ISRG celebrates 10 years of helping build a brighter Internet →

Glossaire

Dernière mise à jour : | Voir toute la documentation

ACME (Automatic Certificate Management Environment) : Le protocole mis en œuvre par Let’s Encrypt. Les logiciels compatibles avec ce protocole peuvent l’utiliser pour communiquer avec Let’s Encrypt pour demander un certificat. ACME RFC - Wikipedia

ACME Client : Un programme capable de communiquer avec un serveur ACME pour demander un certificat.

ACME Server : Un serveur compatible ACME qui peut générer des certificats. Le logiciel de Let’s Encrypt, Boulder, est compatible ACME, avec quelques divergences.

Authority Information Access (AIA) : Une extension de certificat utilisée pour indiquer aux agents utilisateurs comment obtenir des informations sur l’émetteur du certificat. Il précise généralement l’URI de l'OCSP et l'URI de l’émetteur.

Baseline Requirements (BRs) : Un ensemble d’exigences techniques et administratives pour les AC. Étant donné que tous les principaux programmes racines intègrent les exigences de base, les AC doivent respecter ces exigences pour que la plupart des navigateurs leur fassent confiance.

Boulder : Le logiciel mettant en œuvre ACME, développé et utilisé par Let’s Encrypt. GitHub

CA Issuers : Partie du champ AIA contenant des informations sur l’émetteur du certificat. Elle peut être utile lorsque le serveur web n’a pas fourni une chaîne de certificats de confiance.

CA/Browser Forum : Un groupe volontaire d’autorités de certification, de vendeurs de logiciels de navigation Internet, de systèmes d’exploitation et d’autres applications compatibles PKI. Le CA/Browser Forum publie les Exigences de Base (Baseline Requirements. Let’s Encrypt est membre du CA/Browser Forum. cabforum.org

CAA (Certificate Authority Authorization) : Un enregistrement DNS qui spécifie quelles Autorité de Certification sont autorisés à émettre un certificat pour le nom de domaine correspondant. Les enregistrements de la CAA sont vérifiés par les AC, et non par les navigateurs. Let’s Encrypt accepte les enregistrements de la CAA comme le prévoient les Conditions de Base (Baseline Requirements). - Wikipedia

Canonical Name record (CNAME) : Une entrée DNS qui fait correspondre un nom de domaine à un autre, appelée “nom canonique”. Wikipedia

Certificate : Un fichier au format particulier qui contient une clé publique et d’autres données décrivant quand utiliser cette clé publique. Le type de certificat le plus courant est un certificat leaf. Il existe également des certificats “intermédiaire” (intermediate) et “racine” (root).

Certificate Authority (CA) : Une organisation qui délivre des certificats. Let’s Encrypt, IdenTrust, Sectigo, et DigiCert sont des Autorités de Certification. Wikipedia

Certificate Policy (CP) : Ensemble nommé de règles qui indique l’applicabilité d’un certificat à une communauté particulière et/ou à une catégorie d’applications ayant des exigences de sécurité communes. Les détails spécifiques de l’émission sont décrits dans un CPS. ISRG Certificate Policy - RFC 3647 - Wikipedia

Certificate Revocation List (CRL) : Une méthode pour informer les agents utilisateurs sur le statut de revocation d’un certificat. Il s’agit d’une liste des numéros de série de tous les certificats révoqués d’une AC donnée, signée par cette AC. Wikipedia

Certificate Signing Request (CSR) : Un fichier signé contenant les informations nécessaires requises par le AC pour générer un certificat. Les informations pertinentes pour Let’s Encrypt sont Common Name, Subject Alternative Names, et Subject Public Key Info. Habituellement, les applications clientes génèrent automatiquement la CSR pour l’utilisateur, bien qu’un fournisseur d’hébergement web ou un appareil puisse également générer une CSR. Wikipedia

Certificate Store : Un magasin de certificats contient une liste de certificats de confiance “racines” (roots). Les systèmes d’exploitation (tels que Windows, Android ou Debian) et les navigateurs web (tels que Firefox) gèrent un magasin de certificats. Les navigateurs qui n’en ont pas utilisent le magasin de certificats des systèmes d’exploitation. Les certificats fournis par Let’s Encrypt sont reconnus par la plupart des magasins de certificats.

