Glossaire

Dernière mise à jour : | Voir toute la documentation

Accès aux Informations de l'Autorité (AIA - Authority Information Access)  : Une extension de certificat utilisée pour indiquer à l’agent utilisateur comment obtenir des informations à propos de l'émetteur du certificat. Typiquement il indique l’URI de l’OCSP et l’URI de l'émetteur.

ACME (Environnement de gestion automatique de certificat - Automatic Certificate Management Environment)  : Protocole conçu par Let’s Encrypt. Les logiciels compatbles avec ce protocole peuvent l’utiliser pour communiquer avec Let’s Encrypt dans le but de demander un certificat. RFC de l’ACME - Wikipedia

Client ACME (ACME Client)  : Un programme capable de communiquer avec un serveur pour demander un certificat.

Serveur ACME (ACME Server)  : Un serveur compatible avec le protocole ACME qui peut générer des certificats. Le logiciel Boulder de Let’s Encrypt, est compatible avec ACME, à quelques divergences près.

Boulder  : Le logiciel implémentant le protocole ACME, développé et utilisé par Let’s Encrypt. GitHub

Exigences de bases (BRs - Baseline Requirements)  : Un ensemble d’exigences techniques et stratégiques pour les Autorités de Certification. Étant donné que tous les principaux Programmes Racine intègrent les exigences de base, les autorités de certification doivent respecter ces exigences pour être approuvées par la plupart des navigateurs.

CAA (Autorisation d'autorité de certification - Certificate Authority Authorization)  : Un enregistrement DNS qui spécifie les Autorités de Certification (AC) qui sont autorisée à émettre un certificat pour le nom de domaine correspondant. Les enregistrments de type CAA sont vérifiés par les AC et non par les navigateurs. Let’s Encrypt respecte les enregistrements CAA conformément aux Exigences de base. - Wikipédia

Enregistrement de nom canonique (CNAME - Canonical Name record)  : Une entrée DNS qui mappe un nom de domaine à un autre est appelée Nom Canonique. Wikipédia

Autorité de Certification (CA - Certificate Authority)  : Une organisation qui émet des certificats. Let’s Encrypt, IdenTrust, Sectigo et DigiCert sont des autorités de certification. Wikipédia

Emetteurs de l'AC (CA Issuers)  : Partie du champ AIA contenant des informations sur l'émetteur du certificat. Cela peut être utile lorsque le serveur Web n’a pas fourni de chaîne de certificats de confiance.

Certificat (Certificate)  : Un fichier dans un format particulier qui contient une clef publique et d’autres données décrivant quand utiliser cette clef publique. Le type de certificat le plus courant est un certificat feuille. Il existe également des certificats intermédiaires et racine.

Extension de certificat (Certificate extension)  : Dans les certificats, la plupart des champs sont définis par des extensions. Par exemple, Nom Alternatif de Sujet et AIA sont des extensions. Le mécanisme d’extension permet de créer de nouveaux champs ne faisaient pas partie de la norme X.509 d’origine.

CA/Browser Forum  : Association composée d’autorités de certification, de fournisseurs de logiciels de navigation Internet, de systèmes d’exploitation et autres applications PKI-compatibles. Le “CA/Browser Forum” publie les exigences de base. Let’s Encrypt est membre du “CA/Browser Forum”. Wikipédia

Chaîne de certificats (Certificate chain)  : Liste de certificats intermédiaires qui aident un agent utilisateur à déterminer si il peut approuver un certificat d’entité finale ou un certificat feuille, en le connectant à un certificat racine dans son magasin de certificats. Remarque: la chaîne n’est pas toujours unique et lorsqu’un site Web présente une chaîne de certificats menant à une racine, l’agent utilisateur peut décider d’utiliser une autre chaîne pour valider le certificat. Wikipédia

Politique de certifcation (PC) (CP - Certificate Policy)  : Un ensemble nommé de règles qui indiquent l’applicabilité d’un certificat à une communauté particulière et/ou à une classe d’applications ayant des exigences de sécurité communes. Les détails spécifiques de l'émission sont décrits dans un EPC (Anglais :CPS). Politique de certifcation de l’ISRG - RFC 3647 - Wikipédia

