Au-delà de la démarche de certification ISO 27001, nous nous appuyons également sur les préconisations et bonnes pratiques édictées pour le compte de l'État par l'ANSSI (Agence nationale de la sécurité des systèmes d'information).
Pour les consulter certificat SSL (domaine, entreprise, autorité de certification, chiffrement), cliquez dessus et ouvrez le panneau d'informations sur le site qui vous permet de visualiser des informations plus détaillées sur l'état de sécurité de la connexion (voir tous les onglets, selon le type du navigateur.
L'autorité de certification DigiCert est leader mondial des solutions TLS/SSL et de la cybersécurité. L'autorité émet uniquement des certificats à validation de l'organisation et étendue.
Le certificat SSL/TLS final utilisé par un site Web sera donc signé par l'Autorité de Certification racine. C'est la « chaîne de confiance ».
Les certificats émis par l'IGC/A permettent d'identifier officiellement les autorités de certification des administrations de l'État français. Ils attestent également de la qualité des pratiques de gestion des clés publiques mises en œuvre par ces autorités.
Il est signé par un tiers de confiance qui atteste du lien entre l'identité physique et l'entité numérique (virtuelle). Pour un site web il s'agit d'un certificat SSL. Le standard le plus utilisé pour la création des certificats numériques est le X. 509.
Pour qu'un certificat SSL soit valide, les domaines doivent l'obtenir auprès d'une autorité de certification (AC). Une AC est une organisation externe, un tiers de confiance, qui génère et émet des certificats SSL.
Les certificats électroniques sont vérifiés au moyen d'une chaîne de confiance. Le point d'ancrage de cette chaîne est l'autorité de certification racine.
Installé sur un serveur web, le certificat SSL sécurise les échanges d'informations entre un serveur et un navigateur tout en permettant au propriétaire du site web de « prouver » son identité aux visiteurs. Ce certificat SSL active le protocole HTTPS et affiche un cadenas dans la barre d'adresse du navigateur.
HTTPS (avec S pour secure, soit « sécurisé ») est la variante sécurisée par le chiffrement et l'authentification. HTTP est un protocole de la couche application dans le modèle OSI. Il peut fonctionner sur n'importe quelle connexion fiable.
Une Autorité de Certification est un tiers de confiance situé à la base de la chaîne de certification électronique. C'est elle qui délivre et gère les certificats numériques utilisés pour sécuriser les échanges dématérialisés et garantir l'identité des émetteurs.
Il existe plusieurs types de certificats, et les prix vont de 30€ à 2000€ par an (car un certificat SSL doit être renouvelé tous les ans). Pour un site e-commerce, le certificat de type EV (Extended Validation) permet de rassurer au mieux vos visiteurs en leur indiquant que votre société est bien réelle et légitime.
Autorités de certification : Certinomis [archive] ChamberSign France [archive] CertEurope [archive]
Afin de pouvoir accéder à un site ou une application nécessitant une authentification par certificat, vous devez vous enregistrer auprès d'une Autorité de Certification telle que Certigna.
La demande de certification doit être faite auprès d'un organisme certificateur agréé ou, selon les cas, auprès de la CNIL. Celui-ci doit être sélectionné parmi la liste des organismes agréés pour intervenir sur la certification recherchée. Chaque organisme certificateur dispose d'une procédure de certification.
Une autorité de certification (CA, Certificate Authority) est une entité de confiance qui émet des certificats numériques, à savoir des fichiers de données servant à relier cryptographiquement une entité à une clé publique.
Les Autorités de Certification utilisent ces certificats racine pré-installés, afin d'émettre des certificats racine intermédiaires et des certificats numériques. Elles reçoivent des demandes de certificat qu'elles doivent d'abord valider avant d'émettre ceux-ci.
Le certificat SSL n'empêche pas le piratage d'un site, mais bien l'interception des données qu'échange l'utilisateur sur un site. L'objectif est de protéger sa confidentialité pour éviter qu'une autre personne ait accès à son mot de passe ou ses données bancaires par exemple.
C'est le protocole HTTP qui intercède pour la communication entre le client (navigateur Web) et le serveur Web, sans chiffrement.
Les certificats numériques permettent d'identifier les ordinateurs, les téléphones et les applications, pour des raisons de sécurité.
Un certificat SSL est un certificat électronique qui authentifie l'identité d'un site Web et permet une connexion chiffrée. SSL signifie « Secure Sockets Layer », c'est un protocole de sécurité qui crée un lien chiffré entre un serveur Web et un navigateur Web.