Certificate Transparency (CT) : Pour améliorer la sécurité, les certificats (ou pré-certificats) doivent être publiés dans Certificate Transparency Logs: https://www.certificate-transparency.org/. Let’s Encrypt génère et publie des pré-certificat, et inclut dans le certificat suivant une liste de SCT pour le pré-certificat. Certains navigateurs, tels que Google Chrome, exigent la présence de cette garantie vérifiable afin de valider le certificat. Wikipedia

Certificate Transparency Log : Une composante de Certificate Transparency qui accepte les soumissions de certificats et de pré-certificats et les intègre dans une liste permanente, vérifiable et accessible au public.

Certificate chain : Une liste de certificats intermédiaires qui aide un agent utilisateur à déterminer qu’il peut faire confiance à un certificat d’entité finale ou “leaf certificate”, en le connectant à un certificat racine dans son magasin de certificats. Remarque : la chaîne n’est pas toujours unique, et lorsqu’un site web présente une chaîne de certificats menant à une racine, l’agent utilisateur peut décider d’utiliser une autre chaîne pour valider le certificat. Wikipedia

Certificate extension : Dans les certificats, la plupart des champs sont définis par des extensions. Par exemple, Subject Alternative Names et AIA sont des extensions. Le mécanisme d’extension permet de créer de nouveaux champs qui ne faisaient pas partie de la norme originale X.509.

Certificate issuer : Le champ “Émetteur” d’un certificat décrit le certificat qui l’a signé. Par exemple, le champ Issuer d’un certificat d’entité finale Let’s Encrypt pourrait être “Issuer : C = US, O = Let’s Encrypt, CN = Let’s Encrypt Authority X3”. Il contient généralement des champs comme Common Name, Country et Organization. Le champ “Émetteur” correspond toujours au champ Subject de certains certificats. Pour les certificats auto-signés comme les “roots”, l’émetteur est le même que le “Subject”. Le terme “émetteur” peut également être utilisé pour indiquer un certificat qui émet d’autres certificats (un “intermediate” ou “root”), ou une organisation qui émet des certificats.

Certificate subject : Le champ “Subject” d’un certificat indique de quoi il s’agit. Il contient généralement des champs comme Common Name, Country et Organization.

Certification Practice Statement (CPS) : Une déclaration des pratiques qu’une autorité de certification emploie pour délivrer, gérer, révoquer et renouveler ou re-coder les certificats. ISRG Certification Practice Statement - RFC 3647 section 3.4 Wikipedia

Common Name (CN) : Partie d’un certificat Subject décrivant l’objet du certificat. Pour les “roots” et les “intermediates”, c’est le nom de l'Autorité de Certification. Pour les certificats “leaf” il s’agit d’un des noms de domaine figurant sur le certificat. Note : Le nom commun est limité à 63 caractères. Il s’agit d’une méthode obsolète pour indiquer un nom de domaine auquel le certificat s’applique, puisque les normes Internet actuelles attendent des logiciels qu’ils ne vérifient que les Subject Alternative Names afin de déterminer l’applicabilité d’un certificat.

Critical extension : Un certificat peut contenir des extensions marquées “critical”. Cela signifie que le logiciel doit rejeter ce certificat à moins qu’il ne comprenne comment traiter cette extension. Cela permet d’introduire de nouvelles extensions qui sont importantes pour la sécurité sans créer de risques pour les anciens logiciels.

Cross Signing : Un certificat émis peut être signé par plusieurs racines. Par exemple, les certificats intermédiaires de Let’s Encryptsont signés par IdenTrust, car au lancement, la racine de Let’s Encrypt n’était pas encore reconnue par les magasins de certificats. Techniquement, cela se fait avec deux certificats émetteurs, utilisant le même Subject et la même paire de clés, l’un signé par la clé privée d’une racine Let’s Encrypt et l’autre signé par la clé privée d’une racine IdenTrust : /certificates. Wikipedia

DNS-based Authentication of Named Entities (DANE) : Un mécanisme utilisant le DNS pour indiquer comment vérifier l’authenticité du certificat ou de la clé de cryptage présenté. Wikipedia

Domain Name System Security Extensions (DNSSEC) : Un mécanisme utilisant le DNS pour indiquer comment vérifier l’authenticité du certificat ou de la clé de cryptage présenté. Pour prendre effet, la DNSSEC doit être déployée par les TLD, les propriétaires de noms de domaine et les résolveurs récursifs. L’adoption est actuellement assez faible. Wikipedia

Domain-validated certificate : Un certificat où le demandeur n’a fait que prouver son contrôle sur le nom de domaine (et non l’identité de l’organisme demandeur). Let’s Encrypt ne propose que des certificats DV (pas OV ou EV) : FAQ - Wikipedia

ECDSA (Elliptic Curve Digital Signature Algorithm) : Une variante de l’algorithme de signature numérique (DSA) qui utilise la cryptographie à courbe elliptique. Wikipedia. Let’s Encrypt prend en charge l’ECDSA pour les certificats d’entité finale ou “leaf certificates”, mais pas encore pour l’ensemble de la chain: /prochaines fonctionnalités

Ed25519 : Un type spécifique d'EdDSA, ainsi que l’Ed448.