Énoncé des Pratiques de Certification (EPC) (CPS - Certification Practice Statement)  : Un énoncé des pratiques qu’une autorité de certification emploie pour émettre, gérer, révoquer et renouveler les certificats ou re-générer une nouvelle paire de clefs. Énoncé des Pratiques de Certification de l’ISRG - RFC 3647 section 3.4 Wikipédia

Extension critique (Critical extension)  : Un certificat peut contenir des extensions marquées «critique». Cela signifie que le logiciel doit rejeter ce certificat à moins qu’il ne comprenne comment traiter cette extension. Cela permet d’introduire de nouvelles extensions importantes pour la sécurité sans créer de risques pour les logiciels plus anciens.

Liste de révocations de certificats (LRC) (CRL - Certificate Revocation List)  : Une méthode pour informer les agents utilisateurs du statut de révocation d’un certificat. Il s’agit d’une liste des numéros de série de tous les certificats révoqués d’une autorité de certification donnée, signée par cette autorité de certification. Wikipédia

Requête de signature de certificat (CSR - Certificate Signing Request)  : Un fichier signé contenant les informations nécessaires et requises par l’autorité de certification pour générer un certificat. Les informations pertinentes pour Let’s Encrypt sont le Nom Commun (anglais: Common Name), les Noms Alternatifs de Sujet (SAN) et les “Subject Public Key Info”. Habituellement, les applications clientes génèrent automatiquement la CSR pour l’utilisateur, bien qu’un fournisseur d’hébergement Web ou un appareil puisse également générer une CSR. Wikipédia

Magasin de certificats (Certificate Store)  : Un magasin de certificats contient une liste de racines approuvées. Les systèmes d’exploitation (tels que Windows, Android ou Debian) et les navigateurs Web (tels que Firefox) gèrent un magasin de certificats. Les navigateurs sans magasin dépendent du magasin de certificats des systèmes d’exploitation. Les Certificats fournis par Let’s Encrypt sont approuvés par la plupart des magasins de certificats.

Sujet du certificat (Certificate subject)  : Le champ «Objet/Sujet» d’un de certificat indique de quoi parle un certificat. Il contient généralement des champs tels que Nom commun (anglais: Common Name), Pays et Organisation.

Transparence des certificats (CT - Certificate Transparency)  : Pour améliorer la sécurité, les certificats (ou précertificats) doivent être publiés dans les journaux de transparence des certificats: https://www.certificate-transparency.org/. Let’s Encrypt génère et publie des précertificats, et inclut dans le certificat en résultant une liste de SCT du précertificat. Certains navigateurs, comme Google Chrome, contrôlent la présence des SCT pour valider le certificat (le SCT est une promesse d’ajouter le précertificat dans les logs d’ici un laps de temps maximum). Wikipédia

Journaux de transparence des certificats (Certificate Transparency Log)  : Un composant de la transparence des certificats qui accepte les soumissions de certificats et de précertificats et les intègre dans une liste permanente, vérifiable et accessible au public.

Nom commun (CN - Common Name)  : Partie du sujet d’un certificat décrivant l’objectif du certificat. Pour les racines et les intermédiaires, c’est le nom lisible par l’homme de l’autorité de certification. Pour les certificats feuilles, c’est l’un des noms de domaine sur le certificat. Remarque: Le nom commun est limité à 63 caractères. Il s’agit d’une méthode obsolète pour indiquer un nom de domaine auquel le certificat s’applique, car les normes Internet actuelles s’attendent à ce que le logiciel vérifie uniquement les Noms alternatifs de sujet afin de déterminer l’applicabilité d’un certificat.

