|
| À Propos Des Certificats Numériques | |
|
|
| Il existe de nombreuses Autorités de Certification (AC) qui offrent actuellement des certificats numériques, chacune d'entre elles proposant plusieurs produits de certification. Pour un utilisateur de certificats novice, il est souvent difficile de prendre une décision d'achat fondée. De même, certains utilisateurs expérimentés ne comprennent pas toutes les subtilités relatives aux produits disponibles sur le marché. |
| Notre but est de proposer des conseils objectifs sur la manière d'aborder l'achat de certificats SSL tout en éclaircissant certains points relatifs à ce produit et à cette industrie qui sont souvent mal compris. Nous espérons que vous trouverez ces informations utiles pour vous aider à faire le bon choix en fonction de votre commerce et de vos besoins de sécurité. |
| 1. Quand avez-vous besoin d'utiliser un certificat numérique? |
| La sécurisation des transmissions d'informations financières relatives au commerce électronique est actuellement l'application la plus importante des certificats SSL. Cependant, étant donné l'augmentation de l'usurpation d'identité, la protection des informations permettant l'identification des personnes devient plus importante que jamais. Cette catégorie de données comprend les numéros de sécurité sociale et de pièces d'identités ainsi que les adresses de courrier électronique. |
| Donc, si vous traitez des transactions financières sur votre site web, il ne fait absolument aucun doute que des certificats SSL sont requis. Si vous gérez des données sensibles de clients, l'utilisation de certificats SSL vaut la peine d'être sérieusement envisagée – surtout si la sécurité et le caractère privé des informations relatives à vos clients/membres sont de la plus haute priorité. |
| 2. Pourquoi utiliser un certificat numérique? |
| Il existe deux raisons principales qui justifient l'utilisation d'un certificat numérique : |
| [1] Pour prouver l'identité de votre société (ou de votre serveur) en ligne et créer ainsi un sentiment de confiance et de fiabilité en l’utilisation de votre site web. |
| [2] Pour offrir une protection des données envoyées à votre site web (ou entre serveurs) par l'intermédiaire du cryptage. Si jamais des informations étaient interceptées, elles seraient inintelligibles sans la clé unique nécessaire à leur décryptage. |
| Lorsque vous évaluez les caractéristiques d'un certificat, assurez-vous qu'il fournit chacune de ces conditions. |
| 3. Quel niveau d'authentification est offert par le certificat? |
| En sécurisant votre site web avec un certificat numérique, votre objectif principal est celui de fournir une preuve de votre identité en ligne et d'établir ainsi une relation de confiance avec les personnes avec lesquelles vous souhaitez communiquer via Internet. C'est là où l'authentification entre en jeu, car c'est l'élément le plus important d'un certificat numérique. |
| L'authentification fournit aux utilisateurs la preuve que : |
| [1] votre société existe réellement et est digne de foi. |
| [2] ils sont bien connectés au serveur désiré. |
| Le niveau d'authentification d'un certificat peut être considéré comme une indication de sa qualité – plus le niveau d'authentification est élevé, plus le niveau de qualité du certificat l'est également. Il est donc important de comprendre que les nombreux certificats numériques disponibles diffèrent les uns des autres par leur niveau d'authentification qui dépend de l’AC qui les émet, voire même du produit spécifique. |
| Certaines AC ne réalisent qu'une authentification très élémentaire avant d'émettre un certificat alors que d'autres réalisent des vérifications approfondies pour certifier l'identité de l'organisation soumettant la demande. Voici les différents contrôles d'authentification réalisés par les AC: |
- Consultation du domaine pour confirmer que la société sollicitante est propriétaire du domaine.
- Vérification de l'existence de la société afin de confirmer qu'il s'agit d'une organisation légalement constituée.
