Fondamentaux

Certificats, PKI et TLS

Les certificats et TLS permettent de chiffrer les échanges, d'authentifier un serveur et de construire une chaîne de confiance. Ils sont partout : sites web, API, VPN, emails, outils internes et services cloud.

Pourquoi c'est important

HTTPS ne fonctionne pas seulement grâce au chiffrement. Il repose aussi sur une vérification d'identité : le navigateur doit pouvoir vérifier que le certificat présenté correspond bien au domaine demandé.

Navigateur

Certificat du serveur

Chaîne de confiance

Autorité de certification reconnue

Si cette chaîne est cassée, le navigateur affiche une alerte.

Certificat

Un certificat contient notamment :

  • nom du domaine
  • clé publique
  • période de validité
  • autorité émettrice
  • usages autorisés
  • signature de l'autorité

Le certificat ne contient pas la clé privée. La clé privée doit rester protégée côté serveur.

PKI

PKI signifie Public Key Infrastructure. C'est l'ensemble des règles, autorités, certificats et procédures qui permettent de gérer la confiance.

ÉlémentRôle
CAAutorité de certification
CertificatAtteste une identité ou un usage
Clé privéeSecret à protéger
ChaîneLien entre certificat serveur et CA racine
RévocationAnnulation d'un certificat compromis

Chaîne de confiance

Un certificat serveur est souvent signé par une autorité intermédiaire, elle-même liée à une autorité racine déjà connue du système ou du navigateur.

Certificat serveur

CA intermédiaire

CA racine

Une chaîne incomplète peut provoquer des erreurs TLS même si le certificat serveur paraît valide.

Erreurs fréquentes

  • certificat expiré
  • certificat émis pour un autre domaine
  • chaîne intermédiaire manquante
  • clé privée exposée
  • TLS ancien encore activé
  • redirection HTTP mal configurée
  • certificat autosigné utilisé en production publique
  • renouvellement automatique cassé

Vérifications utiles

openssl s_client -connect example.com:443 -servername example.com
curl -Iv https://example.com

À vérifier :

  • domaine présenté
  • dates de validité
  • autorité émettrice
  • chaîne complète
  • versions TLS supportées
  • redirection HTTP vers HTTPS

Bonnes pratiques

  • automatiser le renouvellement
  • protéger la clé privée
  • désactiver TLS obsolète
  • utiliser HSTS quand le site est prêt
  • surveiller les expirations
  • documenter les certificats internes
  • révoquer en cas d'exposition de clé

À retenir

TLS protège le transport, mais la sécurité dépend aussi de la chaîne de confiance, de la clé privée, de la configuration serveur et du renouvellement.

Précédent
HTTP et HTTPS
Suivant
API et sécurité des API