Les certificats à clé publique X.509

Cette page introduit le principe des certificats à clé publique et du standard X.509

• Qu’est-ce qu’un certificat à clé publique ?
• Qu’est-ce que X.509 ?
• Que contient un certificat à clé publique ?
• Références

Un certificat est un document qui est composé de 4 composants principaux :

• Une clé publique,
• Le nom du porteur : cette information permet de lier la clé publique au porteur du certificat,
• Le nom de l’émetteur du certificat,
• La signature de l’émetteur.

Le certificat à clé publique (le plus souvent appelé simplement « certificat ») est classé soit comme certificat auto-signé (i.e. qui a été signé par le porteur du certificat), soit comme certificat signé par une autorité de certification (AC).

Les certificats agissent principalement comme un récipient pour une clé publique. Cependant, parce qu’ils contiennent plus d’informations que la simple clé publique, ils sont utilisés pour beaucoup d’autres choses.

On distingue un certificat par le biais de deux noms : celui du porteur (ou sujet) et celui de l’émetteur.

En 1988, X.509 est devenu une norme recommandée par International Telecommunications Union (ITU) pour définir les certificats numériques. C’est la norme la plus largement répandue sur les systèmes ouverts telle que l’Internet, et supportée par les grands noms de l’industrie : VeriSign, Entrust, RSA.

Quand une AC délivre un certificat, elle signe le certificat avec sa clé privée. C’est ce qui en fait un certificat. Tous les certificats à clé publique ont les données suivantes, en plus de la signature :

• Version : elle identifie quelle version du standard X.509 est utilisée dans ce certificat. Actuellement, trois versions sont définies,
• Numéro de série : quand vous créez un certificat, vous lui assignez un numéro de série qui lui permet de se distinguer des autres. Ce numéro peut être utilisé pour plusieurs usages. Par exemple, quand un certificat est révoqué, son numéro de série est placé dans la liste des certificats révoqués (LCR),
• Identifiant d’algorithme de signature : identifie l’algorithme que l’AC a utilisé pour signer le certificat,
• Nom de l’émetteur (Issuer Name) : le nom de l’AC au format X.500 qui a signé le certificat. Employer ce certificat implique de faire confiance à l’entité qui a signé le certificat,
• Période de validité : indique les dates de début et de fin de validité d’un certificat. Le certificat est valide jusqu’à la date de fin du certificat, aussi longtemps que la clé privée n’a pas été compromise. La période peut aller de quelques secondes à plusieurs dizaines d’années,
• Nom du porteur (Subject Name) : c’est le nom qui lie le certificat à la clé publique. L’unicité à travers Internet est réalisée en employant la norme X.500 pour déterminer le nom,
• Information de clé publique : ceci inclut la clé publique, l’identifiant d’algorithme et plusieurs paramètres associés à la clé.

En outre, un certificat peut contenir des informations complémentires – appelées « extensions X.509v3 » – qui décrivent comment le certificat peut être employé, sa gestion par l’AC, et sa relation avec l’AC et les autres AC.

• RFC 5280