Cet article explique ce que sont les certificats racine et intermédiaire et comment ils fonctionnent.

Qu'est-ce qu'un certificat racine ?

En quelques mots :

• Un certificat racine est le niveau le plus élevé de la hiérarchie des certificats.
• Les certificats racine sont émis par des autorités de certification (AC), telles que GlobalSign, Sectigo ou DigiCert.
• Le certificat racine est installé par défaut dans les systèmes d'exploitation et les navigateurs, de sorte qu'il est automatiquement considéré comme digne de confiance.
• Les clés privées des certificats racine sont extrêmement bien protégées, car un certificat racine compromis compromettrait l'ensemble de la chaîne de certification.

Sans certificat racine, le navigateur n'aurait aucune raison d'accepter un certificat SSL émis par l'autorité de certification.

Les utilisateurs finaux ne devraient normalement rien changer aux certificats fournis avec leur navigateur. Les développeurs de navigateurs tels que Mozilla, Google, Microsoft et Apple (Safari) veillent à ce que, lors des mises à jour, les certificats obsolètes ou expirés soient automatiquement remplacés par des certificats plus récents.

C'est pourquoi il est également important de s'assurer que votre système d'exploitation est à jour et qu'il dispose des dernières mises à jour de sécurité. Si votre système d'exploitation n'est pas à jour, vous pouvez parfois avoir un certificat racine plus ancien, ce qui a pour conséquence que les certificats plus récents sont considérés comme "non corrects" alors qu'ils le sont en réalité !

Qu'est-ce qu'un certificat intermédiaire ?

• Un certificat intermédiaire est émis par une autorité de certification racine et sert de couche intermédiaire entre les certificats racine et les certificats d'utilisateur final.
• Il permet d'atténuer les risques, car les certificats racine sont rarement utilisés directement pour signer les certificats des utilisateurs finaux.
• Les certificats intermédiaires sont reconnus par les serveurs et les clients si le certificat racine est présent dans le système.

Les autorités de certification doivent répondre à des exigences de sécurité très strictes pour garantir que leurs certificats ne sont pas compromis. Outre le certificat racine actuel, dont la clé privée est strictement protégée et qui n'est pas utilisé pour signer directement des certificats SSL, tous les émetteurs de certificats utilisent des certificats intermédiaires, souvent un par produit.
Si, ce qui est très peu probable, la clé privée de l'un de ces certificats intermédiaires est détournée, la sécurité des certificats qui dépendent d'un autre certificat intermédiaire reste garantie.

Comme les certificats intermédiaires diffèrent d'un produit à l'autre, il est toujours conseillé de les installer sur votre serveur avant d'installer votre propre certificat.

Dans le cas contraire, ou si le certificat intermédiaire est incorrect, les navigateurs de vos visiteurs risquent de ne pas accepter le certificat SSL installé. Il s'agit d'une erreur courante appelée "chaîne incomplète".

Où puis-je trouver les certificats racine et intermédiaire ?

Vous pouvez télécharger les différents certificats sur les sites web des autorités de certification.

• Les certificats intermédiaires GlobalSign AlphaSSL peuvent être téléchargés ici.
• Les certificats intermédiaires de Sectigo pour des produits populaires tels que PostivieSSL peuvent être téléchargés ici.