Certification croisée (Cross Signing)  : Un certificat d'émission peut être signé par plusieurs racines. Par exemple, les intermédiaires de Let’s Encrypt sont signés par IdenTrust, car au lancement, la racine de Let’s Encrypt n'était pas encore approuvée par les magasins de certificats. Techniquement, cela se fait avec deux certificats émetteurs, utilisant le même sujet et la même paire de clefs, l’un signé par la clef privée d’une racine Let’s Encrypt et l’autre signé par la clef privée d’une racine IdenTrust: /certificats. Wikipédia

DNS-based Authentication of Named Entities (DANE)  : Un mécanisme utilisant DNS pour indiquer comment vérifier l’authenticité du certificat ou de la clef de chiffrement présentée. Wikipédia

Domain Name System Security Extensions (DNSSEC)  : Un mécanisme d’authentification cryptographique des réponses DNS. DNSSEC nécessite un déploiement par les TLD (Top Level Domain), les propriétaires de noms de domaine et les résolveurs récursifs pour prendre effet. L’adoption est actuellement quelque peu faible. Wikipédia

Certificat à validation de domaine (DV - Extended Validation)  : Un certificat où le demandeur a seulement prouvé son contrôle sur le nom de domaine (et non sur l’identité de l’organisation requérante). Let’s Encrypt ne propose que des certificats DV (pas de OV ou EV): FAQ - Wikipédia

ECDSA (Elliptic Curve Digital Signature Algorithm)  : Une variante de l’algorithme de signature numérique (DSA) qui utilise la cryptographie à courbe elliptique. Wikipedia. Let’s Encrypt prend en charge ECDSA pour les certificats d’entité finale ou de feuille, mais pas encore pour toute la chaîne: /fonctionnalités à venir

Ed25519  : Un type spécifique d’EdDSA, tout comme Ed448.

EdDSA (Edwards-curve Digital Signature Algorithm)  : Un système de signature à clef publique moderne basé sur des courbes elliptiques, conçu pour résoudre plusieurs problèmes d’implémentation courants avec la cryptographie à courbe elliptique. Les autorités de certification comme Let’s Encrypt ne peuvent pas encore fournir de certificats EdDSA. Wikipédia

Elliptic Curve Cryptography (ECC)  : Un type de cryptographie à clef publique basé sur des courbes elliptiques. ECC utilise des clés plus petites par rapport à la cryptographie non-EC tout en offrant une sécurité équivalente. Cloudflare - Wikipédia

Certificat à validation étendue (EV - Extended Validation)  : Type de validation de certificat pour lequel l’AC a vérifié l’entité juridique contrôlant le site Web. Ils contiennent des informations sur cette entité. Les contrôles de l’AC sont plus stricts que pour les certificats OV. Let’s Encrypt ne propose pas de certificats EV. Wikipédia

Nom de domaine pleinement qualifié (FQDN - Fully qualified domain name)  : Le nom de domaine complet d’un site Web. Par exemple, www.example.com est un FQDN.

IdenTrust  : Une Autorité de Certification. IdenTrust a réalisé une certification croisée avec le certificat intermédiaire de Let’s Encrypt: /certificats . Wikipédia

Certificat intermédiaire (Intermediate certificate)  : Un certificat signé par une racine ou un autre intermédiaire, et capable de signer d’autres certificats. Ils sont utilisés pour signer les certificats feuilles tout en gardant la clef privée du certificat racine hors ligne. Les intermédiaires sont inclus dans les chaînes de certificats. Wikipédia

Internationalized Domain Names for Applications (IDNA)  : Voir Nom de domaine internationalisé (IDN).

Nom de domaine internationalisé (IDN - Internationalized Domain Name)  : Nom de domaine avec des caractères autres que a à z, 0 à 9 et le tiret (-). Ils peuvent par exemple contenir des caractères arabes, chinois, cyrilliques, tamouls, hébreux ou latins avec des signes diacritiques ou des ligatures. La représentation codée d’un domaine IDN commence par xn--. Les IDN sont pris en charge par Let’s Encrypt: https://letsencrypt.org/2016/10/21/introducing-idn-support.html. Wikipédia - RFC 5890 - RFC 5891

Internet Security Research Group (ISRG)  : L’organisation derrière Let’s Encrypt: https://www.abetterinternet.org/about/. Wikipédia

