Tous les articles SSL SSL et certificats

Qu'est-ce qu'une Autorite de Certification (CA) ?

Une Autorite de Certification (CA) est une organisation de confiance qui emet et signe des certificats SSL/TLS. Lorsqu’une CA signe votre certificat, les navigateurs font confiance au fait que votre site web est bien celui qu’il pretend etre. Sans les CAs, il n’y aurait aucun moyen de verifier que https://votrebanque.com est reellement votre banque et non un imposteur.

Comment fonctionne le modele de confiance des CAs

  1. Les CAs racines sont pre-installees dans les navigateurs et les systemes d’exploitation. Apple, Google, Mozilla et Microsoft maintiennent chacun une liste de CAs racines de confiance (le « root store »).
  2. Lorsque vous demandez un certificat, la CA valide votre propriete du domaine (DV) ou votre identite organisationnelle (OV/EV).
  3. La CA signe votre certificat avec sa cle privee. Cette signature est la preuve de confiance.
  4. Lorsque les visiteurs se connectent, leur navigateur verifie la signature par rapport a sa liste pre-installee de CAs de confiance.

Si la CA est dans le trust store et la signature est valide → icone de cadenas. Sinon → avertissement de securite.

Principales Autorites de Certification

CAPart de marcheOption gratuiteNotes
Let’s Encrypt63,9 %✅ Tout gratuitA but non lucratif, plus grande CA au monde
GlobalSign22,2 %Commercial, populaire en Europe
Sectigo5,9 %Limite (niveau gratuit ZeroSSL)Anciennement Comodo, possede ZeroSSL
DigiCert~3 %Oriente entreprise, possede la CA de Symantec
Google Trust ServicesEn croissance✅ Via ACMEPropre CA de Google
Buypass<1 %✅ Go SSL (180 jours)CA norvegienne

La part de marche de 63,9 % de Let’s Encrypt en fait la CA dominante — plus que les cinq suivantes reunies.

Pourquoi Let’s Encrypt a tout change

Avant Let’s Encrypt (lance en 2016) :

  • Les certificats SSL coutaient 50-500 $/an
  • La validation necessitait des documents manuels
  • Seulement ~18 % des sites web utilisaient HTTPS

Apres Let’s Encrypt :

  • Certificats DV gratuits pour tous
  • Entierement automatise via le protocole ACME
  • 86,9 % des sites web utilisent HTTPS
  • Plus d’1 milliard de certificats emis

Let’s Encrypt a prouve que le chiffrement par validation de domaine devrait etre un standard, pas un produit premium. Utilisez GetHTTPS pour obtenir un certificat Let’s Encrypt dans votre navigateur.

Le CA/Browser Forum

Le CA/Browser Forum (CA/B Forum) est l’organisme industriel ou les Autorites de Certification et les editeurs de navigateurs definissent conjointement les normes d’emission de certificats. Les decisions cles comprennent :

  • Baseline Requirements — normes minimales que toutes les CAs publiques doivent respecter
  • Reduction de la validite des certificats — vote pour reduire la validite maximale a 47 jours d’ici 2029
  • Certificate Transparency — oblige les CAs a enregistrer tous les certificats emis dans des journaux publics
  • Depreciation des algorithmes faibles — abandon progressif de SHA-1, MD5, etc.

Les membres incluent Apple, Google, Mozilla, Microsoft (cote navigateur) et Let’s Encrypt, DigiCert, Sectigo, GlobalSign (cote CA). Les decisions necessitent un vote a majorite qualifiee des deux cotes.

Certificate Transparency

Depuis 2018, toutes les CAs de confiance publique doivent soumettre chaque certificat emis aux journaux Certificate Transparency (CT) — des journaux publiquement verifiables en ajout seul. Cela signifie :

  • N’importe qui peut surveiller quels certificats sont emis pour son domaine
  • Les certificats mal emis sont detectables (si une CA emet un certificat pour google.com a quelqu’un qui ne le controle pas, Google peut le voir dans les journaux)
  • Des outils comme crt.sh permettent de rechercher dans les journaux CT pour n’importe quel domaine

CT n’empeche pas les emissions erronees, mais les rend detectables — ce qui constitue un puissant moyen de dissuasion.

