Qu'est-ce qu'un magasin de confiance ? Le guide complet

Un magasin de confiance est un fichier ou un référentiel système qui contient un ensemble organisé de certificats numériques émis par des autorités de certification que le système considère comme fiables. Lorsqu'une application doit vérifier l'identité d'une partie distante, elle contrôle si le certificat présenté a été émis par une CA dont le certificat figure dans le magasin de confiance.

Le magasin de confiance ne contient pas de clés privées. Il ne contient que des certificats publics, plus précisément les certificats de CA racines et de CA intermédiaires qui font office d'ancres de confiance. C'est la distinction essentielle entre un magasin de confiance et un magasin de clés. Un magasin de confiance répond à une seule question : « Dois-je faire confiance à ce certificat ? » Il y répond en vérifiant que la chaîne de confiance du certificat aboutit à une CA racine présente dans le magasin.

Chaque équipement que vous utilisez possède au moins un magasin de confiance. Votre navigateur en possède un. Votre système d'exploitation en possède un. Votre environnement Java en possède un. Vos images de conteneur en possèdent un. Chacun de ces magasins de confiance est géré indépendamment, ce qui signifie qu'ils peuvent contenir des ensembles de CA différents et produire des décisions de confiance différentes pour un même certificat.

La confusion entre magasins de confiance et magasins de clés est l'une des sources les plus fréquentes d'erreurs de configuration TLS, en particulier dans les environnements Java où les deux sont stockés dans le même format de fichier (JKS ou PKCS#12).

La relation est directionnelle. Lorsque votre serveur reçoit une connexion TLS entrante, il extrait son propre certificat du magasin de clés pour le présenter au client. Lorsque votre client se connecte à un serveur, il utilise le magasin de confiance pour valider le certificat du serveur. En TLS mutuel, les deux parties utilisent les deux magasins : chacune présente un certificat issu de son magasin de clés et valide celui de l'autre via son magasin de confiance.

Une erreur fréquente consiste à importer un certificat de CA dans le magasin de clés au lieu du magasin de confiance, ou à importer la clé privée d'un serveur dans le magasin de confiance. Ces deux erreurs provoquent des défaillances TLS difficiles à diagnostiquer car les messages d'erreur sont souvent génériques (« PKIX path building failed » ou « unable to find valid certification path »).

Le magasin de confiance joue un rôle précis au cours de la poignée de main TLS. Comprendre exactement à quel moment et comment il est consulté permet d'expliquer pourquoi ses erreurs de configuration produisent les erreurs constatées.

C'est la raison pour laquelle l'ajout du certificat racine d'une CA privée à votre magasin de confiance est indispensable lorsque vous utilisez des certificats émis en interne. Sans cette étape, toute connexion TLS vers des services utilisant cette CA privée échouera avec une erreur de confiance.

Les différents systèmes d'exploitation, environnements d'exécution et applications gèrent leur propre magasin de confiance, chacun avec son format, son emplacement et ses outils de gestion. Cette fragmentation est une source majeure de complexité opérationnelle en environnement d'entreprise.

### Magasin de confiance Java (JKS et PKCS#12)

Le magasin de confiance Java est un fichier, traditionnellement au format JKS (Java KeyStore), nommé `cacerts` et situé dans l'environnement d'exécution Java à `$JAVA_HOME/lib/security/cacerts`. Depuis Java 9, PKCS#12 est devenu le type de magasin de clés par défaut pour les nouveaux magasins, même si la plupart des installations existantes utilisent encore JKS.

Le mot de passe par défaut du magasin de confiance Java est `changeit`. Sa gestion s'effectue avec l'utilitaire en ligne de commande `keytool` :

- Lister les certificats approuvés : `keytool -list -keystore $JAVA_HOME/lib/security/cacerts` - Importer un certificat de CA : `keytool -importcert -alias myca -file ca.pem -keystore $JAVA_HOME/lib/security/cacerts` - Supprimer un certificat de CA : `keytool -delete -alias myca -keystore $JAVA_HOME/lib/security/cacerts`

Les applications Java utilisent le magasin de confiance indiqué par `javax.net.ssl.trustStore`. Si aucun n'est spécifié, la JVM se replie sur le fichier `cacerts` du JRE actif. Cela signifie que différentes applications Java sur un même hôte peuvent utiliser des magasins de confiance distincts, et qu'une mise à niveau du JRE peut réinitialiser le magasin de confiance à ses valeurs par défaut, supprimant tous les certificats de CA personnalisés que vous y aviez ajoutés.

### Magasin de certificats Windows

Windows utilise un magasin de certificats à l'échelle du système, géré via la Microsoft Management Console (MMC) ou l'outil en ligne de commande `certutil`. Le magasin de confiance correspond à la zone « Autorités de certification racines de confiance », accessible via `certmgr.msc` pour l'utilisateur courant ou `certlm.msc` pour la machine locale.

Windows présente un comportement particulier : il n'est pas livré avec tous les certificats racines préinstallés. Il s'appuie sur le Microsoft Trusted Root Certificate Program et télécharge les certificats racines à la demande depuis Windows Update lors de leur première utilisation. Ce comportement peut provoquer des défaillances de confiance inattendues sur des systèmes isolés du réseau ou sur des machines qui ne peuvent pas atteindre Windows Update.

