Qu'est-ce qu'une autorité de certification (CA) et que font-elles?


Chaque fois que vous visitez un site Web qui commence par HTTPS, vous utilisez une autorité de certification. Mais qu'est-ce qu'une autorité de certification et comment sécurise-t-elle vos transactions et vos communications?

Les autorités de certification (CA) sont une partie essentielle d'Internet. Si les autorités de certification n’existaient pas, vous ne seriez pas en mesure de faire des achats, de payer des taxes ou de faire des opérations bancaires en ligne car Internet ne serait pas sécurisé. (Votre navigateur Web utilise actuellement une autorité de certification.)

Mais qu'est-ce qu'une autorité de certification, exactement? Que fait une autorité de certification? Et comment fonctionnent les autorités de certification?

Disons le tout.

Qu'est-ce qu'une autorité de certification (CA)?

Une autorité de certification, également appelée autorité de certification, est une organisation de confiance qui vérifie les sites Web (et autres entités) afin que vous sachiez avec qui vous communiquez en ligne. Leur objectif est de faire d'Internet un lieu plus sûr pour les organisations et les utilisateurs. Cela signifie qu'ils jouent un rôle central dans la sécurité numérique.

Si cela semble légèrement nébuleux ou déroutant, utilisons un exemple pour expliquer ce qu'est une autorité de certification. Supposons que vous visitez le site Web de votre banque, bbt.com:

Capture d'écran du site Web BB&T
Voici une capture d'écran qui montre comment bbt.com s'affiche dans le navigateur Google Chrome

Si vous connaissez le fonctionnement d'Internet, vous savez que les choses ne sont pas toujours ce qu'elles paraissent. Le site Web ressemble à bbt.com, et le domaine indique qu’il s’agit de bbt.com… mais comment allez-vous savoir que vous êtes réellement connecté à un serveur géré par BB&T? Comment savez-vous que ce n’est pas un pirate informatique qui a créé un site Web qui ressemble à bbt.com? Pour les génies des hackers, ce serait assez facile à faire – voici un exemple récent de ce type d'attaque:

Une capture d'écran du tweet MyEtherWallet
Une capture d'écran d'un tweet de MyEtherWallet qui parle d'un site Web de phishing imposteur.

Alors, comment savez-vous que vous êtes connecté au vrai site Web? C’est le travail de l’autorité de certification: elle vérifie les sites Web / organisations afin que vous sachiez avec qui vous communiquez en ligne. (De cette façon, vous n'envoyez pas accidentellement votre numéro de carte de crédit à un pirate informatique à Tombouctou.) Donc, si nous regardons les détails du certificat SSL / TLS pour bbt.com, nous pouvons voir que le site Web a été vérifié par DigiCert Inc Cela signifie que DigiCert est l'autorité de certification qui a vérifié BB & T / bbt.com afin que vous puissiez être sûr à 100% que vous êtes connecté au site Web officiel de BB&T:

Une capture d'écran du certificat du site Web de BB&T et des informations sur l'autorité de certification dans Chrome
Voici une capture d'écran qui montre comment les informations du certificat s'affichent dans le navigateur Google Chrome.
Une capture d'écran du certificat du site Web de BB&T et des informations sur l'autorité de certification dans Firefox
Voici une capture d'écran qui montre comment les informations du certificat s'affichent dans le navigateur Firefox.

Les autorités de certification sont comme les autorités de passeport pour Internet

Si vous avez déjà obtenu un passeport pour voyager à l'étranger, vous vous souvenez probablement du processus de vérification que vous avez suivi pour prouver que vous êtes qui vous prétendiez être. (Il comprenait probablement des papiers légaux, une pièce d'identité avec photo et peut-être des empreintes digitales.)

Une fois que vous avez obtenu votre passeport, vous pouvez l'utiliser pour prouver à quiconque que vous êtes vraiment vous. (Même s'ils ne vous avaient jamais rencontré auparavant.)