EdDSA (Edwards-curve Digital Signature Algorithm) : Un système moderne de signature à clé publique basé sur des courbes elliptiques, conçu pour résoudre plusieurs problèmes courants de mise en œuvre de la cryptographie à courbes elliptiques. Les autorités de certification comme Let’s Encrypt ne peuvent pas encore fournir de certificats EdDSA. Wikipedia

Elliptic Curve Cryptography (ECC) : Un type de cryptographie à clé publique basé sur des courbes elliptiques. L’ECC utilise des clés plus petites que la cryptographie non CE tout en offrant une sécurité équivalente. Cloudflare - Wikipedia

Extended Validation (EV) : Un type de validation de certificat pour lequel l' AC a vérifié l’entité légale contrôlant le site web. Ils contiennent des informations sur cette entité. Les contrôles de l'AC sont plus stricts que pour les certificats OV. Let’s Encrypt ne propose pas de certificats EV. Wikipedia

Fully qualified domain name (FQDN) : Le nom de domaine complet d’un site web. Par exemple, www.example.com est un FQDN.

HTTP Public Key Pinning (HPKP) : Un mécanisme de sécurité qui demande à un navigateur d’exiger que la chaîne de certificats d’un site utilise certaines clés publiques lors de chargements futurs. Chrome a introduit ce mécanisme pour se protéger contre les Autorités de Certification compromises, mais il a causé des pannes de site, ce qui a conduit Chrome à le déprécier et à le supprimer. Wikipedia

IdenTrust : Une Autorité de Certification . IdenTrust a apposé sa signature croisée sur les certificats intermédiaires de Let’s Encrypt : /certificates. Wikipedia

Intermediate certificate : Un certificat signé par un “root” ou autre “intermediate”, et capable de signer d’autres certificats. Ils sont utilisés pour signer des certificats “leaf” tout en gardant la clé privée du certificat “root” hors ligne. Les “intermediates” sont inclus dans les chaînes de certificats. Wikipedia

Internationalized Domain Name (IDN) : Nom de domaine avec des caractères autres que a à z, 0 à 9 et le trait d’union (-). Ils peuvent par exemple contenir des caractères basés sur l’alphabet arabe, chinois, cyrillique, tamoul, hébreu ou latin avec des diacritiques ou des ligatures. La représentation codée d’un domaine IDN commence par xn--. Les IDNs sont supportés par Let’s Encrypt : https://letsencrypt.org/2016/10/21/introducing-idn-support.html. Wikipedia - RFC 5890 - RFC 5891

Internationalized Domain Names for Applications (IDNA) : See nom de domaine internationalisé.

Internet Security Research Group (ISRG) : L’organisation derrière Let’s Encrypt : https://www.abetterinternet.org/about/. Wikipedia

Key-pair : Combinaison d’une clé privée et d’une clé publique utilisée pour signer ou crypter. La clé publique est généralement intégrée dans un certificat, tandis que la clé privée est stockée seule et doit être gardée secrète. Une paire de clés peut être utilisée pour crypter et décrypter, pour signer et vérifier des données, ou pour négocier des clés secondaires, selon l’application. Wikipedia

Leaf certificate (end-entity certificate) : Le plus souvent, il s’agit d’un certificat signé par un intermédiaire, valable pour un ensemble de domaines et ne pouvant pas signer d’autres certificats. C’est le type de certificat que les clients ACME demandent, et que les serveurs web utilisent. Wikipedia

Let's Encrypt (LE) : L'Autorité de Certification gérée par l'ISRG. Wikipedia

Mixed content : Lorsqu’une page web HTTPS charge des sous-ressources (Javascript, CSS ou images) via HTTP. Les navigateurs peuvent bloquer les contenus mixtes, ou marquer la page comme étant moins sûre en présence de contenus mixtes : https://developer.mozilla.org/en-US/docs/Web/Security/Mixed_content. Pour résoudre un problème de contenu mixte, un développeur web doit modifier ses pages afin que toutes les ressources utilisent des URL HTTPS. Les outils de développement intégrés aux navigateurs peuvent être utilisés pour déterminer quelles ressources sont à l’origine de problèmes de contenu mixte.

