Certificats SSL/TLS, tout comprendre

Un certificat numérique

Un certificat numérique, c’est comme une carte d’identité pour un site web. Ça permet à ton navigateur ou à une machine (comme une passerelle / gateway) de vérifier que le site est bien celui qu’il prétend être, et que la connexion est sécurisée (chiffrement).

• Ces certificats sont émis par une autorité de confiance (par ex. Let’s Encrypt), un peu comme une mairie qui délivre une carte d’identité.
• Ils ont une date d’expiration : il faut les renouveler régulièrement, sinon les navigateurs ou appareils refusent la connexion (ils pensent que la carte d’identité est périmée).
• Il existe aussi des certificats racines : ce sont les « cartes mères » stockées dans les appareils. Si l’un de ces certificats racines expire ou n’est plus reconnu, tous les certificats qui en dépendent peuvent être refusés.

Nos passerelles (GTW) embarquent une liste de certificats racines.

Si l’un de ces certificats racines expire, ils pourraient ne plus faire confiance aux certificats valides de Let’s Encrypt.

Une chaîne de confiance

Un certificat, c’est comme une chaîne de confiance. Tout en bas, tu as le certificat du site web ou de la passerelle. Au-dessus, il y a un certificat intermédiaire : Il garantit que le certificat du site est bien valide. Tout en haut, il y a un certificat racine (le “maître”), qui est directement reconnu par ton ordinateur ou ta passerelle comme digne de confiance. On appelle ça la chaîne de certificats : Site → Intermédiaire → Racine.