Les autorités de certification sont comme ça – mais pour les sites Web et les activités en ligne. Tout comme le bureau des passeports, une autorité de certification facture des frais minimes pour terminer le processus de vérification et délivrer le certificat. Dans ce cas, après avoir vérifié un site Web (ou une organisation), ils émettent ce que l'on appelle un certificat numérique. Ce fichier numérique permet aux organisations, sites Web ou autres entités de prouver qui ils sont – qu'ils sont la vraie affaire.

Alors, comment tout cela fonctionne-t-il? Après tout, les sites Web n’ont pas de véritables passeports et je ne me souviens pas avoir scanné un passeport lorsque je visite le site Web de ma banque…

Explorons ce sujet plus en détail.

Fonctionnement d'une autorité de certification: les détails techniques

Les autorités de certification sont l'une des parties intégrantes d'un système plus vaste appelé infrastructure à clé publique, ou PKI en abrégé. Si vous souhaitez en savoir plus sur son fonctionnement, consultez notre article qui propose une analyse approfondie du fonctionnement de PKI. Mais pour l'instant, donnons juste un bref aperçu avant de passer à autre chose. Pour simplifier les choses, nous continuerons de parler de la façon dont PKI fonctionne avec les sites Web.

Lorsque vous accédez à un site Web et que vous voyez le cadenas (ou les détails de sécurité comme nous l'avons montré ci-dessus pour bbt.com), la technologie qui active est un certificat SSL (ou, plus précisément, un certificat TLS, mais vous pouvez utiliser l'un ou l'autre terme ).

Les certificats SSL / TLS sont basés sur PKI, et il y a quelques éléments clés qui doivent être en place pour que le certificat SSL fonctionne:

  • UNE certificat numérique (par exemple, un certificat SSL / TLS) qui prouve l'identité du site Web.
  • UNE autorité de certification qui vérifie le site Web et émet le certificat numérique.
  • UNE signature numérique cela prouve que le certificat SSL a été émis par l'autorité de certification de confiance.
  • UNE Clé publique que votre navigateur utilise pour crypter les données envoyées au site Web.
  • UNE Clé privée que le site utilise pour décrypter les données qui lui sont envoyées.

Jetons un œil à ce visuel. Cela aide à décomposer le processus de fonctionnement de l'ICP dans la sécurité des sites Web et le rôle que les autorités de certification y jouent:

Une illustration du rôle joué par une autorité de certification dans la sécurité des sites Web
Ce visuel illustre le rôle joué par une autorité de certification dans l'infrastructure à clé publique.

Comme vous pouvez le voir, l'autorité de certification est au sommet du processus. En effet, une fois que quelqu'un demande un certificat, tout s'écoule de l'autorité de certification par la suite.

Que fait une autorité de certification? Décomposition des fonctions d'une autorité de certification

Comme nous l'avons mentionné, les autorités de certification commerciales font partie intégrante de l'infrastructure à clé publique. Ce qu'ils font, c'est:

  • Vétérinaire des noms de domaine, des individus et des organisations pour valider leur identité par le biais de registres officiels.
  • Émettez des certificats numériques qui authentifient les serveurs, les individus et les organisations (établissement de la confiance).
  • Tenez à jour des listes de révocation de certificats qui indiquent quand les certificats deviennent invalides avant leur date d'expiration. (Nous en reparlerons plus tard dans l'article.)

Plongeons-nous dans les fonctions spécifiques qu'ils exécutent pour expliquer un peu plus cela.