OCSP (Online Certificate Status Protocol) : Une méthode pour vérifier le statut de révocation d’un certificat. En d’autres termes, un moyen de vérifier si une Autorité de Certification indique que le certificat ne doit plus être considéré comme valable, même si sa date d’expiration n’est pas encore atteinte. Cette requête peut créer des problèmes de confidentialité car elle permet à l’Autorité de Certification, et aux fournisseurs de services Internet, d’observer directement qui visite quels sites. Wikipedia

OCSP Must-Staple : Une extension de certificat, informant le navigateur que le serveur web avec ce certificat doit utiliserl'OCSP stapling. Il est utilisé pour exiger qu’un statut de révocation du certificat soit confirmé par le serveur web à chaque connexion, ce qui rend la révocation plus fiable. Let’s Encrypt peut délivrer des certificats avec l'extension OCSP Must-Staple sur demande. Mozilla Security Blog RFC 7633

OCSP stapling : Un moyen pour un serveur web d’envoyer à un navigateur une réponse OCSP ignée par l'Autorité de Certification, de sorte que le navigateur lui-même n’a pas besoin de faire une demande OCSP secondaire à l’AC, ce qui améliore la vitesse et la confidentialité. Également connu sous le nom de TLS Certificate Status Request extension. Wikipedia Cloudflare

Object identifier (OID) : Les OID sont des identificateurs numériques uniques normalisés par l’Union Internationale des Télécommunications (ITU) et l’ISO/CEI. Les OID sont utilisés dans les certificats pour définir des extensions, des champs ou des “policy assertions”. Les normes Internet et les documents “Politique de Certification” et “Déclaration sur les pratiques de certification” définissent l’utilisation de l’OID. Wikipedia

Organization Validation (OV) : Certificats pour lesquels l'AC a vérifié l’entité juridique du Souscripteur. Ils contiennent des informations sur cette entité. Let’s Encrypt ne propose pas de certificats OV. Wikipedia

PEM file (.pem) : Un format pour les informations cryptographiques (spécifié à l’origine dans le cadre des normes internet Privacy Enhanced Mail pour le courrier électronique sécurisé). Un document PEM peut représenter des informations telles qu’une clé privée, une clé publique ou un certificat numérique. Ces fichiers commencent par “-----BEGIN " et ensuite un type de données. Wikipedia

Personal Information Exchange Files (.pfx) : Un fichier qui peut contenir un certificat “leaf”, sa chaîne jusqu’à la racine et la clé privée du certificat “leaf”. Voir aussi https://en.wikipedia.org/wiki/PKCS_12. Microsoft Hardware Dev Center

Precertificate : Les pré-certificats font partie de “Certificate Transparency”. Un pré-certificat est une copie du certificat qu’une AC a l’intention de délivrer, avec une extension “critical” ajoutée pour empêcher que le pré-certificat ne soit accepté par les logiciels. Une AC soumet un pré-certificat aux journaux de “Certificate Transparency” en échange des SCT. Étant donné qu’un pré-certificat n’est pas identique à son certificat correspondant, les journaux de “Certificate Transparency” peuvent finir par contenir les deux. RFC 6962 Section 3.1

Public Suffix List (PSL) : Une liste de suffixes publics maintenue par Mozilla, indiquant quels domaines Internet sont disponibles pour de nombreuses entités distinctes afin d’enregistrer des sous-domaines. Par exemple, la liste indique que com et co.uk sont tous deux des suffixes publics même si co.uk n’est pas un Top-Level Domain (TLD). Les navigateurs web utilisent cette liste, entre autres, pour empêcher les sites qui sont probablement exploités par différentes entités de partager des cookies web entre eux. Let’s Encrypt utilise également la liste pour le respect des limites d’utilisation : /rate-limits. https://publicsuffix.org/

RSA : Un algorithme à clé publique utilisé pour le cryptage et pour signer numériquement des certificats. Wikipedia

Relying Party : La personne qui s’appuie sur les informations contenues dans un certificat. Par exemple, une personne qui visite un site web HTTPS est “Relying Party”.