Certificate issuer  : Le champ «Émetteur» d’un certificat décrit le certificat qui l’a signé. Par exemple, le champ Émetteur d’un certificat d’entité finale de Let’s Encrypt peut être «Émetteur: C = US, O = Let’s Encrypt, CN = Let’s Encrypt Authority X3». Il contient généralement des champs tels que Nom commun, Pays et Organisation. Le champ Émetteur correspond toujours au champ Objet d’un certificat. Pour les certificats auto-signés comme la racine, l'émetteur est le même que le sujet. Le terme «émetteur» peut également être utilisé pour indiquer un certificat qui émet d’autres certificats (intermédiaire ou racine), ou une organisation qui émet des certificats.

Paire de clefs (Key-pair)  : Combinaison d’une clef privée et d’une clef publique utilisée pour signer ou chiffrer. La clé publique est généralement intégrée dans un certificat, tandis que la clé privée est stockée seule et doit être gardée secrète. Une paire de clefs peut être utilisée pour chiffrer et déchiffrer, pour signer et vérifier des données, ou pour négocier des clés secondaires, selon l’application. Wikipédia

Certificat feuille (certificat d'entité finale) (Leaf certificate (end-entity certificate))  : Le plus souvent, un certificat signé par un intermédiaire, valide pour un ensemble de domaines et incapable de signer d’autres certificats. Il s’agit du type de certificat que les clients ACME demandent et que les serveurs Web utilisent. Wikipédia

Let's Encrypt (LE)  : L’Autorité de Certification opérée par ISRG. Wikipedia

Contenu mixte  : Lorsqu’une page Web HTTPS charge des sous-ressources (Javascript, CSS ou images) via HTTP. Les navigateurs peuvent bloquer le contenu mixte ou marquer la page comme moins sécurisée lorsqu’un contenu mixte est présent: https://developer.mozilla.org/en-US/docs/Web/Security/Mixed_content. Pour résoudre un problème de contenu mixte, un développeur Web doit modifier ses pages afin que toutes les ressources utilisent des URL HTTPS. Les outils de développement intégrés aux navigateurs peuvent être utilisés pour déterminer quelles ressources sont à l’origine de problèmes de contenu mixtes.

OCSP (Protocole de vérification de certificat en ligne - Online Certificate Status Protocol)  : Une méthode pour vérifier l'état de révocation d’un certificat. En d’autres termes, un moyen de vérifier si une autorité de certification indique que le certificat ne doit plus être considéré comme valide, même si sa date d’expiration n’a pas encore été atteinte. Cette demande peut créer des problèmes de confidentialité car elle permet à l’autorité de certification et aux fournisseurs de services Internet d’observer directement qui visite quels sites. Wikipédia

OCSP Must-Staple  : Une extension de certificat, informant le navigateur que le serveur Web avec ce certificat doit utiliser l’agrafage OCSP. Il est utilisé pour exiger qu’un état de révocation, à jour, du certificat soit confirmé par le serveur Web à chaque connexion, ce qui rend la révocation plus fiable. Let’s Encrypt peut émettre des certificats avec l’extension OCSP Must-Staple sur demande. Mozilla Security Blog RFC 7633

Agrafage OCSP (OCSP stapling)  : Un moyen pour un serveur Web d’envoyer à un navigateur une réponse OCSP signée par l’autorité de certification, afin que le navigateur lui-même n’ait pas besoin de faire une nouvelle demande auprès de l’OCSP de l’autorité de certification, améliorant ainsi la vitesse et la confidentialité. Également connu sous le nom d’Extension de requête d'état de certificat TLS (anglais: TLS Certificate Status Request Extension). Wikipédia Cloudflare

Identificateurs d'objet (OID - Object identifier)  : Les OID sont des identificateurs numériques uniques normalisés par l’Union internationale des télécommunications (UIT) et ISO/IEC. Les OID sont utilisés dans les certificats pour définir des extensions, des champs ou des assertions de stratégie. Les normes Internet, les politiques de certification et les déclarations de pratiques de certification définissent l’utilisation de l’OID. Wikipédia

