Certificat racine
En cryptographie et en sécurité informatique, un certificat racine est un certificat électronique non signé ou auto-signé qui identifie une autorité de certification (AC)[1]. Un certificat racine appartient à une infrastructure à clés publiques. Le type de certificat le plus répandu dans le commerce est basé sur le standard UIT-T X.509, qui inclut normalement la signature numérique d'une autorité de certification.
Description
Les certificats électroniques sont vérifiés au moyen d'une chaîne de confiance. Le point d'ancrage de cette chaîne est l'autorité de certification racine.
Une autorité de certification peut émettre de multiples certificats électroniques, structurés en arborescence. Un certificat racine est le certificat au sommet de l'arborescence de certification. Sa clé privée est utilisée pour signer les autres certificats. Tous les certificats immédiatement sous le certificat racine héritent de la confiance de cette racine — la signature par un certificat racine peut être comparée à l'authentification d'une identité par un notaire dans le monde réel. Les certificats situés plus bas dans la structure dépendent également du niveau de confiance accordée aux intermédiaires, souvent désignés sous le nom d'autorités de certification subordonnées.
De nombreux logiciels classent d'office ces certificats racines comme étant de confiance. Par exemple, un navigateur web les utilise pour vérifier les identités lors d'une connexion sécurisée par TLS. Toutefois, cela implique que les utilisateurs accordent leur confiance à l'éditeur du navigateur, aux autorités de certification qu'il approuve, et à tous les intermédiaires auxquels ces autorités de certification peuvent avoir donné le droit de certifier leurs certificats, pour vérifier l'identité et les intentions de toutes les parties qui possèdent les certificats. Cette transitivité dans la confiance en un certificat racine représente le cas standard, et est toujours présumée dans le modèle de chaînes de certificats X.509.
La confiance d'un certificat racine est habituellement fixée par un autre mécanisme qu'un certificat, comme une distribution physique sécurisée. Par exemple, quelques-uns des certificats racines les plus connus sont distribués dans les navigateurs web par leur éditeur. Microsoft distribue les certificats racines appartenant aux membres du Root Certificate Program (programme de certification racine) sur les ordinateurs Windows, et les téléphones Windows 8[2].
Notes et références
- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Root certificate » (voir la liste des auteurs).