Relier une clé à une identité: certificats et PKI

Expliquer comment les certificats lient une identité à une clé publique, comment une chaîne de confiance se construit et où les PKI échouent en pratique.

Chapitre 23 Débutant · Intermédiaire · Expert 24 pages

Objectif du chapitre

Expliquer comment les certificats lient une identité à une clé publique, comment une chaîne de confiance se construit et où les PKI échouent en pratique.

Notions à couvrir

Certificat, sujet, émetteur, période de validité, extensions et usages de clé
X.509, CSR, PEM, DER, PKCS et formats de clés
WebPKI, autorités racines, intermédiaires, SAN, Certificate Transparency et révocation
ACME, renouvellement, automatisation et Let’s Encrypt comme cas pratique
PKI interne, mTLS, identité machine, SPIFFE/SPIRE
Autorité compromise, serveur compromis, client compromis et erreurs TLS

Sous-sections

À quoi sert un certificat [Débutant]

Nom de domaine
Clé publique
Autorité
Chaîne
Confiance déléguée

Lire X.509 sans se noyer [Intermédiaire]

Subject
Issuer
SAN
Key Usage
Extended Key Usage
Validité
Extensions critiques

WebPKI opérationnelle [Intermédiaire]

Racines
Intermédiaires
CT
OCSP/CRL
ACME
Renouvellement

PKI privée [Expert]

mTLS
Identité service
Rotation
Environnements
Pinning prudent
Racines internes

Exemples et ateliers

Lire un certificat avec OpenSSL
Vérifier une chaîne
Diagnostiquer une erreur SAN
Concevoir une PKI interne minimale pour services

Pièges classiques

Faire confiance à un certificat auto-signé sans distribution sûre
Oublier les extensions d’usage
Renouveler manuellement trop tard
Pinner sans plan de rotation

À ne pas confondre

Certificat et clé publique
Autorité de certification et autorité applicative
Révocation et expiration
mTLS et authentification utilisateur

Points à vérifier

à vérifier : pratiques de révocation et exigences de navigateurs au moment de rédaction des pages.