Certificat électronique - Définition

Description du certificat

Contenu

Il existe 4 types de certificats en fonction du niveau de sécurité:

• classe 1 : Pour les individus : adresse électronique du demandeur requise;
• classe 2 : Pour les organisations ou individus : preuve de l'identité requise (photocopie de carte d'identité par exemple ou bien numéro SIRET/SIREN et nom de domaine);
• classe 3 : Pour les serveurs ou logiciels dont le titulaire a été authentifié (présentation physique du demandeur obligatoire).
• classe 3+ : identique à la classe 3, mais le certificat est stocké sur un support physique (clé USB à puce, ou carte à puce; exclut donc les certificats logiciels)

Tel qu'on l'utilise en cryptographie et en sécurité informatique, un certificat électronique est un bloc de données contenant, dans un format spécifié, les parties suivantes :

• un numéro de série;
• l'identification de l'algorithme de signature;
• la désignation de l'autorité de certification émettrice du certificat;
• la période de validité au-delà de laquelle il sera suspendu ou révoqué;
• le nom du titulaire de la clé publique;
• l'identification de l'algorithme de chiffrement et la valeur de la clé publique constitués d'une paire de clés asymétriques (comme par exemple RSA);
• des informations complémentaires optionnelles;
• l'identification de l'algorithme de signature et la valeur de la signature numérique.

Un certificat électronique est géré tout au long de son cycle de vie (Certificate revocation list (CRL), Protocole de vérification en ligne de certificat) avec une infrastructure à clés publiques (PKI pour Public Key Infrastructure).

Normes

Les certificats électroniques respectent des standards spécifiant leur contenu de façon rigoureuse. En particulier, la norme X.509 en version 1, 2 et 3 définit à travers plusieurs RFC (requests for comments) les propriétés et usages de certificats électronique X.509. Les certificats à la norme X.509 se distinguent des solutions de simple cryptographie (signature et chiffrement) comme OpenPGP (normalisé dans le RFC 2440) par le fait qu'ils contiennent des champs d'information certifiés par des autorités de certification reconnues. Ces champs sont visibles en cliquant sur le petit cadenas d'un navigateur web. Par exemple : un certificat contient le nom de l'entité juridique vérifiée dans le champ Organisation du certificat (société ou personne physique), on y trouve aussi des informations comme le pays et la ville. Le processus d'audit et de vérification de ces informations par les autorités de certification est normalisé dans la norme "webtrust" et à pour but principal d'introduire de la confiance dans les échanges numériques. Les normes sont en perpétuelle évolution, il faut se tenir informé de leurs avancées.