifier clairement l’entreprise. L’approche adoptée pour les entreprises américaines et canadiennes avec ajout de l’État fédéré dans l’OrganizationIdentifier (p. ex. NTRDE+NW123456 avec «NW» pour la Rhénanie-du-Nord-Westphalie) ne suffit donc pas encore à résoudre le problème.
Des numéros de registre régionaux ont tout de même été insérés dans des certificats comme s’il s’agissait d’identifiants nationaux. Cela a entraîné une certaine confusion (les lecteurs intéressés trouveront un exemple sur https://bugzilla.mozilla.org/show_bug.cgi?id=1917405). Afin d’éviter d’autres incohérences, le CA/Browser Forum n’a eu d’autre choix que de modifier la S/MIME BR afin de ne plus exiger l’unicité des inscriptions (d’entreprises) dans OrganizationIdentifier.
La solution: «European Unique Identifier» (EUID)
Avant même l’entrée en vigueur de la norme S/MIME BR, des CA de l’espace germanophone s’étaient déjà penchées sur le problème sous la houlette de SwissSign. SwissSign a élaboré une solution en collaboration avec D-Trust (Imprimerie fédérale) et Deutsche Telekom Security GmbH (T-Systems); l’organisme d’évaluation de la conformité de SwissSign, TÜV Trust IT, a également apporté des contributions décisives sur le sujet. La solution propre se nomme «European Unique Identifier» ou EUID en abrégé. Celle-ci ne doit pas être confondue avec l’EUDI, qui signifie «European Digital Identity» (et où SwissSign joue également un rôle actif).
L’EUID est défini et régi par un «règlement d’exécution» de l’UE disponible ici (voir section 9 de l’annexe).
Le système repose sur l’ajout d’un préfixe au numéro de RC, qui désigne le registre du commerce émetteur. Ce numéro est ensuite inséré dans le schéma NTR de l’OrganizationIdentifier.
Exemple: «DER3306.HRB66812». «DE» représente bien sûr l’Allemagne, «R3306» est le code normalisé EUID pour le tribunal d’instance de Cologne et «HRB66812» est le numéro attribué par celui-ci à la personne morale enregistrée. Ce numéro est donc vraiment unique dans toute l’Allemagne et l’OrganizationIdentifier «NTRDE-DER3306.HRB66812» est applicable pour le monde entier.
La liste de ces préfixes est tenue à jour par un organisme officiel. Cela garantit donc l’unicité, mais aussi la fiabilité et la constance du système. L’EUID suscite un intérêt croissant dans le monde des certificats grâce à ces avantages.
La S/MIME BR de SwissSign a ainsi été actualisée en collaboration avec la CA américaine DigiCert ainsi que la CA italienne Actalis, de manière à ce que l’EUID soit explicitement recommandé et expliqué. Si cela vous intéresse, vous trouverez ici une discussion dédiée: https://github.com/cabforum/smime/issues/263.
L’Institut européen de normalisation des télécommunications (European Telecommunications Standards Institute ou ETSI) a également reconnu l’importance de l’EUID. L’ETSI établit diverses normes pour le monde électronique, par exemple les spécifications pour les certificats numériques et les signatures électroniques. Le groupe de travail «Electronic Signatures and Trust Infrastructures (ESI)» a également découvert les avantages de l’EUID. La nouvelle version (provisoire) de la norme (ETSI EN 319 412-1), qui définit l’OrganizationIdentifier, mentionne désormais explicitement l’EUID.
SwissSign a donc misé sur le bon cheval et posé très tôt les bons jalons.
Conclusion: confiance accrue grâce à l’engagement dans la CA Community
Le numéro de registre du commerce est de plus en plus souvent inscrit dans des certificats à clés publiques. Les défis spécifiques à l’Allemagne à cet égard peuvent être résolus aisément grâce à «l’European Unique Identifier» (EUID). Cette approche, promue par SwissSign, est de plus en plus utilisée dans le monde des certificats.
Il s’avère que la proximité de SwissSign avec le marché allemand et sa connaissance de ses spécificités portent leurs fruits. Alors que les particularités du système allemand de registres du commerce étaient ignorées jusqu’à présent par de nombreux fournisseurs, les CA de l’espace germanophone ont su les prendre en compte de manière très précoce. Nous nous ferons un plaisir de répondre à vos questions sur le sujet en français ou dans une autre langue, comme l’allemand ou l’anglais si nécessaire.
