Hiérarchie d’approbation

Pour que les certificats numériques soient efficaces, les utilisateurs de certificats doivent avoir un niveau élevé de confiance en eux. Il existe des cas où un utilisateur ne fait pas confiance à l’émetteur d’un certificat. Cela peut se produire si l’utilisateur du certificat n’a jamais entendu parler de l’autorité de certification et est donc mal à l’aise avec l’acceptation d’un certificat de cet émetteur à la valeur faciale. Ce problème est traité dans le processus de certification par une hiérarchie d’approbation.

Une hiérarchie d’approbation commence par au moins une autorité de certification approuvée par toutes les entités de la chaîne de certificats. Il peut s’agir d’un administrateur d’autorité de certification interne ou d’une société externe ou d’organization spécialisée dans la vérification des identités et l’émission de certificats. Cette autorité est appelée autorité racine. L’autorité racine certifie ensuite d’autres autorités de certification, appelées autorités de certification de premier niveau, qui peuvent ensuite émettre des certificats et également certifier des autorités de certification supplémentaires ou de second niveau. Cette situation est illustrée dans l’illustration suivante.

L’identité de l’autorité de certification émettrice d’un certificat fait partie d’un certificat. Cette autorité de certification est appelée émetteur du certificat. Lorsque l’émetteur d’un certificat est une autorité de certification de niveau 1 ou 2, le destinataire de ce certificat peut déterminer si l’émetteur du certificat est certifié en tant qu’autorité de certification valide par une autorité de certification à un niveau supérieur, et que l’autorité de certification de niveau supérieur est certifiée en tant qu’autorité de certification valide par une autorité de certification de niveau supérieur jusqu’à ce qu’il soit déterminé qu’une chaîne de confiance existe entre le niveau le plus bas autorité de certification et autorité de certification racine.

Par exemple, dans l’illustration précédente, il peut être vérifié que l’autorité de certification n° 4 a été certifiée en tant qu’autorité de certification par l’autorité de certification n° 1 et que l’autorité de certification n° 1 a été certifiée en tant qu’autorité de certification par l’autorité de certification racine. Ainsi, lorsqu’un certificat d’une autorité de certification de niveau inférieur est transmis avec le message chiffré, des informations sur tous les certificats de sa chaîne d’approbation jusqu’à la racine sont transmises avec elle.

L’illustration et la description que vous venez de présenter sont conceptuelles. Dans le monde réel, la situation de l’autorité de certification évolue et aucune autorité racine unique n’a été établie ou acceptée. À court terme, les îlots d’autorité se développeront comme le montre l’illustration suivante.

Avec le temps, les îles racines, Racine 1 et Racine 2 dans l’illustration, peuvent devenir des autorités de certification de niveau 1 pour une seule autorité de certification racine. À ce stade, la situation aurait à nouveau une seule autorité racine. Il reste à voir exactement comment l’image réelle évoluera.