Vérification

Le processus démarre lorsqu'un site Web s'approche d'une autorité de certification pour obtenir un certificat numérique. L'autorité de certification termine un processus de vérification, en fonction du type de certificat demandé:

  • Validation de domaine – L'autorité de certification vérifie que le demandeur est le gestionnaire légitime du domaine / site Web en question. C'est tout. Inutile de dire que cela signifie que la validation de domaine est le strict minimum en termes de validation.
  • Validation de l'organisation – L'autorité de certification vérifie non seulement que les informations de domaine sont légitimes, mais elle va plus loin et effectue une validation commerciale de base. Le processus OV implique un élément humain. Fondamentalement, l'autorité de certification examine les informations fournies par le demandeur de certificat et recherche également des informations supplémentaires (à l'aide d'enregistrements et de sources tiers) pour s'assurer que l'organisation est légitime.
  • Validation étendue – Il s'agit du niveau de validation d'entreprise le plus complet. Au cours de ce processus de validation de un à cinq jours, l’AC examine en détail l’organisation du demandeur. Ils vont au-delà des exigences du processus de validation OV pour garantir que votre organisation est vraiment légitime.

En exigeant des individus et des organisations qu’ils se vérifient, l’AC est en mesure d’offrir une plus grande assurance que le site Web du demandeur est réel.

Certificats numériques

Les autorités de certification apportent l'identité dans l'image grâce à l'authentification par certificat. Et c'est ce qui aide le site Web à établir la confiance avec votre navigateur.

Bien que nous n'ayons vraiment parlé que d'un seul type jusqu'à présent (certificats SSL / TLS), il existe en fait plusieurs catégories de certificats numériques que les autorités de certification émettent – et chacune joue un rôle différent au sein de PKI. Dans certains cas, il existe plusieurs types de certificats numériques dans chaque catégorie. Tous ces certificats sont connus sous le nom de certificats numériques X.509 car X.509 est la norme technique à laquelle ils sont tous conformes.

Certificats SSL / TLS

Certificats SSL / TLS (alias les certificats de sécurité de site Web) sont ce dont nous avons parlé jusqu'à présent. Ces certificats facilitent les connexions sécurisées et cryptées qui ont lieu entre le navigateur d’un utilisateur et votre serveur Web. (Rappelez-vous cette icône de cadenas que nous avons signalée plus tôt? Oui, ce sont ces certificats qui rendent cela possible.)

Ces certificats éliminent les avertissements «non sécurisés» dans la barre d'URL et les messages d'avertissement «votre connexion n'est pas privée» que les navigateurs affichent pour les sites Web non sécurisés. Par exemple, voici à quoi cela ressemble dans Chrome lorsqu'aucun certificat SSL / TLS n'est installé (ou s'il y en a un mais qu'il est mal configuré):

https://securityboulevard.com/
… Voilà ce que nous appelons l’ironie.
Types de certificats SSL / TLS

Les certificats SSL / TLS sont divisés par leurs niveaux de validation et leurs fonctionnalités:

  • Niveaux de validation: Ce sont les types de domaine, d'organisation et de validation étendue dont nous avons discuté il y a un peu.
  • Fonctionnalités:
    • Certificats de domaine unique – Comme son nom l'indique, ces types de certificats SSL / TLS sécurisent un domaine individuel. (Cela comprend les versions WWW et non WWW du domaine.)
    • Certificats multi-domaines – Ces certificats vous permettent de sécuriser plusieurs domaines et de soumettre des domaines de noms alternatifs (SAN) sous un seul certificat. (Les SAN sont des noms d'hôte alternatifs, des noms communs, des adresses IP, etc.)
    • Certificats Wildcard – Le terme joker fait référence aux sous-domaines. Ainsi, un certificat SSL / TLS générique est celui qui sécurise un nombre illimité de sous-domaines pour un domaine sous un seul certificat. (Par exemple, vous pouvez voir les informations du sous-domaine répertoriées avec un astérisque, comme * .bbt.com ou * .thesslstore.com.)
    • Certificats génériques multi-domaines – Ces certificats sont en quelque sorte le meilleur des deux mondes. Non seulement ils vous permettent de sécuriser plusieurs domaines sous un seul certificat, mais ils vous permettent également de sécuriser autant de sous-domaines que vous le souhaitez. Les jokers multi-domaines offrent le plus en termes de polyvalence.