Certificat à validation d'organisation (OV - Organization Validation)  : Certificat pour lequel l’AC a vérifié l’entité juridique du Souscripteur. Il contient des informations sur cette entité. Let’s Encrypt n’offre pas de certificats OV Wikipédia

Fichier de type PEM (.pem) (PEM file (.pem))  : Un format pour les informations cryptographiques (initialement spécifié dans le cadre des normes Internet Privacy Enhanced Mail pour le courrier électronique sécurisé). Un document PEM peut représenter des informations telles qu’une clef privée, une clef publique ou un certificat numérique. Ces fichiers commencent par “-----BEGIN " puis un type de données. Wikipédia

Personal Information Exchange Files (.pfx)  : Un fichier qui peut contenir un certificat feuille, sa chaîne jusqu'à la racine et la clef privée de la feuille. Voir également https://en.wikipedia.org/wiki/PKCS_12. Microsoft Hardware Dev Center

Précertificat (Precertificate)  : Les précertificats font partie de la transparence des certificats (CT). Un précertificat est une copie du certificat qu’une autorité de certification a l’intention de délivrer, avec une “extension critique enpoisonnée” (anglais: Critical poison extension) qui y est ajoutée pour empêcher le précertificat d'être accepté par un logiciel. Une autorité de certification soumet un précertificat aux journaux de CT en échange de SCT (Signed Certificate Timestamp). Puisqu’un précertificat n’est pas identique à son certificat correspondant, les journaux de transparence des certificats peuvent finir par contenir les deux. RFC 6962 Section 3.1

HTTP Public Key Pinning (HPKP)  : Mécanisme de sécurité qui demande à un navigateur d’exiger que la chaîne de certificats d’un site utilise certaines clefs publiques lors de futurs chargements. Chrome a introduit ce mécanisme pour se protéger contre les autorités de certification compromises, mais il a provoqué des indisponiblitées de sites, ce qui a conduit Chrome à le déprécier et à le supprimer. Wikipédia

Liste des suffixes publics (PSL - Public Suffix List)  : Une liste de suffixes publics maintenue par Mozilla, indiquant quels domaines Internet sont disponibles pour de nombreuses entités distinctes afin d’y enregistrer les sous-domaines. Par exemple, la liste indique que com et co.uk sont des suffixes publics même si co.uk n’est pas un TLD. Les navigateurs Web utilisent la liste, entre autres, pour empêcher les sites qui sont probablement exploités par différentes entités de partager des cookies Web entre eux. Let’s Encrypt utilise également la liste pour les calculs de limite d’utilisation: /rate-limits. https://publicsuffix.org/

Relying Party  : La personne qui fait confiance à des informations contenues dans un certificat. Par exemple, une personne qui visite un site Web HTTPS est une “relying party” (partie utilisatrice / partie se fiant).

Révocation (Revocation)  : Un certificat est valide jusqu'à sa date d’expiration, sauf si l’autorité de certification indique qu’il a été révoqué. Le certificat peut être révoqué pour diverses raisons telles que la compromission de la clef privée. Les navigateurs peuvent vérifier si un certificat est révoqué à l’aide de la CRL, de l’OCSP ou de méthodes plus récentes telles que OneCRL et CRLSets. Notez que dans de nombreuses situations, la révocation ne fonctionne pas. /fr/docs/revoking.

Certificat racine (Root certificate)  : Un certificat auto-signé controllé par une autorité de certification, utilisé pour signer ces certificats intermédiaires et inclus dans les magasins de certificats. Wikipédia

Programmes Racine (Root Program)  : Les stratégies qu’une organisation utilise pour décider quels certificats inclure dans son magasin de certificats, et donc quelles autorités de certification sont approuvées par leur logiciel.

