• 1 - Elle peut créer elle-même sa propre autorité de certification (CA), géré au sein de la société et qui répond à ses exigences de sécurité et de disponibilité.
  
• 2 - Elle peut sous-traiter la gestion des certificats à une autorité de certification (outsourced PKI).
  
• 3 - Elle peut encourager ses utilisateurs à obtenir des certificats personnels directement auprès de CAs (Thawte ou autres).

Les études de marché montrent que les grandes entreprises, plus particulièrement celles qui exigent un niveau de sécurité important et une nécessité d'émettre des certificats en grand nombre, préfèrent administrer leur propre autorité de certification interne.

Par exemple, l'usage des certificats peut intéresser les universités qui veulent fournir un certificat à chaque étudiant, les sociétés géographiquement éclatées (multiples filiales, agences) pour contrôler l'accès à leur extranet, etc.

La démarche habituelle de l'entreprise sera de sélectionner et d'acheter un matériel de gestion de clés cryptographiques (boîte noire) chez des revendeurs tels que BBN, Chrisalis, Atalla. Elle sélectionnera aussi un logiciel de gestion de CA (Xcert, Nortel Entrust, Baltimore  Technologies). De telles technologies permettront à l'entreprise d'émettre des certificats contenant des informations personnalisées et correspondant au niveau de sécurité recherché.

Néanmoins les logiciels standard du marché ne reconnaîtront pas automatiquement de tels certificats. Chacun des logiciels amenés à utiliser ces certificats devront être modifiés de façon à contenir la clef racine de l'autorité interne qui les a produit. Ceci signifie qu'il faudra rajouter la clef racine du CA de l'entreprise dans chaque copie de Netscape Communicator, Microsoft Outlook ou encore Outlook Express.

Dans un environnement restreint, ce problème ne se pose pas. Mais, dans une grande entreprise ou organisation (environnement hétérogène), il est probable que l'entité qui contrôle le CA interne ne pourra pas modifier tous les logiciels... Encore moins dans le cas d'un extranet avec différents clients.

Et c'est justement l'intérêt de notre offre de chaînage. Elle nous permet de certifier l'autorité interne de l'organisation, et ainsi, de lui conférer toute la confiance associée au CA de Thawte. Tous les logiciels qui font confiance aux certificats Thawte reconnaîtront immédiatement les certificats émis par les CA chaînés.

La norme X.509 intègre le mécanisme de chaînage des certificats. Quand un premier CA signe les clefs d'un second CA, les certificats générés par ce dernier héritent de la confiance apportée par les deux CA. Tous les logiciels qui supportent les certificats personnels supportent ce mécanisme de chaînage.

Le service de chaînage de CA signifie simplement que Thawte accepte désormais de certifier les clefs racines des autorités internes, conférant à ces dernières la confiance inhérente aux clefs racine Thawte. Ceci signifie que ces certificats émis par ces chaînons de CA seront aussi fiables que ceux émis par Thawte, la seule différence vient du fait qu'il est émis par le CA de l'entreprise elle-même.

Naturellement, Thawte ne peut pas offrir ce service sans prendre des mesures de sécurité.

Gestion des clés

Ce service n'est disponible que pour les entreprises stables et bien établies ayant un nombre d'employés important, et qui utilisent du matériel d'administration de clef et des logiciels d'administration approuvés tout en maintenant une sécurité physique efficace.
Il est nécessaire qu'un employé de Thawte ou assimilé inspecte le mécanisme de génération des clés et des installations utilisés. Les procédures d'accès aux infrastructures seront également expertisées.

Contraintes d'utilisation

Les CA chaînés seront contractuellement et technologiquement limités de façon à ne pouvoir générer des certificats que dans un domaine précis. L'organisme fera l'objet de sanctions contractuelles si elle essaie d'utiliser le système de CA chaîné pour émettre des certificats hors de son domaine.
Exemple : si le CA chaîné de l'Université de Cape Town a été approuvé pour l'émission de certificats pour ses étudiants et employés, il ne peut pas être utilisé pour émettre des certificats pour une autre organisation.

Contraintes sur les types de certificats

Le service est destiné aux larges entreprises pour des certificats clients email ou web. Les certificats de CA seront donc contraints à n'émettre que ce type de certificats. D'autres types de certificats peuvent être chaînés (tels que les certificats serveurs) mais ceci doit être négocié au cas par cas.

Contraintes sur les volumes

Le tarif du service des chaînages de CA est basé sur le nombre d'utilisateurs (et non pas le nombre de certificats) émis par le CA interne. Dans le cadre du contrat, il sera exigé que le CA  ne soit utilisé que dans les limites autorisées et un accord sera établi afin qu'un audit de la base d'utilisateurs soit effectué annuellement.

Révision régulière

Le certificat CA de chaîné est valide pour une courte durée et renouvelé régulièrement de manière à minimiser les dommages à l'entreprise et à Thawte si une clef venait à être compromise. Ce procédé est mis en place de façon à assurer aux entreprises que l'émission de leurs certificats ont une validité d'une année

Le service de chaînage de certificats est l'une des stratégies que peut adopter une entreprise. Il est essentiel de comparer cette offre avec les autres possibilités offertes par Thawte et d'autres fournisseurs services de CA.

CA interne

Le service de CA chaîné se base sur un CA interne ce qui fait que notre offre est une extension de ce concept. Cependant, les impératifs de sécurité supplémentaires pour le chaînage de CA Thawte signifie qu'un CA chaîné peut être plus coû;teux qu'un CA interne utilisant des logiciels standards. Suivant votre sécurité interne nous pourrons vous demander la mise en place de matériel de signature de clefs (boîte noire) pour être candidat au chaînage Thawte.

CA sous-traité

Le service de chaînage de CA donne à l'entreprise un contrôle total sur CA dont il dépend, puisqu'il est une amélioration de votre propre service de CA personnalisé. Vous contrôlez donc tout ce qui concerne la disponibilité et la vérification des identités. Ceci vous donne la possibilité de créer des certificats et des services PKI qui collent à vos besoins. Par ailleurs, la majorité des services de CA sous-traités n'incluent pas la racine de chaînage; vous devez donc mettre à jour vos logiciels afin qu'il reconnaissent votre propre certificat. Le service de chaînage de CA, lui, vous assure que vos certificats sont nativement reconnus.

Considérations de tarification et de disponibilité

Le service de chaînage de CA est destiné aux entreprises qui ont besoin d'émettre des milliers de certificats. Le fait que le chaînage de CA utilise des logiciels et du matériel de haute sécurité et de grande disponibilité, fait que ce programme ne peut être utilisable que par les grandes structures. De plus, le prix de base ne couvre que la génération de certificats personnels pour l'email et le web.
Les certificats serveurs, certificats développeurs et autres forme de certificats peuvent eux aussi être chaînés mais ne sont pas inclus dans cette offre.
Ce service de chaînage de certificats est disponible depuis avril 1998.

En résumé, les contraintes pour obtenir un chainage de CA sont:

• Les équipements physiques devront passer un audit SAS-70 ou ITSec pour datacenter
• L'organisation devra adopter une CPS compatible avec celle de Thawte
• L'autorité de certification interne devra êre certifié WebTrust (de multiples contraintes en découlent, voir la norme)
• La facturation du chainage se monte entre 25000 et 100000 EUR par an en fonction du nombre d'utilisateurs

Pour plus d'information et obtenir un devis, contactez-nous.