Certificats de signature de code

Les développeurs et les éditeurs utilisent ces types de certificats pour signer numériquement leur code afin de garantir son intégrité. Cela permet aux utilisateurs de savoir s'il a été falsifié depuis sa signature initiale. Cela vous aide également à vous authentifier ou à authentifier votre organisation en montrant que c'est vous qui l'avez signé.

Cela vous aide à éviter les messages d'avertissement laids comme celui-ci:

Capture d'écran d'un message d'avertissement de l'éditeur non vérifié
Cette capture d'écran est un exemple des types de messages d'avertissement qui s'affichent avec un logiciel non vérifié.

Certificats de signature d'e-mail

Les certificats de signature de courrier électronique sont utiles pour authentifier les individus et les clients auprès des serveurs Web. Ces certificats sont également appelés certificats S / MIME, certificats d'authentification personnels, certificats d'authentification client, etc.

Voici comment un e-mail s'affiche lorsqu'il est signé avec un certificat de signature d'e-mail:

Un exemple d'e-mail signé à l'aide d'un certificat d'une autorité de certification
Notez le ruban à droite et la langue «signé par» sous les champs d'en-tête de l'e-mail.

Si vous creusez un peu plus en cliquant sur le ruban à droite, cela offre plus d'informations qui attestent que l'email provient véritablement de mon compte. (Plus précisément, à partir du client de messagerie de mon appareil.)

Une capture d'écran d'une signature numérique
Une décomposition des couches de sécurité d'une signature numérique

Certificats de signature de documents

Ces certificats sont utiles pour authentifier le créateur du document et valider l'intégrité du document lui-même.

La manière dont une autorité de certification attribue des crédits à ces certificats individuels consiste à émettre des certificats racine auxquels d'autres certificats sont liés. C’est ce que nous appelons la chaîne de confiance (nous en discuterons plus en détail sous peu).

Signatures numériques

Une autorité de certification applique ce qu'on appelle une signature numérique au certificat numérique. En termes simples, la signature numérique:

  • Prouve que le certificat a été émis par l'autorité de certification de confiance.
  • Valide que le certificat n'a pas été modifié ou échangé.

Mais quelqu'un ne peut-il pas simplement simuler une signature numérique? Non – à cause du hachage et des sommes de contrôle. Mais c’est un tout autre sujet complexe qui nous mènera dans un terrier de lapin. Simplifions les choses en disant que les signatures numériques ne peuvent pas être copiées, falsifiées ou modifiées.

Le rôle d’une autorité de certification dans la chaîne de confiance

différence entre le certificat racine et intermédiaire
Une représentation visuelle de la façon dont un certificat de la chaîne de confiance signe le suivant…

La chaîne de confiance, une série de certificats qui renvoient à l'autorité de certification émettrice, est un modèle de confiance hiérarchique. Ce type de chaîne relie le certificat de serveur du site Web à la racine via un certificat intermédiaire. Cela signifie que le modèle de confiance utilisé par toutes les autorités de certification publiques comprend:

Étant donné que le modèle de confiance en trois parties est ce que toutes les autorités de certification publiques utilisent, c'est celui sur lequel nous allons nous concentrer ici. Dans cet esprit, voici à quoi ressemble la chaîne de confiance pour le site BB&T:

https://securityboulevard.com/
Dans le graphique ci-dessus, le certificat racine est nommé DigiCert. Le certificat intermédiaire est nommé DigiCert SHA-2 Extended Validation Server CA. Le certificat de serveur est celui avec l'adresse de domaine BB&T comme titre.

Vous ne savez pas comment le lire? Pensez-y comme un arbre à l'envers – les certificats racine sont la base / fondation, les certificats intermédiaires sont comme le tronc d'arbre et les branches plus grandes, et les certificats de serveur individuels sont les certificats feuilles qui ont une durée de vie limitée.

