Quelles sont les exigences de base pour les autorités de certification ?
Les exigences de base sont un ensemble de règles que les autorités de certification (CA) doivent suivre pour que leurs certificats soient approuvés par les navigateurs. Ces directives couvrent les protocoles de sécurité, les pratiques de validation et les méthodes d’émission. En cas de non-conformité, une CA risque de perdre la confiance des navigateurs, ce qui rendrait ses certificats inutilisables.
Table des Matières
Les exigences de base sont un ensemble de processus opérationnels documentés qu'une autorité de certification doit suivre pour que ses certificats publics soient acceptés par les navigateurs en vue d'une utilisation générale.
Que représentent les exigences de base ?
Les exigences de base sont longues et comportent des règles qui varient en fonction du type de certificat. Elles couvrent pratiquement tous les aspects possibles des protocoles de sécurité liés aux certificats, y compris la sécurité physique et dans le nuage, les pratiques d'authentification, la morphologie des certificats, etc. Elles comprennent des règles pour la validation du domaine, la validation du demandeur et de l'organisation, et la durée maximale autorisée.
Les exigences de base prévoient notamment que chaque autorité de certification doit tenir à jour et publier une déclaration des pratiques de certification (CPS) définissant les pratiques de délivrance de l'autorité de certification. Le non-respect des déclarations contenues dans la DPC constitue une violation des exigences de base et peut nécessiter des mesures correctives de la part de l'autorité de certification, y compris la révocation éventuelle des certificats.
Les exigences de base changent-elles ?
Au cours d'une année normale, le forum CA/B vote plusieurs fois par an pour modifier les exigences de base. La plupart de ces modifications sont mineures, mais quelques-unes entraînent chaque année des changements importants dans le fonctionnement des AC. Par exemple, un vote récemment approuvé a défini de nouvelles normes pour la validation du contrôle de domaine, ce qui affectera les opérations des autorités de certification pour les années à venir.
La principale raison pour laquelle les exigences de base changent si fréquemment est que certaines parties des versions antérieures se sont révélées vagues ou sujettes à interprétation. Au fur et à mesure que de nouvelles questions se posent et que de nouvelles technologies arrivent sur le marché, les exigences de base doivent évoluer pour y répondre.
Que se passe-t-il lorsqu'une autorité de certification enfreint les exigences de base ?
Le CA/Browser Forum est une organisation volontaire qui n'a aucun pouvoir d'exécution. Au contraire, chacun des principaux navigateurs dispose de son propre ensemble de lignes directrices qu'une autorité de certification doit respecter pour que ses racines soient reconnues par le navigateur et, par la suite, incluses dans le magasin de racines. Les principaux programmes de stockage de racines imposent aux autorités de certification de se conformer aux exigences de base.
Si l'un des magasins de racines du navigateur décidait de ne pas faire confiance aux racines d'une AC, ses certificats publics ne seraient plus viables pour les cas d'utilisation nécessitant une confiance publique. En outre, les AC sont tenues de signaler et de divulguer tout cas de non-conformité qu'elles identifient et de permettre au public de poser des questions sur la violation, afin que l'AC soit finalement tenue de rendre des comptes.
Pour en savoir plus sur les exigences de base du CA/B Forum, écoutez Root Causes, épisode 201, « Quelles sont les exigences de base ? »
Envie d'en savoir plus ? Contactez nous pour réserver une démo de Sectigo Certificate Manager !
Articles associés :
Meilleures pratiques pour une mise en œuvre efficace des autorités de certification (AC) privées
Ce qui caractérise une autorité de certification de confiance