Les points clés à retenir sur la PKI et les certificats :
- La PKI organise l’émission, la gestion et la validation des certificats utilisés pour signer ou cacheter.
- L’autorité de certification (CA) délivre les certificats et publie des informations de révocation.
- Un certificat X.509 lie une clé publique à une identité et à des attributs (usages, validité, extensions).
- La révocation se vérifie via CRL (listes) ou OCSP (réponse de statut).
Qu’est-ce qu’une PKI ?
Une PKI (Public Key Infrastructure) est l’ensemble des composants techniques et organisationnels qui permettent d’émettre, de gérer et de vérifier des certificats de clé publique. Elle combine : des rôles (autorités, titulaires, opérateurs), des politiques (conditions d’émission, contrôle d’identité, usages autorisés) et des mécanismes de publication (révocation, points d’accès, documents de politique).
Dans une lecture probatoire, la PKI est la “colonne vertébrale” qui relie un acte cryptographique (signature, cachet) à une identité et à un ensemble de règles vérifiables. Sans PKI (ou sans PKI documentée), la démonstration d’imputabilité et de validité devient plus difficile à soutenir devant un tiers.
Qu’est-ce qu’une autorité de certification (CA) ?
Une autorité de certification (CA) est l’entité qui délivre des certificats en attestant qu’une clé publique correspond à une identité, selon une politique d’émission. Elle signe les certificats, ce qui permet à un vérificateur de contrôler, par cryptographie, que le certificat n’a pas été altéré et qu’il s’inscrit dans une chaîne de confiance.
La CA assume aussi des obligations opérationnelles : sécurisation des clés de l’autorité, gestion du cycle de vie (émission, renouvellement, suspension éventuelle), publication de la révocation et documentation des pratiques. Dans un dossier, la CA n’est pas seulement un nom : on s’intéresse à ce qu’elle déclare (CP/CPS), à son ancrage de confiance, et à sa capacité à produire des informations de statut opposables.
Qu’est-ce qu’un certificat X.509 ?
Un certificat X.509 est un objet structuré qui lie une clé publique à des informations d’identité et à des attributs de validité et d’usage. Il comporte notamment : un subject (titulaire), un issuer (émetteur), une période de validité, un numéro de série, des algorithmes, et des extensions (par exemple KeyUsage, ExtendedKeyUsage, BasicConstraints, Subject Alternative Name).
Dans l’écosystème Internet, le profil de référence est la RFC 5280, qui fixe les règles d’interprétation de ces champs. Le certificat ne “prouve” pas, à lui seul : il devient probatoire lorsqu’il est validé selon les règles de chaîne, d’usage et de statut (non-révocation), et lorsque ces éléments sont conservés de manière cohérente.
Qu’est-ce qu’un certificat qualifié ?
Un certificat qualifié (au sens eIDAS) est un certificat délivré par un prestataire de services de confiance qualifié et conforme aux exigences prévues par le règlement, notamment l’annexe I pour les certificats qualifiés de signature. La qualification renvoie à un cadre de conformité et de supervision : elle n’est pas un simple “format”, mais un statut attaché à la délivrance et au contenu du certificat, ainsi qu’au prestataire.
En pratique, l’identification des prestataires qualifiés et des services qualifiés est facilitée par les Trusted Lists publiées par les États membres. Pour le juriste, l’enjeu est de disposer d’un repère commun en contexte transfrontière, sans devoir reconstruire intégralement la fiabilité d’une chaîne privée.
Qu’est-ce qu’une politique de certification (CP) ?
Une politique de certification (CP) décrit ce que “vaut” un certificat : niveau d’identification, conditions d’émission, usages autorisés, exigences de sécurité, responsabilités, et hypothèses de confiance pour les parties qui s’appuient sur le certificat. Elle sert de référence pour qualifier un certificat dans un contexte donné (signature interne, cachet organisationnel, usage externe, etc.).
Sur le plan documentaire, la RFC 3647 propose un canevas permettant de structurer une CP de manière comparable d’une autorité à l’autre. Dans un dossier probatoire, la CP permet de relier une revendication (“ce certificat identifie une organisation selon tel niveau”) à un document normatif publié par l’autorité, donc contrôlable et discutable.
Qu’est-ce que la révocation d’un certificat ?
La révocation correspond à la décision de rendre un certificat invalide avant sa date d’expiration. Les causes typiques sont la compromission de la clé privée, une erreur d’émission, un changement d’attributs, ou la fin de relation avec le titulaire.
D’un point de vue probatoire, cela impose de distinguer : “certificat dans sa période de validité” et “certificat non révoqué”. La validation doit donc inclure une vérification du statut de révocation, selon une politique explicite (sources acceptées, tolérances, délais).
C’est un point de fragilité classique : un dossier peut être affaibli si l’on ne sait pas démontrer, preuves à l’appui, quel était le statut au moment où la signature ou le cachet a été apposé (ou au moment où l’on prétend qu’il produisait ses effets).
Qu’est-ce que CRL ?
Une CRL (Certificate Revocation List) est une liste publiée par une CA qui recense les certificats révoqués (avec des informations associées comme la date et le motif). Elle est elle-même signée et doit être validée.
Le mécanisme est de type “liste” : on récupère une CRL, puis on vérifie si le numéro de série du certificat y figure. Les CRL s’inscrivent dans des politiques de publication (fréquence, points de distribution, durée de validité de la CRL), qui comptent dans une analyse probatoire : une CRL trop ancienne, indisponible ou incohérente fragilise la démonstration.
Les règles de structure et d’interprétation des CRL dans l’usage Internet sont décrites par la RFC 5280.