  • UNE certificat racine est auto-signé et signé par l'autorité de certification à l'aide de sa clé privée. Une autorité de certification ne délivre qu'une poignée de certificats racine et ils sont valides pendant de longues périodes. Comme vous pouvez l'imaginer, cela signifie que les autorités de certification surveillent et protègent étroitement ces certificats. Les navigateurs et les magasins de clés du système d'exploitation conservent des listes de ces certificats racine approuvés.
  • Une certificat intermédiaire est émis à partir de certificats racine. Une autorité de certification racine peut déléguer son autorité pour émettre des certificats de serveur SSL / TLS à ses autorités de certification intermédiaires. Ces entités servent essentiellement d'intermédiaire entre l'autorité de certification racine et les certificats de serveur. (Ainsi, si un attaquant compromet la clé d'une autorité de certification intermédiaire, seuls les certificats qu'il a signés deviennent invalides.)
  • UNE certificat feuille est ce qu'une autorité de certification émet pour votre domaine. Il s'agit du certificat que vous téléchargez sur votre serveur qui valide votre domaine, vos sous-domaines, etc. (en fonction du certificat). Ces certificats publics ont une durée de vie limitée à un an (398 jours, plus précisément) à compter du 1er septembre 2020 ou avant.

Mais que se passe-t-il quand quelque chose ne va pas? Par exemple, lorsque la clé privée d'une autorité de certification est perdue ou que le certificat est autrement compromis. C'est là qu'une liste de révocation de certificats entre en jeu.

Liste de contrôle de la gestion des certificats

Gérez les certificats numériques comme un patron

14 Bonnes pratiques de gestion des certificats pour assurer le fonctionnement, la sécurité et la conformité de votre organisation.

Rôle d’une autorité de certification dans la révocation des certificats

Une liste de révocation de certificats est essentiellement une liste noire de certificats auxquels on ne peut plus faire confiance. Une autorité de certification ajoute un certificat à cette liste de honte pour indiquer que quelque chose ne va pas avec un certificat particulier et qu'il n'est plus digne de confiance. Il s'agit d'une liste que les clients peuvent contacter les autorités de certification pour vérifier (ou les serveurs de site Web peuvent également vérifier et fournir des informations aux clients automatiquement via un processus appelé agrafage OCSP).

Une CRL est-elle identique au journal de transparence des certificats (CT) d’une autorité de certification? Non, ce sont deux choses différentes. Chaque fois qu'une autorité de certification émet un nouveau certificat numérique, elle doit créer une nouvelle entrée dans son journal CT public. Cependant, si une autorité de certification invalide l'un de ces certificats avant les dates d'expiration qui lui ont été attribuées, l'autorité de certification ajoute ces certificats à sa liste de révocation de certificats.

Pourquoi les autorités de certification sont si importantes

Une autorité de certification est l'émetteur des certificats, le signataire des clés (publiques) et l'authentificateur des organisations et des individus. (Tout cela semble très Le Trône de Fer-esque, n'est-ce pas? Moins les dragons et tout le sexe, le meurtre et l'intrigue requis, bien sûr …)

Sans autorités de certification de confiance pour émettre des certificats numériques, vous savez désormais que cela ne pourrait pas:

Imaginons que vous soyez propriétaire d'un site Web et que vos clients essaient de se connecter à votre site Web. Comment savent-ils qu'ils se connectent réellement à votre site Web légitime et non à un faux malveillant? Une autorité de certification atteste que le site vous appartient et que votre organisation est légitime (en fonction du niveau de validation du certificat que vous utilisez). Cela aide à établir la confiance avec les navigateurs Web des clients.

Ainsi, lorsque l'utilisateur tente de se connecter à votre site, votre serveur envoie sa clé publique avec un certificat numérique (certificat SSL / TLS) signé par l'autorité de certification. Une fois qu'il a établi cette confiance avec le client via un processus connu sous le nom de prise de contact SSL / TLS (dans lequel il est trop complexe pour entrer ici), une connexion sécurisée et cryptée se forme entre eux. Le cryptage du canal de communication empêche toute partie involontaire d'intercepter et de voler les données transmises entre vos clients et votre serveur. (Avez-vous déjà entendu parler d’une attaque d’intermédiaire ou d’une attaque MitM? C’est ce que c’est…)

Fondamentalement, tout cela pour dire que sans ces entités tierces, les utilisateurs de votre site ne sauraient jamais avec certitude si vous êtes qui vous prétendez ou êtes, ou si vos données ont été falsifiées de quelque manière que ce soit. De plus, vous ne serez jamais conforme aux réglementations et aux lois concernant la sécurité des données et la confidentialité. (Pensez HIPAA, PCI DSS, GDPR, CCPA, etc.)