- Vérification de l'identité de la personne formalisant la requête pour confirmer qu'il s'agit d’un représentant autorisé.
|
| Toutes les Autorités de Certification réalisent un ou plusieurs de ces contrôles d'authentification. Le résultat est une gamme de produits qui diffèrent grandement quant au niveau de qualité. Il est important de remarquer que le plus grand le nombre de contrôles d’authentifications réalisés, le plus haut est le niveau de la qualité du certificat. Assurez-vous donc exactement de quels contrôles d'authentifications sont réalisées avant d'acheter un certificat. |
| 4. Que signifie être conforme aux principes WebTrust? |
| Un certain nombre d’AC ont obtenu la conformité WebTrust principalement parce que Microsoft oblige une AC à passer un audit WebTrust pour Autorité de Certification si elle souhaite que ses certificats racines soient inclus dans Windows XP / Internet Explorer. Mais il est important de comprendre exactement ce que cette certification implique. WebTrust ne définit pas de normes pour les AC, ni ne surveille ni ne réglemente les normes existantes. |
| La conformité WebTrust ne vous renseigne aucunement sur la qualité de l'authentification offerte - elle confirme seulement que l’AC concernée adhère à leurs propres politiques et procédures d'authentification déclarées. Ce qui signifie que, malheureusement, la conformité WebTrust ne fournit pas une base utile qui permette de réaliser des comparaisons entre les AC. |
| 5. Quelle est la puissance d'un certificat ? (Qu'est-ce que la technologie SGC?) |
| La puissance de cryptage d'un certificat est déterminée par le niveau de cryptage supporté par le navigateur utilisé pour se connecter à un site web et au serveur où le site web est hébergé. Cela signifie que les utilisateurs peuvent se connecter à 40-bit, 56-bit ou 128-bit suivant la version du navigateur qu'ils utilisent. |
| La plupart des certificats fonctionnent de cette manière – en fournissant un cryptage d'une puissance supportée par le navigateur et le serveur. Il est important de comprendre cette distinction puisqu'un grand nombre d’AC présentent leurs certificats comme étant 128-bit alors qu'en fait, ils accepteront et supporteront des sessions avec des puissances de cryptage variables (128-bit étant le niveau de cryptage le plus élevé possible). |
| Dans le passé, la législation du gouvernement des États-Unis empêchait l'exportation de la technologie de cryptage 128-bit. Cela occasionna la création de versions de navigateurs appelées "export" dont la capacité de cryptage était limitée à 40-bit et 56-bit. Ces navigateurs ont été distribués pendant de nombreuses années en dehors des États-Unis et furent même téléchargés par des utilisateurs basés aux USA. En 1997, le gouvernement américain abrogea l'interdiction de l'exportation du cryptage 128-bit. Cependant, encore aujourd'hui, de nombreuses versions "export" de navigateurs sont utilisées, principalement au niveau international mais également aux États-Unis. |
| Des certificats numériques ont été développés qui fournissent un cryptage 128-bit pour des navigateurs dont le cryptage par défaut est de 40-bit ou de 56-bit – les versions de navigateurs appelées "export" dont IE 5.01 et Netscape 4.7x et postérieur en font partie. Ces certificats disposent d'une technologie appelée SGC (Server Gated Cryptography) qui optimise automatiquement ces navigateurs à un niveau de cryptage 128-bit. Seul un nombre restreint d’AC fournit ces certificats, donc si vous avez besoin de la fonctionnalité d'optimisation de cryptage à 128-bit, assurez-vous de demander la technologie SGC. |
| 6. Quel est le produit qui répond idéalement à vos besoins? |
| Il existe plusieurs facteurs que vous devez prendre en compte au moment de choisir un certificat numérique. |
| D'abord, vous devez considérer la sensibilité des données à sécuriser. Il est évident que des informations financières et personnelles hautement confidentielles ainsi que des informations commerciales cruciales exigent les plus hauts niveaux d'authentification et de cryptage. Par contre, certains peuvent argumenter qu'il existe d'autres applications qui n'ont pas besoin de mesures de sécurité aussi rigoureuses. L'essentiel est que vous devez classer les différents types de données que vous gérez en fonction de leur importance pour vos affaires commerciales et choisir un certificat numérique pour l'activité en cours. |
