Une CA privée fonctionne indépendamment de la chaîne de confiance PKI publique - elle n'est pas incluse dans les magasins de certificats racine du navigateur ou du système d'exploitation. Cela signifie que vous contrôlez toute la hiérarchie des certificats: CA racine, CA intermédiaires et politiques de certification. Techniquement, les CA privées utilisent les mêmes normes cryptographiques (X.509, paires de clés RSA/ECC, extensions standard) que les CA publiques, mais vous définissez les règles de validation, les conventions de nomenclature et les périodes de validité sans supervision externe. Pour utiliser les certificats de votre CA privée, vous devez distribuer et faire confiance au certificat racine sur tous les périphériques et systèmes qui ont besoin de les valider. Cela vous donne une autonomie complète mais nécessite une infrastructure de distribution de confiance interne.

Oui, la plupart des organisations utilisent des environnements PKI hybrides. Les certificats publics sécurisent les services Internet (sites Web, API, portails clients) pour lesquels la confiance du navigateur est requise et les certificats S/MIME peuvent être utilisés pour sécuriser le trafic de courriels. Les certificats privés sécurisent vos ressources internes (applications internes, authentification des appareils, accès VPN des employés, communication interservices). Votre plateforme de gestion des certificats doit gérer les deux types de certificats, ce qui vous permet d'appliquer des politiques et des cycles de vie différents en fonction du cas d'usage. Veillez simplement à ce que vos systèmes soient configurés pour accorder leur confiance à votre CA racine privée pour les certificats internes tout en maintenant la confiance dans les CA racine publiques pour la communication externe.

Une CA racine privée compromise est un événement de sécurité critique nécessitant une intervention immédiate. Vous devez: révoquer tous les certificats émis par cette CA (interrompre efficacement l'authentification sur l'ensemble de votre infrastructure), générer une nouvelle CA racine avec des nouvelles clés, réémettre tous les certificats de la nouvelle CA et redistribuer le nouveau certificat racine à tous les systèmes et périphériques.

La protection des clés CA privées est primordiale: stockez les clés CA racine dans des modules de sécurité matériels (HSM), implantez des contrôles d'accès stricts avec autorisation de plusieurs personnes, maintenez des sauvegardes hors ligne des clés racine dans des endroits sécurisés et utilisez des CA intermédiaires pour l'émission quotidienne de certificats (la clé racine n'est donc pas utilisée fréquemment). La Managed PKI privée de SwissSign gère ces contrôles de sécurité, ce qui réduit votre risque de compromission par rapport à une infrastructure auto-exploitée.

Une Managed PKI privée fournie par SwissSign utilise les mêmes mécanismes de révocation que la PKI publique: Listes de révocation de certificats (CRL) et protocole d'état des certificats en ligne (OCSP). Lorsque vous révoquez un certificat, la CA publie des CRL mises à jour et répond aux requêtes OCSP indiquant le statut révoqué du certificat. Vos applications et systèmes doivent être configurés pour vérifier le statut de révocation -- ce n'est pas toujours activé par défaut pour les certificats privés. Meilleure pratique: implémentez l'agrafage OCSP si possible (les serveurs fournissent directement le statut de révocation et surveillent les systèmes vérifiant réellement la révocation. Avec la Managed PKI privée SwissSign, l'infrastructure de révocation est exploitée dans le cadre du service.

N'exploitez votre propre PKI interne que si vous avez des exigences réglementaires spécifiques exigeant une infrastructure de CA sur site, une expertise suffisante en sécurité IT pour configurer et sécuriser correctement les systèmes de la CA, du personnel dédié aux opérations courantes de la CA et aux mises à jour de sécurité, et le budget pour les HSM, l'infrastructure redondante et la reprise après sinistre. La plupart des organisations sous-estiment ces exigences.

La Managed PKI privée vous offre le même contrôle sur les politiques de certification et la délivrance de certificats tout en externalisant la charge opérationnelle. Vous gardez le contrôle sur les destinataires des certificats, la nomenclature et les extensions de certificats, les périodes de validité et les révocations, mais SwissSign exploite l'infrastructure CA, gère les mises à jour de sécurité, gère les HSM, garantit une haute disponibilité et veille à la conformité des audits. Sauf si vous avez des raisons impérieuses de gérer votre propre CA, les services gérés Managed réduisent les risques et les coûts.