Toutes ces réglementations impliquent l'utilisation d'autorités de certification d'une manière ou d'une autre. Et si vous n'êtes pas conforme, vous risquez des amendes de non-conformité potentiellement importantes, des poursuites potentielles et perdez la confiance (et l'activité) des clients. Cela va coûter très cher à votre entreprise sur le plan financier, et les dommages à la réputation de votre organisation peuvent être quelque chose dont vous ne pouvez pas revenir.

Mais combien de CA y a-t-il?

Vous serez peut-être surpris d'apprendre qu'il existe en fait quelques centaines d'autorités de certification publiques dans le monde. Ils sont souvent divisés par pays ou région. Cependant, ce n’est en fait que la douzaine la plus élevée qui émet la plupart des certificats utilisés en ligne.

Avez-vous compris cela? Nous l'avons dit Publique CA. Oui, il existe en fait différents types d'autorités de certification. Vous disposez de vos autorités de certification commerciales externes – ou de ce que l'on appelle également des autorités de certification de confiance publique. (C'est ce à quoi les gens se réfèrent généralement lorsqu'ils parlent des autorités de certification.) Mais vous avez également vos autorités de certification privées. Et il y a quelques distinctions importantes à connaître entre les CA publiques et privées.

Les différences entre une autorité de certification publique et une autorité de certification privée

Bien que les termes semblent assez explicites, nous allons aller de l'avant et décomposer un peu plus les choses concernant les joueurs pour ceux qui sont nouveaux dans le jeu.

Qu'est-ce qu'une autorité de certification de confiance (et pourquoi leur faisons-nous confiance)?

Une autorité de certification de confiance – ou ce que l'on appelle également une autorité de certification commerciale – est une entité tierce qui émet des certificats pour les organisations qui en font la demande. Ils ne sont en aucun cas contrôlés par la personne ou l’organisation qui leur demande un certificat. Une autorité de certification de confiance émet des certificats numériques de confiance publics qui satisfont au moins aux normes réglementaires minimales (ou exigences de base, ou BR) décrites par le CA / Browser Forum (CA / B Forum).

Selon le CA / B Forum, qui compte près de 50 CA en tant que membres (en plus des navigateurs):

Les fournisseurs de services CA comprendront clairement les normes auxquelles ils doivent adhérer lorsqu'ils fournissent des services SSL et d'authentification. À leur tour, les auditeurs utiliseront les critères pour mesurer si l'AC répond aux attentes minimales de l'industrie. Une CA avec un audit indiquant qu'elle est conforme aux exigences de base aura moins de risque d'être rejetée par les principaux navigateurs (c'est-à-dire que leurs certificats seront plus largement acceptés). Les consommateurs seront assurés d'un certain niveau de sécurité lorsqu'ils rencontrent les certificats SSL proposés par les CA qui ont adopté les exigences de base CA / B. Les exigences de base conduiront à une utilisation plus fréquente de SSL pour sécuriser les sites Web avec un cryptage plus fort et moins de vulnérabilités liées aux certificats. »

Voici quelques exemples de certaines des plus grandes autorités de certification de confiance publique (répertoriées par ordre alphabétique):

  • DigiCert
  • Faites confiance à Datacard
  • Globalsign
  • Allez papa
  • Crypter
  • Sectigo

Qu'est-ce qu'une autorité de certification privée?

