Qu'est-ce qu'un certificat auto-signé ?
Un certificat auto-signé est un certificat numérique dans lequel le propriétaire du certificat utilise sa propre clé privée pour signer électroniquement sa clé publique correspondante. Dans la plupart des cas, ces certificats ne sont pas considérés comme fiables. Cela est dû au fait qu’un certificat auto-signé est essentiellement un certificat « auto-revendiqué », dépourvu de l’approbation d’un tiers de confiance. En raison de leur nature auto-revendiquante, les certificats auto-signés sont parfois appelés familièrement « certificats Ore-Ore » en japonais, ce qui signifie « certificats Me-Me ».
Une exception à cette règle concerne les certificats racine émis par les autorités de certification publiques (AC publiques) pour s’authentifier. Les certificats racines des autorités de certification publiques qui fonctionnent selon des directives correctement définies et respectées sont considérés comme dignes de confiance et sont préinstallés dans les navigateurs Web. Lorsqu'un navigateur communique avec un site Web, il vérifie le certificat du serveur présenté par le site, vérifie son émetteur et utilise le certificat racine stocké de l'autorité émettrice pour décrypter la signature et confirmer la légitimité du certificat.
En général, les certificats de serveur SSL doivent toujours être émis par des autorités de certification tierces. L’utilisation d’un certificat auto-signé est déconseillée car il devient impossible de le distinguer des certificats falsifiés par des tiers malveillants. La configuration d'un navigateur Web pour accepter les certificats auto-signés permet également d'accepter les certificats falsifiés, ce qui entraîne des vulnérabilités de sécurité. Dans de tels cas, même le cryptage devient inutile, permettant l’écoute clandestine et la falsification du chemin de communication.