À quoi sert un certificat SSL / TLS ?
Un certificat SSL (Secure Sockets Layer) ou TLS (Transport Layer Security), qui est son successeur moderne, est un fichier de données numériques qui lie une clé cryptographique aux informations d'une organisation. Une fois installé sur un serveur web, il active le cadenas et le protocole HTTPS, assurant ainsi des connexions sécurisées du serveur au navigateur de l'utilisateur.
L'utilisation de certificats SSL/TLS répond à deux objectifs majeurs de cybersécurité :
- Confidentialité (Chiffrement) : Les données échangées entre le visiteur et le site (mots de passe, données bancaires) sont chiffrées et ne peuvent pas être lues par un tiers.
- Authentification (Identité) : Le certificat garantit que le site avec lequel l'internaute communique est bien celui qu'il prétend être, protégeant ainsi contre le vol d'identité et le phishing.
Les différents types de certificats (DV, OV, EV)
Tous les certificats offrent le même niveau de chiffrement, mais ils diffèrent par le niveau de vérification de l'identité du demandeur (Validation) effectué par l'Autorité de Certification (AC).
1. Validation de Domaine (DV - Domain Validation)
L'Autorité de Certification vérifie uniquement que le demandeur a le contrôle du nom de domaine. C'est le niveau le plus basique (ex: Let's Encrypt), souvent délivré automatiquement en quelques minutes.
2. Validation de l'Organisation (OV - Organization Validation)
En plus du contrôle du domaine, l'AC vérifie l'existence légale, physique et opérationnelle de l'entreprise ou de l'association. Les informations de l'organisation apparaissent dans les détails du certificat.
3. Validation Étendue (EV - Extended Validation)
C'est le niveau de confiance le plus élevé. Il nécessite un audit rigoureux de l'organisation selon des directives strictes. Idéal pour les banques, l'e-commerce et les institutions.
Le rôle de l'ANRDI dans la certification numérique
L'Association Nationale de Régulation des Domaines et de l'Internet promeut l'utilisation de certificats à haut niveau d'assurance (OV et EV) pour les entités manipulant des données sensibles. L'ANRDI émet également des attestations et certificats de conformité spécifiques pour les organisations respectant ses référentiels de cybersécurité.
Pour vérifier l'authenticité d'une preuve numérique ou d'un certificat émis par l'ANRDI, un outil de vérification public est mis à disposition des tiers de confiance et du grand public.