Mythes sur les Autorités de Certification
Les Autorités de Certification (AC) et les infrastructures SSL sont depuis longtemps victimes de nombreuses idées fausses à leur sujet. Voici une liste des mythes les plus répandus. Elle a d'abord été publiée par le Conseil de Sécurité des Autorités de Certification (CASC). GlobalSign et les autres membres du CASC se sont unis, afin de s'attaquer à ces mythes et rétablir la vérité.
Mythe No1 : les AC ne sont soumises à aucune réglementation
Faux ! Avant qu'elles ne soient ajoutées au magasin d’AC racines des navigateurs, les Autorités de Certification sont soumises à divers processus de vérification et à des bilans, tels que les audits qualifiés WebTrust ou ETSI. Elles doivent également se conformer à des critères stricts établis par les navigateurs. De la même manière, les exigences de bases et les conseils de sécurité des réseaux du CA/B Forum se sont imposés comme les normes à suivre pour l'émission des certificats. Ils feront bientôt partie des contrôles auxquels les AC devront se soumettre lors des processus d'audit. Les navigateurs peuvent également utiliser ces critères pour exclure de leur magasin d’AC racines toute Autorité de Certification non conforme.
Mythe No2 : les AC n'apportent aucune valeur ajoutée
Faux ! Depuis près de vingt ans, les Autorités de Certification jouent un rôle essentiel de protecteurs de la confiance en ligne grâce à des méthodes rigoureuses de validation des demandes de certificats numériques. Ces méthodes varient selon le type de certificat : des informations, telles que le contrôle du domaine, l’existence légale de l'organisation ou le droit du demandeur de commander un certificat au nom de son entreprise, sont vérifiées avant d'être validées. Les Autorités de Certification dépensent de larges sommes dans la sécurité de leurs centres de données et de leurs opérations internes, dans la formation de leurs employés aux meilleures pratiques de validation et d'émission de certificats, et dans l'implémentation des contrôles requis au moyen de tests réguliers de pénétration et des vulnérabilités. Cela a lieu en plus des audits annuels effectués par des organisations spécialisées. Les certificats auto-signés (ceux qui ont été émis sans avoir été soumis au processus d'authentification d'une Autorité de Certification) permettent de chiffrer les contenus depuis et vers un site web mais ne garantissent en rien son identité.
Mythe No3 : tous les types de certificats émis par les AC sont identiques
Faux ! Les Autorités de Certification émettent différents types de certificats qui remplissent chacun des objectifs bien distincts. Parmi eux, les certificats SSL pour la sécurisation des transactions en ligne, les certificats de signature de code pour la protection des applications contre les modifications et risques de malware, les certificats S/MIME pour l'authentification des e-mails, et les certificats de clients pour l'authentification dans le cadre des infrastructures PKI des entreprises.
Il existe également différent types de certificats SSL, en fonction desquels le niveau de validation est différent. Les éléments suivants peuvent être alors vérifiés :
- Le droit de propriété du domaine (DV) de l'entité effectuant la demande de certificat
- L'existence légale de l'organisation et le droit du demandeur de commander un certificat au nom de celle-ci (OV)
- Un numéro de téléphone enregistré au nom de l'organisation, son adresse légale et l'accord d'un représentant autorisé (EV)
- Les certificats EV et OV comprennent tous deux des informations d'identification sur leur propriétaire dans le champ « organisation »
Mythe No4 : les AC sont fermées d'esprit, manquent de réactivité et acceptent difficilement les changements nécessaires au protocole SSL
Faux ! Ce mythe a été propagé par ceux qui s'opposent activement aux Autorités de Certification et prônent l'utilisation de modèles alternatifs. Les membres du CASC font partie de plus d'une dizaine d'organisations dédiées à l'établissement de normes pour le secteur. Elles participent également à des groupes pédagogiques et de recherche, ainsi qu'à la création et à l'adoption de nouvelles réglementations. Les membres du CASC collaborent avec les navigateurs et d'autres acteurs clés du secteur, afin de renforcer la sécurité d'Internet grâce à un travail de recherche approfondie et à la mise en œuvre de mesures de précaution. En grande majorité, le dialogue entre ces différentes parties est ouvert au publique, au travers des discussions du CA/B Forum, par exemple.