Revocation : Un certificat est valable jusqu’à sa date d’expiration, sauf si le AC indique qu’il a été révoqué. Le certificat peut être révoqué pour diverses raisons telles que la compromission de la clé privée. Les navigateurs peuvent vérifier si un certificat est révoqué en utilisant CRL, OCSP, ou des méthodes plus récentes comme OneCRL and CRLSets. Notez que dans de nombreuses situations, la révocation ne fonctionne pas. /docs/revoking

Root Program : Les règles qu’une organisation utilise pour décider des certificats à inclure dans son magasin de certificats, et donc des AC auxquelles leur logiciel fait confiance.

Root certificate : Un certificat auto-signé contrôlé par une Autorité de Certification, utilisé pour signer ses certificats intermédiaires et inclus dans les magasins de certificats. Wikipedia

SSL (Secure Sockets Layer) : Un ancien nom pour TLS, toujours utilisé couramment.

Self-signed certificate : Un certificat signé par sa propre clé privée, avec son sujet égal à son émetteur. Les certificats auto-signés ne sont fiables qu’en raison de dispositions préalables prises dans le monde physique, telles que l’inclusion dans une liste root de confiance. Les certificats racine sont auto-signés. Wikipedia

Server Name Indication (SNI) : Un champ qu’un user agent envoie à un serveur lors d’un TLS handshake, en spécifiant le nom de domaine auquel se connecter. Cela permet au serveur de répondre avec le certificat approprié lorsque plusieurs domaines sont hébergés derrière la même IP. Le serveur web peut envoyer un certificat différent et afficher un contenu différent, en fonction du nom que le client a demandé à la SNI. Le SNI n’est pas crypté, mais un autre système expérimental, l’ESNI, l’est. Wikipedia

Signed Certificate Timestamp (SCT) : Une promesse signée et vérifiable de publier un certificat, à partir du “Certificate Transparency log”. Les navigateurs qui appliquent le CT vérifient la présence de SCT dans le certificat d’un site, ou dans le TLS handshake, et refusent de se connecter aux sites qui ne répondent pas à leurs exigences en matière de journalisation. Cela augmente la probabilité que des certificats frauduleux ou inexacts soient détectés. https://www.certificate-transparency.org/how-ct-works

Staging : Let’s Encrypt fournit une API de pré-production pour tester la demande de certificat sans impacter les limites d’utilisation. Les certificats générés par l’environnement de pré-production n’ont pas de confiance publique . L’environnement de pré-production doit être utilisé à des fins de test, de débogage et de développement du client ACME. /docs/staging-environment

Subject Alternative Name (SAN) : Le champ d’un certificat qui indique pour quel(s) domaine(s) le certificat est valable. Il remplace l’utilisation du Common Name, qui est désormais fourni uniquement pour des raisons de compatibilité. Un seul certificat peut contenir plusieurs Noms Alternatifs du Serveur (SAN) et être valable pour de nombreux noms de domaine différents. Wikipedia https://letsencrypt.org/docs/rate-limits/#names-per-certificate

Subscriber : La personne ou l’organisation qui demande un certificat.

TLS (Transport-Level Security) : Le protocole utilisé par HTTPS pour crypter et authentifier les visites de pages web.

TLSA : La partie de DANE spécifiquement liée à la validation des connexions TLS.

Top-Level Domain (TLD) : Le niveau le plus élevé dans le système hiérarchique des noms de domaine, comme les domaines de premier niveau de code pays (ccTLD) tels que .de (Germany), .cn (China) et les domaines génériques de premier niveau (gTLDs) comme .com, .org. Wikipedia

Unified Communications Certificate (UCC) : Une description d’un certificat contenant plusieurs Subject Alternative Names (SANs).

User Agent : Logiciel capable de communiquer avec un serveur web. Exemple: Navigateur web ou cURL.

Web Browser : Un agent utilisé pour afficher des pages web. Exemples: Mozilla Firefox, Google Chrome ou Internet Explorer. Wikipedia

Web server : Logiciel servant les pages web (ou, par extension, le serveur matériel qui l’héberge). Wikipedia

Wildcard Certificate : Certificats valables pour les sous-domaines d’un degré de profondeur. Par exemple, un certificat contenant un SAN pour *.example.com est valable pour blog.example.com et www.example.com mais pas pour bork.bork.example.com ou example.com). Un caractère générique est indiqué par un astérisque (*) à la place d’un sous-domaine. Let’s Encrypt fournit des certificats Wildcard à partir de mars 2018. Wikipedia

X.509 : La norme définissant le format des certificats de clé publique. Wikipedia