| Dans certains pays, il existe maintenant une loi qui régit le niveau de cryptage nécessaire pour la protection des données. Ce type de loi est normalement prévu pour des industries qui gèrent un très grand nombre de données dont la sécurité et le caractère privé constituent une préoccupation majeure, tels que les services financiers ou les services de santé par exemple. En règle générale, il est demandé aux sociétés de garantir la protection des données avec un cryptage 128-bit – une obligation qui implique l'utilisation d'un type spécifique de certificat numérique. Dans ce cas, les certificats numériques capables d'optimiser le cryptage à 128-bit constituent le certificat de choix. |
| La situation géographique de votre client/utilisateur est également importante. La raison pour cela est que certaines versions d'anciens navigateurs dont un nombre significatif est encore utilisé au niveau international ne supportent pas automatiquement le cryptage 128-bit, mais seulement le 40-bit et le 56-bit. Il s'agit généralement des navigateurs appelés “export” qui ont été mis sur le marché en dehors des États-Unis pendant de nombreuses années. Il est également bon de remarquer que des utilisateurs aux États-Unis ont aussi téléchargé ces navigateurs d'exportation depuis des sites web basés hors des États-Unis. C'est pourquoi si vous réalisez du commerce en ligne en dehors des États-Unis et que le cryptage 128-bit est important pour vous, la technologie SGC d'optimisation de cryptage est indispensable. |
| En dernier lieu, il est important de considérer la durée du projet concerné. La plupart des certificats sont disponibles en versions d'un ou deux ans (ou plus). Si votre projet est prévu pour une durée plus longue, il convient d'envisager l'option du certificat de deux ans car, non seulement cela vous permet de profiter des remises de prix généralement proposées sur ces produits, mais cela vous offre également l'avantage supplémentaire de réduire la fréquence des travaux d'ingénierie et d'administration relatifs à l’installation lors du renouvellement de certificat. |
| 7. Pouvez-vous obtenir le support technique après-vente dont vous avez besoin? |
| Selon votre niveau d'expérience concernant le travail avec des certificats numériques, vous pourriez avoir besoin d'assistance aux divers étapes du cycle de vie du produit, depuis la requête initiale du certificat jusqu'à son installation, son renouvellement et la réémission possible d'un certificat si nécessaire. |
| Assurez-vous d'évaluer les capacités de support des AC potentiels. Ne vous contentez pas d e seulement évaluer la procédure commerciale initiale, car c'est toujours pour les circonstances les plus imprévues telles que la migration du serveur qu'un support compétent est précieux. |
| 8. Quelle est la réputation de l’AC? |
| Dans le monde des affaires, il est toujours important d'acheter chez des vendeurs établis et éprouvés - c'est encore plus vrai dans l'industrie haute technologie d'aujourd'hui. Et c'est d'autant plus important lors de l'achat de produits de sécurité tels que des certificats où le fait de recourir à une AC de confiance est fondamental pour réaliser un commerce en ligne efficace. |
| La réputation de l’AC peut vous fournir des réponses à d'autres questions traitées ici. Par exemple, plus l’AC compte d'années de service dans ce domaine, plus son infrastructure de support aura des chances d'être expérimentée et mieux développée. |
| 9. Est-ce que vous traitez avec une AC racine? |
| Il existe deux types d’AC – Les AC racines (Root CA) et les AC secondaires au chaînage (Chained CA). Les AC racines ont les racines de leurs certificats installées sur les principaux navigateurs, alors que les AC secondaires émettent leurs certificats à partir d’une racine d’une AC racine. |
| L'existence des AC secondaires au chaînage est liée au problème de compatibilité de certificat avec les différents types et versions de navigateurs actuellement utilisés. Les AC qui existent depuis plus longtemps ont pu intégrer leurs racines dans chaque type et version de navigateur qui ont été mis sur le marché au fil des années. Leur compatibilité certificat-navigateur est donc extrêmement élevée. Les AC plus récents ne peuvent pas atteindre ce niveau de compatibilité car ils ne peuvent inclure leurs racines que dans les navigateurs récemment mis sur le marché et la seule possibilité qu'ils ont d'obtenir le niveau souhaité de compatibilité est d'émettre des certificats signés avec la racine d'une AC qui dispose déjà du niveau de compatibilité désiré (ceci est connu sous le nom de “Chaînage”). |
| L'inconvénient principal des AC secondaires au chaînage est le fait qu'ils ne sont pas propriétaires et donc, ne contrôlent pas la racine utilisée pour émettre leurs certificats. Du point de vue du client du certificat, cela peut entraîner des problèmes potentiels car leurs certificats sont vulnérables et peuvent être invalidés si les termes de l'accord de chaînage sont rompus ou peuvent être affectés par un changement de propriétaire de la racine. |