Une autorité de certification privée (également appelée PKI privée), en revanche, est une autorité de certification interne qui existe au sein d'une organisation plus grande (généralement une entreprise) et émet ses propres certificats. Une autorité de certification privée fonctionne comme ses homologues publics à bien des égards, mais les différences les plus flagrantes sont probablement les suivantes:

  • Les certificats d’une autorité de certification privée ne sont approuvés que par ses utilisateurs internes, ses clients et ses systèmes informatiques.
  • Une autorité de certification privée émet des certificats qui restreignent l'accès à un groupe d'utilisateurs sélectionné.
  • Vous devez configurer et héberger vous-même l'autorité de certification privée (ou engager un tiers pour le faire pour vous).

Étant donné que ces certificats sont émis par une autorité de certification interne et non par une autorité de certification tierce de confiance, ils sont mieux adaptés pour une utilisation dans les intranets et les réseaux internes, jamais sur des sites ou des points de terminaison publics. Certaines des utilisations les plus courantes de l'ICP privée comprennent:

  • Réseaux privés virtuels (VPN),
  • Sites intranet,
  • Certificats de signature d'e-mails privés,
  • Services de groupe d'utilisateurs fermés, et
  • Applications de partage de fichiers.

L’objectif de cet article n’est pas les autorités de certification privées, mais nous avons pensé qu’il serait insensé de ne pas au moins les mentionner. Revenons au thème principal de cet article: les autorités de certification de confiance publique.

Qui décide quelles autorités de certification sont publiquement approuvées?

C’est une bonne question – et il n’y a pas une seule réponse. Par exemple:

Réflexions finales sur les autorités de certification et pourquoi elles sont importantes

Internet est intrinsèquement peu sûr. Il met toutes les informations du monde à portée de main et offre un niveau de confort inégalé. Mais comme vous pouvez l’imaginer, tous ces avantages ne sont pas exorbitants.

Tout ce que vous avez à faire est de regarder les manchettes pour voir que les cyberattaques, les violations de données, le vol d'identité et d'autres menaces et dangers se cachent partout. Si vous voulez pouvoir surfer sur le Web ou utiliser ses capacités au profit de votre entreprise de commerce électronique, c'est pourquoi vous devez avoir à vos côtés un tiers de confiance qui puisse apporter identité et confiance.

À la base, le travail des CA est de faire d'Internet un endroit plus sûr pour les organisations et les utilisateurs. À ce titre, ils sont responsables de:

  • Valider les individus et les organisations,
  • L'émission de certificats numériques qui authentifient et facilitent le cryptage, et
  • Tenir à jour les listes de révocation de certificats sur lesquelles les navigateurs Web et les serveurs s'appuient pour savoir quels certificats ne sont plus légitimes.

Les événements de cybercriminalité et les coûts qui y sont associés continuent d'augmenter sans fin en vue. C'est pourquoi il est crucial pour chaque site Web, en particulier les sites de commerce électronique, de disposer d'un certificat SSL / TLS d'une autorité de certification de confiance. Nous espérons que cet article vous permettra de mieux comprendre ce qu'est une autorité de certification et ce qu'elle fait.

*** Ceci est un blog syndiqué Security Bloggers Network de Hashed Out by The SSL Store ™ écrit par Casey Crane. Lisez l'article original sur: https://www.thesslstore.com/blog/what-is-a-certificate-authority-ca-and-what-do-they-do/



Source link

Pourquoi confectionner un magasin sur internet ?

On voit clairement qu’il est possible de se lancer rapidement sans argent et inconscient technique particulière. Je vous conseille de vous lancer rapidement en dropshipping indispensablement ne pas mettre trop d’argent sur votre site. Il vous faut absolument avoir un budget marketing pour écrire venir internautes sur votre boutique : c’est le nerf de la guerre. Car comme je l’ai dit, vous pouvez avoir la plus belle boutique. Sans trafic, vous ne ferez jamais de chiffre d’affaires. Une que vous allez avoir testé, votre marché vous allez pouvoir alors stipendier un stock.