Si vous avez pris des mesures pour protéger votre présence sur le Web, vous avez probablement rencontré deux méthodes d'authentification par certificat, les certificats SSL/TLS et les certificats de signature de code. L'autorité qui délivre ces deux certificats peut être la même, mais leurs objectifs diffèrent et ils sécurisent en fait deux choses différentes.
En termes simples, les certificats de signature de code protègent les produits logiciels avec lesquels les utilisateurs travaillent, tandis que les certificats SSL protègent les transmissions de communication à travers une connexion Internet. Étant donné les différences de fonctionnalité et entre les autorités de certification (CA), il est recommandé de comprendre les principales différences, voire d'utiliser les deux. À cette fin, examinons de plus près la signature de code et les certificats SSL afin que vous puissiez déterminer ce qui convient le mieux à vos besoins.
Existe-t-il des similitudes ?
Avant de nous pencher sur les différences entre la signature de code et les certificats SSL, passons en revue les similitudes qu'ils partagent. Avant tout, les deux certificats utilisent des clés publiques et privées pour crypter un chemin de communication ou une solution logicielle. Ces processus obtiennent leur clé publique d'une autorité de certification racine qui, après avoir validé l'authenticité de la partie demandant un certificat numérique, attribue la clé audit certificat.
Ce demandeur est généralement un développeur lorsqu'il s'agit de signature de code et un site web lorsqu'il s'agit de SSL/TLS. L'objectif de cette demande de certificat reste toutefois le même : valider l'authenticité d'un site Web ou d'un développeur de logiciels particulier peut empêcher des visiteurs/utilisateurs peu méfiants d'être dupés par des acteurs malveillants distribuant des logiciels malveillants.
Quelles sont les principales différences ?
Il est maintenant temps de décortiquer les principales différences entre les deux types de certificats.
Les processus de vérification peuvent varier
Les AC doivent vérifier les parties qui demandent l'approbation de certificats, et elles disposent de plusieurs moyens de vérification différents. En ce qui concerne les certificats de signature de code, les AC ont généralement besoin des détails de votre entreprise, ainsi que de votre adresse et de vos coordonnées, afin de pouvoir l'enregistrer. Parfois, les développeurs qui demandent un certificat de signature de code choisiront de se soumettre à un processus de vérification encore plus strict afin de garantir aux utilisateurs finaux que l'identité de l'éditeur a été vérifiée.
En ce qui concerne les certificats SSL/TLS, plusieurs options sont disponibles. Les certificats Extended Validation (EV) sont soumis au processus de vérification le plus rigoureux et offrent les niveaux de protection les plus élevés. Avec les certificats Domain Validated (DV), en revanche, l'autorité de certification vérifie simplement le droit du demandeur à utiliser un nom de domaine spécifique. Le processus est très rapide, le certificat étant délivré presque immédiatement et sans qu'il soit nécessaire de soumettre des documents d'entreprise. Vous pouvez en savoir plus sur les différents types de certificats SSL disponibles dans le centre d'information SSL.
Processus d'installation
L'autorité de certification est prête à émettre un certificat une fois le processus de vérification terminé. Les développeurs, une fois qu'ils ont reçu leur certificat de signature de code, peuvent utiliser leur nouveau certificat numérique pour protéger leurs produits logiciels ainsi que les lignes de code importantes.
Les utilisateurs qui interagissent avec le logiciel d'un développeur reçoivent une invite faisant référence à un certificat de signature de code lorsqu'ils installent le logiciel sur leur machine. S'il n'y a pas de certificat, ou si la signature numérique semble avoir été altérée, les utilisateurs reçoivent un avertissement de sécurité, leur indiquant que le logiciel n'est pas fiable.
Pour les certificats SSL, un cadenas s'affiche dans la barre d'adresse d'un site sécurisé et parfois en bas de la page. Les utilisateurs peuvent cliquer sur le cadenas pour vérifier l'identité valide de l'autorité de certification ainsi que l'identité du propriétaire du site web. En général, il est toujours bon de communiquer sur la sécurité avec vos clients, et les utilisateurs avertis s'attendront à voir le cadenas SSL. De nombreux services d'hébergement Web proposent gratuitement le cryptage SSL.
Stockage des certificats et des clés
L'emplacement que vous choisissez pour stocker vos certificats SSL et de signature de code - ainsi que les clés de cryptage - est essentiel pour garantir que vos données sont entièrement sécurisées et à l'abri des pirates et autres intrus. La gestion des certificats devient particulièrement difficile lorsque plusieurs types de certificats sont utilisés - et la plupart des entreprises ont besoin d'une variété de certificats, notamment SSL/TLS, signature de code et signature numérique pour commencer. Assurez-vous de bien comprendre les meilleures pratiques en matière de gestion et de stockage sécurisés des clés.
Conclusion
SSL and code signing certificates both rely on public and private keys to encrypt communication paths and ensure data integrity. If you are doing any kind of business online – especially if you are a website owner that is distributing your own software – it’s critical that you understand the use cases for both, as well as the proper methods for storage and management.
Note: This blog article was written by a guest contributor for the purpose of offering a wider variety of content for our readers. The opinions expressed in this guest author article are solely those of the contributor and do not necessarily reflect those of GlobalSign.
