Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Part 3 · PKI Architecture Intermediate 10 min read

Chaînes de certificats et confiance

Un seul certificat ne suffit jamais. La confiance sur Internet repose sur des chaînes, des séquences liées de certificats qui relient celui présent sur votre serveur jusqu'à une racine déjà reconnue par votre navigateur.

En bref

Type
Educational
Niveau
Intermediate
Chapitre
11 sur 25
Suivant
Le standard X.509 expliqué

Vue d'ensemble

Lorsque votre navigateur se connecte à un site web en HTTPS, il n'accepte pas le certificat numérique du serveur sans vérification. Il suit au contraire une chaîne de signatures, du certificat présent sur le serveur, en passant par un ou plusieurs certificats intermédiaires, jusqu'à un certificat racine déjà intégré au magasin de confiance du navigateur. Si chaque maillon de cette chaîne est valide, la connexion est approuvée. Si un seul maillon est rompu, la connexion échoue.

Ce mécanisme, la chaîne de certificats (ou chaîne de confiance), est ce qui rend la PKI évolutive. Une poignée d'autorités racines peuvent attester de milliers d'autorités intermédiaires, qui peuvent à leur tour émettre des millions de certificats finaux. Aucune autorité unique n'a besoin de signer chaque certificat dans le monde. La confiance est déléguée, organisée en couches et vérifiable à chaque étape.

Comprendre le fonctionnement des chaînes n'est pas qu'un sujet académique. Les chaînes mal configurées comptent parmi les causes les plus fréquentes des erreurs TLS, des interruptions liées aux certificats et des intégrations défaillantes. Si vous avez déjà vu un avertissement de navigateur indiquant que « le certificat n'est pas approuvé » (alors même que le certificat lui-même est valide), le problème provenait presque certainement d'une chaîne rompue.

Étapes clés

1

Certificat de l'autorité racine

Au sommet de la chaîne se trouve l'autorité de certification racine. Le certificat de la CA racine est auto-signé : il est signé avec sa propre clé privée, car aucune autorité supérieure ne peut l'attester. La confiance accordée à une CA racine vient plutôt de son inclusion dans les magasins de confiance maintenus par les éditeurs de systèmes d'exploitation et de navigateurs. Les CA racines sont conservées hors ligne, leurs clés stockées dans des HSM, et elles ne servent qu'à signer les certificats des CA intermédiaires.

2

Certificat(s) de CA intermédiaire(s)

Les CA intermédiaires (aussi appelées CA subordonnées) sont signées par la CA racine. Elles se situent au milieu de la chaîne et assurent le véritable travail d'émission des certificats finaux. Cette couche existe pour des raisons de sécurité : si une CA intermédiaire est compromise, la racine peut révoquer son certificat sans détruire l'ensemble de la PKI. Il peut y avoir un ou plusieurs niveaux intermédiaires, même si la plupart des PKI publiques en utilisent un ou deux.

3

Certificat final (feuille)

Il s'agit du certificat installé sur le serveur, l'équipement ou l'application. Il est signé par une CA intermédiaire. Le certificat final contient la clé publique du serveur, son nom de domaine (dans les champs Subject ou SAN), ainsi que les informations sur l'émetteur pointant vers la CA intermédiaire. Il ne peut pas signer d'autres certificats ; il constitue la « feuille » de la chaîne.

Comment nous aidons

Evertrust & Chaînes de certificats et confiance

Détecter automatiquement les chaînes rompuesEvertrust CLM surveille en continu les certificats déployés et signale les problèmes de chaîne (intermédiaires manquants, CA expirées, configurations incorrectes) avant qu'ils ne provoquent une interruption.

Cartographier l'ensemble de votre hiérarchie de CAVisualisez les relations entre CA racines, CA intermédiaires et certificats finaux dans votre infrastructure. Identifiez quels certificats dépendent de quelles CA et recevez des alertes précoces lorsqu'un certificat de CA approche de son expiration.

Valider les chaînes à grande échelleEvertrust CLM valide les chaînes sur l'ensemble de votre inventaire de certificats, identifiant des problèmes de confiance qu'il serait impossible de détecter manuellement à l'échelle de milliers de certificats.

Prévenir les interruptions de manière proactiveLes alertes en temps réel sur les anomalies de chaîne, les intermédiaires expirants et les modifications des magasins de confiance permettent à vos équipes d'agir avant que les utilisateurs ne soient impactés.

Parler à un expert Découvrir CLM
Comment fonctionne la PKI Le standard X.509 expliqué