Qu'est-ce que Autorité de certification ?
Une autorité de certification (AC) est une organisation de confiance externe qui émet, signe et gère des certificats numériques afin de vérifier l'identité d'entités — sites web, organisations ou appareils — au sein d'une infrastructure à clés publiques.
Aussi connu sous le nom de : CA, trusted certificate authority
Les autorités de certification sont les ancres de confiance du système d'identité d'Internet. Quand une AC émet un certificat pour un domaine, elle atteste que le titulaire du certificat a prouvé son contrôle sur ce domaine. Les navigateurs et systèmes d'exploitation incluent un ensemble préinstallé de certificats d'AC racines de confiance. Quand ton navigateur rencontre le certificat d'un serveur, il remonte la chaîne de signatures jusqu'à l'une de ces racines de confiance pour décider s'il fait confiance à la connexion.
Le processus d'émission de certificats varie selon le niveau de validation. Les certificats à validation de domaine (DV) n'exigent qu'une preuve de contrôle du domaine (généralement via un défi DNS ou HTTP) et peuvent être émis en quelques minutes. Les certificats à validation d'organisation (OV) et à validation étendue (EV) exigent la vérification de l'identité juridique de l'organisation demandeuse. Let's Encrypt a popularisé les certificats DV gratuits et automatisés, augmentant considérablement l'adoption de HTTPS sur le web.
La compromission d'une AC est l'une des menaces les plus graves pour la sécurité d'Internet. Si un attaquant prend le contrôle de la clé de signature d'une AC, il peut émettre des certificats frauduleux pour n'importe quel domaine et rendre possibles des attaques de l'homme du milieu indétectables. C'est déjà arrivé : la compromission de DigiNotar en 2011 a entraîné sa perte totale de confiance et sa dissolution. Les journaux de Certificate Transparency (CT) — un registre public en ajout seul de tous les certificats émis — ont été introduits pour détecter rapidement de telles émissions frauduleuses.
Comment Vaulted utilise Autorité de certification
Le certificat HTTPS de Vaulted est émis par une autorité de certification de confiance, ce qui permet aux navigateurs de vérifier qu'ils se connectent au véritable serveur Vaulted. Cela empêche les attaquants de l'homme du milieu de se faire passer pour Vaulted afin d'intercepter des secrets chiffrés ou de servir du JavaScript malveillant. Bien que la connexion TLS adossée à une AC protège la couche de transport, le modèle de sécurité de Vaulted ne repose pas que sur elle : le chiffrement côté client garantit que même un canal TLS compromis n'exposerait rien de plus que du texte chiffré — aucun secret en clair.