Réseau
10 min de lecture
Certificats X.509 : comment TLS/SSL fonctionne vraiment
Un certificat X.509 lie une clé publique à une identité. Derrière le cadenas du navigateur se trouve une chaîne de confiance complète qui rend TLS possible.
Champs importants
Subject, issuer, validité, clé publique, algorithme de signature et SAN sont les champs qui influencent le plus le déploiement réel. SAN est particulièrement critique aujourd'hui.
Chaîne de confiance
Le navigateur ne valide pas seulement le certificat final. Il vérifie aussi les intermédiaires jusqu'à une racine de confiance. Une chaîne incomplète peut casser les clients mobiles ou les outils CLI.
CSR et opérations
Pour émettre un certificat, vous générez d'abord la clé privée puis le CSR. La clé privée ne doit jamais quitter l'environnement que vous contrôlez.
Problèmes courants
- Certificats expirés
- Chaînes incomplètes
- Noms d'hôte qui ne correspondent pas
- Racines non approuvées