Contrairement aux certificats publics (limités à 398 jours pour TLS, bientôt encore plus courts), vous pouvez définir vous-même la période de validité des certificats privés. Approches courantes: 1 à 2 ans pour les certificats d'utilisateur afin de garantir à la fois la sécurité et la commodité, 3 à 5 ans pour les certificats d'appareils dont le remplacement est difficile, 10 ans au minimum pour les certificats CA racine et intermédiaires, 90 jours au maximum pour les environnements automatisés de haute sécurité dans lesquels les certificats de courte durée réduisent la complexité de la révocation. Votre période de validité doit correspondre à vos capacités opérationnelles -- si vous ne pouvez pas renouveler de façon fiable les certificats d'appareils chaque année, émettez des certificats de 5 ans. Si vous disposez d'une automatisation complète via une solution de gestion du cycle de vie des certificats, les certificats de 90 jours offrent une meilleure sécurité. La PKI privée SwissSign prend en charge des périodes de validité flexibles, ce qui vous permet d'optimiser selon chaque cas d'usage au lieu d'imposer une politique à tous les types de certificats.

La PKI privée s'intègre aux systèmes IAM par le biais de plusieurs mécanismes. Pour les certificats d'utilisateur, l'intégration avec Active Directory ou LDAP permet l'inscription automatique des certificats liés aux comptes utilisateurs -- lorsqu'un utilisateur ou une utilisatrice s'authentifie à AD, cette personne peut recevoir automatiquement un certificat pour la signature d'e-mails ou l'accès VPN. Pour les certificats d'appareils, l'intégration avec MDM (Mobile Device Management) ou les systèmes de provisionnement d'appareils permet le déploiement automatique des certificats lors de l'inscription de l'appareil. L'intégration basée sur l'API permet à votre système IAM de demander des certificats par programme en fonction des changements de rôle ou des demandes d'accès. Le SCEP (Simple Certificate Enrollment Protocol) permet un enregistrement standardisé des appareils. Il est essentiel que la PKI privée de SwissSign fournisse les fonctionnalités d'émission de certificats tandis que votre système IAM contrôle les politiques relatives aux destinataires des certificats.

Cela dépend de la façon dont votre PKI privée est structurée. Meilleure pratique: conservez la propriété de votre certificat CA racine et de votre clé privée, même dans un modèle de service Managed. SwissSign peut générer et sécuriser une CA intermédiaire sous votre racine, de sorte que les certificats se lient à la racine de votre organisation. Si vous changez de fournisseur, vous utilisez votre CA racine et créez de nouveaux intermédiaires avec le nouveau fournisseur -- les certificats existants restent valables jusqu'à leur expiration. Alternative: SwissSign exploite la hiérarchie complète de la CA en tant que service. Dans ce modèle, la migration nécessite la réémission de tous les certificats depuis une nouvelle CA (soit un nouveau service Managed, soit votre propre infrastructure). Avant de vous engager dans une Managed PKI privée, clarifiez le modèle de propriété de la CA racine et garantissez-vous une stratégie de sortie ne nécessitant pas de réémission immédiate de tous les certificats.

Oui, la consignation exhaustive des vérifications est la norme pour les services de PKI privée. La PKI privée de SwissSign fournit des pistes d'audit indiquant: chaque demande de certificat et qui l'a autorisée, l'émission de certificat avec horodatage et identité du demandeur, les révocations de certificat et les codes de motif, les actions administratives telles que les modifications de politique ou les mises à jour de configuration de CA, et les journaux d'accès API pour la gestion de certificats par programme. Ces registres prennent en charge les exigences de conformité aux règlements telles que DORA, NIS2 et les normes sectorielles nécessitant l'imputabilité des certificats. Vous pouvez exporter les journaux d'audit pour les intégrer à votre système SIEM (Security Information and Event Management). Pour les industries réglementées, cette capacité d'audit est souvent l'une des principales raisons d'utiliser la Managed PKI plutôt que les certificats en libre-service qui ne sont pas consignés de façon exhaustive.