Comment choisir une CA

Pour la plupart des sites web, le choix est simple :

BesoinCA recommandeeComment l’obtenir
Certificat DV gratuitLet’s EncryptGetHTTPS ou Certbot
DV gratuit avec validite plus longueBuypass Go (180 jours)acme.sh ou Certbot
OV/EV pour la conformiteDigiCert ou SectigoAcheter sur leur site web
Automatique avec CloudflareCloudflareActiver dans le tableau de bord Cloudflare

Comparer tous les fournisseurs gratuits →

Questions frequemment posees

N’importe qui peut-il devenir une CA ?

Techniquement, vous pouvez creer votre propre CA, mais les navigateurs ne lui feront pas confiance a moins qu’elle ne satisfasse les Baseline Requirements du CA/Browser Forum et soit ajoutee aux trust stores des navigateurs — un processus qui prend des annees, coute des millions en audits et necessite le maintien d’une securite operationnelle stricte (cles racines hors ligne, modules de securite materiels, reponse aux incidents 24h/24).

Que se passe-t-il si une CA est compromise ?

La CA est retiree des trust stores des navigateurs via des mises a jour logicielles. Tous les certificats emis par cette CA deviennent non fiables. Incidents notables :

  • DigiNotar (2011) — pirate, a emis des certificats frauduleux pour Google et d’autres domaines. La CA a ete revoquee et a fait faillite.
  • Symantec (2018) — problemes persistants d’emission erronee. Google Chrome a progressivement retire la confiance de tous les certificats emis par Symantec. DigiCert a acquis l’activite CA de Symantec.

Les cles racines sont stockees dans des modules de securite materiels (HSM) hors ligne avec des controles d’acces physiques pour minimiser ce risque.

Tous les certificats de CA sont-ils egalement reconnus par les navigateurs ?

Oui, en ce qui concerne l’icone de cadenas. Un certificat DV gratuit de Let’s Encrypt et un certificat EV DigiCert a 500 $ affichent tous deux le meme cadenas dans la barre d’adresse. Les navigateurs font egalement confiance a toutes les CAs de leur root store pour les besoins de chiffrement. Les differences resident dans le niveau de validation (DV/OV/EV) et les services (support, garantie), pas dans la force du chiffrement ou la confiance du navigateur.

Combien de CAs existe-t-il ?

Il y a environ 100 a 150 CAs racines dans les principaux trust stores, mais le marche est fortement concentre. Let’s Encrypt (63,9 %), GlobalSign (22,2 %) et Sectigo (5,9 %) controlent plus de 90 % de tous les certificats emis.

Articles connexes

SSL et certificats 2026-05-07
La chaine de confiance des certificats expliquee
Comment les navigateurs verifient les certificats SSL a travers une chaine allant de la CA racine a la CA intermediaire jusqu'a votre certificat. Decouvrez pourquoi l'ordre de la chaine est important et comment corriger les erreurs 'certificat non approuve'.
SSL et certificats 2026-05-08
Qu'est-ce que le HTTPS ? Guide complet
HTTPS chiffre la connexion entre votre navigateur et un site web. Decouvrez comment HTTPS fonctionne, le handshake TLS, les differences entre HTTP et HTTPS, l'impact sur les performances et comment l'activer gratuitement.
Comparer 2026-05-08
Les meilleurs fournisseurs de certificats SSL gratuits en 2026 (comparaison)
Comparez 9 fournisseurs de certificats SSL gratuits sur la confidentialite, les limites, le support wildcard et l'automatisation. Inclut des CA autonomes, des hebergeurs et des CDN -- avec une analyse de confidentialite qu'aucune autre comparaison ne couvre.
Obtenez un certificat SSL gratuit dans votre navigateur
Aucune installation, aucun compte. Votre clé privée ne quitte jamais votre appareil.
Obtenir un certificat