Termes de la PKI
Amanda DavisPartager
La Public Key Infrastructure (PKI) constitue la base de la sécurité des certificats SSL modernes et des systèmes de confiance numérique.
La compréhension de la terminologie clé aide les organisations à mettre en œuvre des mesures de sécurité solides et à prendre des décisions éclairées quant à leurs besoins en matière de SSL Certificates.
Trustico® fournit cette vue d'ensemble des concepts essentiels de la PKI pour aider à clarifier le monde complexe de la sécurité numérique.
Composants et concepts essentiels de la PKI
Les éléments fondamentaux de la PKI comprennent les paires de clés publiques et privées, qui fonctionnent ensemble pour permettre des communications sécurisées.
Une clé publique peut être librement distribuée, tandis que la clé privée correspondante doit rester protégée par son propriétaire. Ce système de cryptage asymétrique permet aux SSL Certificates de fonctionner efficacement pour sécuriser les communications sur le web.
Les Certificate Authorities (CA) sont des tiers de confiance qui valident et émettent les SSL Certificates. Ces organisations suivent des directives industrielles et des pratiques de sécurité strictes afin de maintenir l'intégrité de l'écosystème PKI.
Lorsqu'une CA émet un SSL Certificate, elle se porte garante de la légitimité du détenteur du SSL Certificate.
Une Certificate Signing Request (CSR) constitue la première étape de l'obtention d'un SSL Certificate. Ce fichier codé contient les informations relatives à l'organisation du demandeur et la clé publique, que l'autorité de certification utilise pour générer le SSL Certificate final.
La création d'une CSR correctement formatée est cruciale pour la réussite de l'émission d'un SSL Certificate.
Termes d'authentification et de validation
Domain Validation (DV), Organization Validation (OV) et Extended Validation (EV) représentent les trois principaux types de niveaux de validation des SSL Certificates.
Chaque niveau exige une vérification progressivement plus approfondie de l'identité de l'organisation requérante avant qu'un SSL Certificate puisse être émis.
Le Common Name (CN) fait référence au nom de domaine entièrement qualifié que le SSL Certificate sécurisera. Pour les SSL Certificates avec caractères génériques, le Common Name comprend un astérisque pour indiquer la couverture de plusieurs sous-domaines.
Comprendre le formatage correct du Common Name permet d'éviter les problèmes de mise en œuvre des SSL Certificates.
Le Subject Alternate Name (SAN) permet à un seul certificat SSL de sécuriser plusieurs noms de domaine. Cette fonction offre de la flexibilité et des économies par rapport à l'achat de certificats SSL individuels pour chaque domaine.
Les certificats SSL modernes utilisent généralement la fonctionnalité SAN pour protéger plusieurs domaines connexes.
Protocoles et normes de sécurité
Transport Layer Security (TLS) représente la norme actuelle pour les communications cryptées, ayant évolué à partir de l'ancien protocole Secure Sockets Layer (certificat SSL).
Bien que nous utilisions toujours le terme SSL Certificates, les implémentations modernes utilisent les protocoles TLS pour une sécurité et des performances accrues.
La norme X.509 définit le format standard des SSL Certificates et autres certificats numériques SSL.
Cette norme internationalement reconnue garantit la compatibilité entre différents systèmes et applications. Tous les SSL Certificates légitimes sont conformes aux spécifications X.
509 pour ce qui est de la structure et du contenu.
Le protocole OCSP (Online SSL Certificate Status Protocol) permet de vérifier en temps réel la validité des certificats SSL.
L'agrafage OCSP améliore ce processus en permettant aux serveurs web de mettre en cache la réponse OCSP, ce qui réduit les temps de recherche et améliore les performances tout en maintenant la sécurité.
Gestion et stockage des clés
Les modules de sécurité matériels (HSM) assurent le stockage sécurisé des clés privées et d'autres éléments cryptographiques sensibles. Ces dispositifs spécialisés offrent une protection physique et logique contre les accès non autorisés ou les manipulations.
De nombreuses Certificate Authorities utilisent des HSM dans le cadre de leur infrastructure de sécurité.
La longueur de clé fait référence à la taille des clés cryptographiques utilisées dans les SSL Certificates, généralement mesurée en bits.
Les clés plus longues offrent une sécurité plus forte mais nécessitent davantage de ressources informatiques. Les normes industrielles actuelles recommandent des longueurs de clés minimales de 2048 bits pour les clés RSA.
La révocation d'un SSL Certificate se produit lorsqu'un SSL Certificate doit être invalidé avant sa date d'expiration naturelle. Cela peut se produire en raison de la compromission de la clé privée, de changements dans l'organisation ou d'autres problèmes de sécurité.
Les certificats SSL Revocation List (CRL) et OCSP fournissent des mécanismes de vérification de l'état de validité des certificats SSL.
