Skip to content

Qu'est-ce qu'une PKI, et expliquez-moi comment un client valide le certificat d'un serveur.

Réponse courte

Une PKI est le système de CA, de certificats et de politiques qui lie les clés publiques aux identités. Pour valider un certificat de serveur, un client construit une chaîne jusqu'à une racine de confiance, vérifie chaque signature, contrôle les dates de validité et le nom d'hôte, confirme l'usage de la clé, et vérifie la révocation via CRL ou OCSP.

Une infrastructure à clés publiques (PKI) est le cadre de confiance qui vous permet de croire qu'une clé publique appartient réellement à celui qui le prétend. Sans elle, la cryptographie à clé publique est inutile face à un attaquant actif qui peut simplement vous remettre sa propre clé.

Les composants

  • Les autorités de certification (CA) se portent garantes des identités en signant des certificats. Les CA racines sont au sommet ; leurs certificats sont préinstallés dans les systèmes d'exploitation et les navigateurs en tant qu'ancres de confiance.
  • Les CA intermédiaires sont signées par les racines et assurent l'émission au quotidien, afin que la clé privée de la racine puisse rester hors ligne.
  • Les certificats X.509 lient une clé publique à un sujet (comme un nom de domaine) plus des métadonnées : dates de validité, usage de la clé et signature de l'émetteur.
  • Les services de révocation (CRL et OCSP) permettent à une CA de déclarer « ce certificat n'est plus valide » avant son expiration.

Comment la validation fonctionne réellement

Lorsqu'un client reçoit un certificat de serveur, il :

  1. Construit la chaîne depuis le certificat du serveur en remontant par les éventuels intermédiaires jusqu'à une racine à laquelle il fait déjà confiance.
  2. Vérifie chaque signature de la chaîne — chaque certificat doit être correctement signé par celui qui le précède.
  3. Contrôle les dates de validité — pas avant, pas après.
  4. Fait correspondre le nom d'hôte avec les Subject Alternative Names du certificat. Un certificat valide pour le mauvais domaine reste un échec.
  5. Confirme l'usage de la clé et les contraintes — par exemple, le certificat est autorisé à servir à l'authentification de serveur.
  6. Vérifie la révocation via CRL ou OCSP (souvent l'agrafage OCSP, où le serveur présente un état signé récent).

Si chaque étape réussit, le client fait confiance à la clé et poursuit.

Ce que les recruteurs recherchent

Beaucoup de candidats s'arrêtent à « il vérifie la CA ». La bonne réponse nomme la chaîne de confiance jusqu'à une ancre racine, la vérification de signature à chaque maillon, et les contrôles facilement oubliés : la correspondance du nom d'hôte et la révocation.

Questions de suivi probables

  • Quelle est la différence entre une CA racine et une CA intermédiaire ?
  • En quoi l'agrafage OCSP (OCSP stapling) améliore-t-il l'OCSP classique ?
  • Que se passe-t-il si un certificat est auto-signé ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.