Les administrateurs distribuent les certificats de CA personnalisés au magasin de confiance Windows via des objets de stratégie de groupe (GPO), ce qui permet une gestion centralisée de la confiance sur des milliers de machines. C'est le mécanisme standard pour faire approuver une CA privée dans un environnement de domaine Windows.

### Magasin de confiance macOS (Keychain)

Sur macOS, le magasin de confiance est géré via l'application Trousseau d'accès (Keychain Access) ou l'outil en ligne de commande `security`. Les racines de confiance au niveau du système sont stockées dans le trousseau System Roots à `/System/Library/Keychains/SystemRootCertificates.keychain`. Les certificats de CA personnalisés sont généralement ajoutés au trousseau System.

Ajouter une CA au magasin de confiance macOS requiert deux étapes : importer le certificat, puis définir explicitement sa stratégie de confiance sur « Toujours approuver ». Le simple import du certificat ne suffit pas. Dans les environnements gérés par MDM, des profils de configuration peuvent déployer des certificats de CA approuvés sur l'ensemble du parc macOS.

macOS gère son propre programme de racines (le Apple Root Certificate Program), indépendant des programmes Mozilla ou Microsoft. Cela signifie qu'une CA approuvée sous Windows peut ne pas l'être sous macOS, et inversement.

### Magasin de confiance Linux

Les distributions Linux stockent les certificats de CA approuvés sous forme de fichiers PEM dans un répertoire système, mais l'emplacement exact et l'outil de gestion varient selon la distribution :

- Debian/Ubuntu : certificats dans `/usr/local/share/ca-certificates/`, gérés avec `update-ca-certificates` - RHEL/CentOS/Fedora : certificats dans `/etc/pki/ca-trust/source/anchors/`, gérés avec `update-ca-trust` - Alpine : certificats dans `/usr/local/share/ca-certificates/`, gérés avec `update-ca-certificates`

Le bundle de confiance consolidé est généralement écrit dans `/etc/ssl/certs/ca-certificates.crt` (Debian) ou `/etc/pki/tls/certs/ca-bundle.crt` (RHEL). Les applications qui utilisent OpenSSL ou GnuTLS s'appuient sur ce bundle par défaut.

Les images de conteneur méritent une attention particulière. Une image Docker minimale peut inclure un magasin de confiance allégé, voire aucun. Si votre application conteneurisée doit faire confiance à une CA privée, vous devez ajouter le certificat de la CA au magasin de confiance du conteneur lors du build de l'image. Oublier cette étape compte parmi les causes les plus fréquentes de défaillances TLS dans les environnements conteneurisés.

### Magasins de confiance des navigateurs

Les navigateurs gèrent leurs propres décisions de confiance, et tous n'utilisent pas le magasin de confiance du système d'exploitation :

- Chrome et Edge utilisent le magasin de confiance du système d'exploitation sous Windows et macOS, mais Chrome applique des contraintes supplémentaires via le Chrome Root Program et les exigences de Certificate Transparency. - Firefox utilise son propre magasin de confiance intégré (le magasin Mozilla NSS), indépendant du système d'exploitation. Un certificat de CA ajouté au magasin de confiance Windows ou macOS ne sera pas reconnu par Firefox, sauf à être importé séparément dans le gestionnaire de certificats de Firefox ou déployé via une stratégie d'entreprise. - Safari utilise exclusivement le magasin de confiance système de macOS ou d'iOS.

Cela signifie que dans un environnement d'entreprise, déployer le certificat d'une CA privée uniquement dans le magasin de confiance du système d'exploitation ne suffit pas si les collaborateurs utilisent Firefox. Vous devez également le déployer via les stratégies d'entreprise Firefox ou utiliser l'outil `certutil` pour modifier la base NSS de Firefox.

Dans un petit environnement, ajouter manuellement un certificat de CA à quelques magasins de confiance reste gérable. Dans une entreprise avec des milliers de serveurs, plusieurs systèmes d'exploitation, des charges conteneurisées et une grande diversité de piles applicatives, la gestion des magasins de confiance devient un défi opérationnel majeur.

Les problèmes principaux sont la fragmentation et la dérive. Une même organisation peut avoir à gérer des magasins de confiance sur des serveurs Windows (magasin système), des serveurs Linux (magasins propres à la distribution), des applications Java (fichiers cacerts par JRE), des conteneurs (magasins au niveau de l'image), des postes de développement (magasins du système d'exploitation et du navigateur) et des terminaux mobiles (profils gérés par MDM). Chacun de ces magasins doit contenir le même ensemble de CA approuvées pour un comportement cohérent, et pourtant chacun utilise un format et un mécanisme de gestion différents.

Les problèmes de magasin de confiance représentent une part importante des incidents liés au TLS. Les symptômes sont généralement des messages d'erreur génériques qui ne pointent pas directement vers le magasin de confiance.

Une gestion efficace des magasins de confiance s'appuie sur un ensemble de principes qui passent à l'échelle, d'un serveur unique à une infrastructure mondiale.