Dans les protocoles SSL/TLS, on utilise, pour l'identification du serveur le plus souvent, des certificats X.509 signés par des autorités de certification. Mais qui sont ces sociétés, quels sont leurs pouvoirs, les déboires et les problèmes de confiance et de sécurité qu'elles posent à l'ère de la NSA, de Google et de l'informatique omniprésente ? Nous allons vous les conter.
1. Les autorités de certification (CA), leur histoire, leur rôle
1.1 X.400 et Netscape créent les CA du Web
Nous sommes en 1994, dans les laboratoires de Netscape, on prépare la norme SSL, qui permettra le chiffrement des pages web grâce au protocole HTTPS. Dès 1996, le logiciel Netscape Communicator est fourni de série avec SSL. Depuis cette date, le commerce électronique représente des milliards de dollars de chiffre d'affaires, l'accès aux comptes en banque en ligne est monnaie courante, la sécurisation des échanges sur l'Internet est possible.
À l'époque, il fallait répondre à un problème crucial : l'échange des clés et l'identification de l'émetteur et du destinataire d'une conversation. De même que le DNS permettait de ne pas avoir besoin de connaître l'adresse de tous les serveurs du web, Netscape utilisa un sous-ensemble de la norme X.509 pour ne pas avoir besoin de connaître les clés publiques de tous les sites web du monde…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première