Il existe deux types de certificats de sécurité qui peuvent être installés sur votre ordinateur: root et client. Un certificat client est parfaitement sûr à utiliser et à installer, ils sont simplement utilisés pour prouver votre identité à un autre appareil. Cependant, un certificat racine a beaucoup plus de puissance et vous devez toujours faire attention si on vous demande d'en installer un.
Un certificat racine est un certificat auquel votre appareil fait confiance pour signer d'autres certificats. Ces certificats secondaires peuvent avoir de nombreuses utilisations différentes, notamment faire confiance à un site Web ou à un logiciel de confiance. C'est de cette chaîne de confiance que vient le risque de sécurité.
A quoi sert un certificat ?
La sécurité sur Internet repose sur un réseau de confiance. Il existe de nombreux certificats racine installés sur votre ordinateur, combinés, ils créent une grande infrastructure de certificats permettant un marché quelque peu concurrentiel. Lorsque vous vous connectez à un site Web via HTTPS, votre connexion est cryptée via un chiffrement de cryptage, cependant, le serveur Web envoie également à votre ordinateur un certificat HTTPS. Votre ordinateur examine le certificat et détermine s'il peut être approuvé en vérifiant s'il a été émis par un certificat racine auquel votre ordinateur fait confiance.
Si le HTTPS est approuvé, votre ordinateur se connecte avec succès au serveur Web. Cependant, si le certificat n'est pas approuvé, votre ordinateur affichera un avertissement « certificat non approuvé ». Ceci est conçu pour vous éviter d'être trompé en vous connectant à des sites auxquels vous ne vouliez pas. Par exemple, seul le propriétaire de Technipages peut obtenir un certificat signé par un certificat racine de confiance pour le site Web de Technipages. Bien qu'il soit possible de créer votre propre certificat pour le site Web de Technipages, personne ne lui ferait confiance et tout le monde verrait donc un message d'avertissement.
Les certificats utilisés pour signer le logiciel sont utilisés pour vérifier que le logiciel provient légitimement d'une entreprise de confiance, telle que Microsoft. Cela devrait vous donner la confiance nécessaire pour autoriser l'accès au logiciel dont il a besoin. Inversement, l'absence de cette signature de confiance devrait être un signe d'avertissement indiquant que le logiciel peut ne pas être légitime ou digne de confiance.
Risques liés à l'ajout d'un certificat
Une chaîne de confiance provenant d'un seul des certificats racine de confiance est requise pour qu'un certificat HTTPS, une signature logicielle ou toute autre forme de validation du certificat racine fonctionne. C'est pourquoi l'ajout d'un certificat racine est risqué et ne doit pas être fait à la légère. Si vous faites confiance à la mauvaise personne et que le certificat racine est utilisé à mauvais escient, il peut être utilisé pour vous inciter à faire confiance à des sites Web, des logiciels et plus encore, ce que vous ne devriez pas et ne feriez normalement pas. Cela pourrait faciliter considérablement le piratage de votre ordinateur par les pirates.
Vous ne devriez presque jamais avoir besoin d'installer un certificat racine à quelque fin que ce soit. Si on vous demande d'en installer un, vous devriez prendre le temps de comprendre pourquoi il est nécessaire et à quoi il servira. Si vous n'êtes pas sûr, ce peut être une bonne idée de demander un deuxième avis à quelqu'un en qui vous avez confiance et qui est doué avec les ordinateurs. Un autre endroit où vous pourriez demander est le forum de sécurité sur l'échange de piles.