Un certificat numérique est un document électronique qui lie une identité (un domaine, une organisation, un service) à une clé publique, le tout signé par une autorité de confiance (CA).
Un certificat, c’est comme un passeport : il prouve qui tu es, il est émis par une autorité (l’État / la CA), et il a une date d’expiration.
Pourquoi les certificats existent
Sans certificat, n’importe qui peut prétendre être monentreprise.fr :
Sans certificat (HTTP) :
Client ──► "Je veux parler à monentreprise.fr"
Attaquant ──► "C'est moi !" ← le client ne peut pas vérifier
Avec certificat (HTTPS) :
Client ──► "Je veux parler à monentreprise.fr"
Serveur ──► Certificat : { sujet: monentreprise.fr, signé par: Let's Encrypt }
Client ──► "Let's Encrypt est dans mon store de confiance, la signature est valide ✅"
Le certificat résout le problème MITM (Man-in-the-Middle) : il est impossible de falsifier un certificat signé par une CA sans avoir sa clé privée.
Les 3 niveaux de validation
| Type | Validation | Délai | Indicateur navigateur | Usage |
|---|---|---|---|---|
| DV — Domain Validation | Le demandeur contrôle le domaine | Minutes | Cadenas | Sites web, APIs |
| OV — Organization Validation | Le demandeur + l’organisation sont vérifiés | Jours | Cadenas + infos org | Sites d’entreprise |
| EV — Extended Validation | Vérification légale approfondie | Semaines | Cadenas (certains navigateurs affichent le nom) | Banques, e-commerce |
En pratique, DV suffit pour sécuriser les communications (HTTPS). OV/EV ajoutent une garantie d’identité organisationnelle, pas de chiffrement supplémentaire.
Les types de certificats selon le périmètre
| Type | Couvre | Exemple | Use case |
|---|---|---|---|
| Single domain | Un seul domaine | monentreprise.fr | Site simple |
| SAN (Subject Alt Names) | Plusieurs domaines explicites | monentreprise.fr, www.monentreprise.fr, api.monentreprise.fr | Microservices |
| Wildcard | Tous les sous-domaines d’un niveau | *.monentreprise.fr | Multi-sous-domaines |
| Wildcard + SAN | Wildcard + domaines additionnels | *.monentreprise.fr + monentreprise.com | Présence multi-domaine |
Wildcard *.monentreprise.fr couvre :
✅ www.monentreprise.fr
✅ api.monentreprise.fr
✅ mail.monentreprise.fr
❌ monentreprise.fr (domaine racine non couvert)
❌ sub.api.monentreprise.fr (deux niveaux non couverts)
Usages des certificats (au-delà de HTTPS)
| Usage | Description | Format courant |
|---|---|---|
| TLS serveur | Authentifier un serveur HTTPS | X.509 PEM |
| mTLS client | Authentifier un service (Zero Trust) | X.509 PEM |
| Signature de code | Prouver l’origine d’un binaire | Authenticode, APK signing |
| Signature d’email (S/MIME) | Chiffrer et signer des emails | X.509 |
| SSH | Authentification sans mot de passe | SSH cert (format différent) |
| PKI interne | CA privée pour microservices | X.509 PEM |
Notes détaillées
- Comprendre les certificats — Exemple détaillé — explication pas à pas avec exemple concret de la signature
- X.509 — Format des certificats — structure complète, champs, extensions, openssl
- PKI — Infrastructure à Clés Publiques — hiérarchie des CA, trust store, PKI privée
- Cycle de vie et révocation — CSR, émission, renouvellement, CRL, OCSP
- Let’s Encrypt et ACME — certificats gratuits, challenges, automatisation
En relation avec
- TLS et SSL — les certificats sont utilisés dans le handshake TLS
- Authentification API — mTLS comme mécanisme d’auth inter-services
- cert-manager — gestion automatisée des certificats dans Kubernetes
- DNS - CAA — record DNS qui contrôle quelles CA peuvent émettre des certificats