Mythe No5 : la sécurité SSL est vulnérable et doit être remplacée par un nouveau système d'authentification des identités en ligne
Faux ! Le protocole SSL est réputé pour sa solidité et les certificats SSL constituent le système de chiffrement le plus fiable et le plus flexible au monde. Les rapports sur les incidents de sécurité très médiatisés prouvent que ceux-ci sont généralement dus à un manque de contrôle de sécurité interne plus stricte au sein des entreprises, plutôt qu’à une faille du système global. Les membres du CASC s’évertuent à renforcer les normes internationales, afin de réduire les risques d’incidents similaires à l’avenir. Bien qu’aucune solution de sécurité ne soit complètement infaillible, en raison notamment de l’évolution des menaces, il est clair que la méthode la plus efficace est celle qui s’engage à initier des améliorations pratiques et flexibles du système actuel, plutôt qu’à chercher à remplacer les Autorités de Certification de confiance par de nouvelles technologies limitées et inconnues.
Mythe No6 : le SSL est un système obsolète et trop vulnérable pour une utilisation sur le long terme
Faux ! Depuis plus de vingt ans, les certificats émis par des AC de confiance forment la colonne vertébrale de la sécurité du Web et la méthode de protection des transactions en ligne la plus fiable, la plus flexible et la plus réputée. Les AC collaborent activement avec les navigateurs et d’autres acteurs clés, afin d’améliorer le protocole SSL et mettre en œuvre de nouvelles fonctionnalités qui s’adaptent à l’évolution des menaces et permettent de protéger tous les utilisateurs.
Mythe No7 : il existe plus de 600 AC dans le monde, c’est beaucoup trop et le SSL est un produit de base
Faux ! Bien que des centaines de certificats intermédiaires existent dans le monde, le magasin d’AC racines de Mozilla contient le nom de seulement soixante-cinq certificats racine de confiance et plus de 99 % des certificats SSL actifs sont émis depuis le certificat racine des sept plus importantes Autorités de Certification au monde. Chacune d’entre elle est soumise à un audit WebTrust effectué par un cabinet d'expertise accrédité et elles doivent toutes se conformer aux normes du CA/B Forum et d’autres organismes clés. Chaque Autorité de Certification est responsable envers ses clients et envers les opérateurs des magasins d’AC racines des navigateurs. Sous la responsabilité des Autorités de Certification, le secteur du SSL a toujours eu une longueur d'avance sur l’évolution des menaces. Parmi les changements entrepris récemment par les AC, on peut citer la dépréciation des noms d'hôte internes, le déploiement des certificats SHA-2 et 2048 bits, et l'amélioration des directives de sécurité. La capacité d'une Autorité de Certification à évoluer est le fondement même de la sécurité d’Internet.
Mythe No8 : la révocation des certificats est inutile ou ne fonctionne pas. Ses avantages ne valent pas les problèmes de performance de navigateurs qu'elle engendre
Faux ! La révocation des certificats joue un rôle essentiel dans l'écosystème SSL en qualité d'outil d'authentification principal qui détermine si un certificat est fiable. Chaque jour, des milliards de demandes de statut de certificats sont envoyées aux serveurs de réponse de révocation. Ces serveurs, situés aux quatre coins du monde, informent les navigateurs sur la validité des certificats. Ce processus permet de protéger les utilisateurs, en garantissant que les navigateurs sont à jour sur les menaces et les problèmes qui ont lieu au niveau mondial. Les membres du CASC collaborent avec les navigateurs et d'autres acteurs clés, afin de toujours améliorer les méthodes existantes et de développer de nouveaux systèmes de révocation permettant d’équilibrer performance et sécurité et garantissant une expérience la plus fiable possible aux utilisateurs du Web.
Mythe No9 : les AC n'ont aucun intérêt à innover et à encourager l'adoption des changements nécessaires
Faux ! Les Autorités de Certification ont tout intérêt à mettre en œuvre les changements nécessaires et collaborent entre elles, afin d'améliorer le système SSL. La réputation d'une Autorité de Certification est indispensable à sa survie. C'est pourquoi les membres du CASC travaillent très dur à l'évolution du secteur et au maintien d'une attitude de sécurité agressive et efficace envers leurs propres systèmes et ceux de leurs clients. Les normes obligatoires récemment adoptées incluent, entre autres :
- Les exigences de base
- Les conseils de sécurité des réseaux
- Les signatures de code à validation étendue (EV) et l’amélioration des normes pour les certificats EV SSL
Cet article est extrait d'une publication originale du Conseil de Sécurité des Autorités de Certification dont GlobalSign fait partie. Vous trouverez la publication originale sur le site de Case Security.