RSA - Rivest, Shamir, Adleman (RSA)  : Un algorithme à clef publique utilisé pour le chiffrement et pour signer numériquement les certificats. Wikipédia

Certificat auto-signé (Self-signed certificate)  : Un certificat signé par sa propre clef privée, avec son sujet égal à son émetteur. Les certificats auto-signés sont approuvés uniquement en raison d’arrangements antérieurs pris dans le monde physique, tels que l’inclusion dans une liste de racines approuvées (de confiance). Les certificats racine sont auto-signés. Wikipédia

Indication du nom du server (SNI - Server Name Indication)  : Champ qu’un agent utilisateur envoie à un serveur lors d’une négociation TLS, spécifiant le nom de domaine auquel se connecter. Cela permet au serveur de répondre avec le certificat approprié lorsque plusieurs domaines sont hébergés derrière la même adresse IP. Le serveur Web peut envoyer un certificat différent et afficher un contenu différent, selon le nom que le client a demandé par SNI. Le SNI n’est pas chiffré, mais un remplacement expérimental, ESNI, l’est. Wikipédia

Signed Certificate Timestamp (SCT)  : Une promesse signée et vérifiable de publier un certificat, à partir d’un journal de transparence de certificat (anglais: CT Log). Les navigateurs qui appliquent le contrôle du Certificate Transparency (CT) vérifient la présence de SCT dans le certificat d’un site ou dans la négociation TLS et refusent de se connecter à des sites qui ne répondent pas aux exigences de journalisation. Cela augmente la probabilité de détection de certificats frauduleux ou inexacts. https://www.certificate-transparency.org/how-ct-works

SSL (Secure Sockets Layer)  : Un nom plus ancien pour TLS, toujours utilisé couramment.

Qualification (Staging)  : Let’s Encrypt fournit une API de qualification afin de tester les demandes de certificat sans impacter les limites d’utilisation. Les certificats générés par l’environnement de qualification ne sont pas reconnus comme fiables publiquement. L’environnement de qualification être réservé à des tests, de la correction d’erreurs, et du développement de clients ACME. /fr/docs/staging-environment

Nom Alternatif de Sujet (SAN - Subject Alternative Name)  : Le champ d’un certificat qui indique pour quel(s) domaine(s) le certificat est valide. Il remplace l’utilisation du [Nom Commun (CN)](# def-CN), qui est désormais fourni uniquement pour des raisons de compatibilité. Un même certificat peut contenir de nombreux SAN et être valide pour de nombreux noms de domaine différents. Wikipédia /fr/docs/rate-limits/#names-per-certificate

Souscripteur (Subscriber)  : La personne ou l’organisation demandant un certtificat.

Top-Level Domain (TLD)  : Niveau le plus élevé du système de noms de domaine hiérarchique, tel que les domaines de premier niveau nationaux (ccTLD) comme .de (Allemagne), .cn (Chine) et les domaines génériques de premier niveau (gTLD) comme .com, .org. Wikipédia

TLS (Transport-Level Security)  : Protocole utilisé par HTTPS pour chiffrer et authentifier les consultations de pages Web.

TLSA  : La fonction du mécanisme DANE spécifiquement liée à la validation des connexions TLS.

Unified Communications Certificate (UCC)  : Description d’un certificat contenant plusieurs noms alternatifs de sujet (SAN).

Navigateur internet (Web Browser)  : Un agent utilisateur utilisé pour afficher des pages web. Exemples: Mozilla Firefox, Google Chrome ou Internet Explorer. Wikipédia

Agent utilisateur (User Agent)  : Logiciel capable de communiquer avec un serveur web. Exemple: un navigateur web ou cURL.

Serveur web (Web server)  : Logiciel fournissant des pages web (ou, par extension, le serveur matériel qui l’héberge). Wikipédia

Certificat générique ou omni-domaine (Wildcard Certificate)  : Certificats valides pour les sous-domaines d’une profondeur de un niveau. Par exemple, un certificat contenant un SAN pour *.example.com est valide pour blog.example.com et www.example.com mais pas pour bork.bork.example.com ou example.com). Un certificat “générique” est indiqué par le caractère asterisque (*) à la place d’un sous-domaine. Let’s Encrypt fournit des certificats Wildcard à partir de mars 2018. Wikipédia

X.509  : Le standard définissant le format des certificats à clef publique. Wikipédia