Derrière toute signature numérique fiable se cache un certificat électronique : un fichier qui lie de manière vérifiable une identité (une personne, une entreprise) à une clé publique. C'est ce certificat, délivré par une autorité de certification (AC) de confiance, qui permet à n'importe qui de vérifier l'authenticité d'une signature et de détecter la moindre modification du document. Ce guide explique ce qu'est un certificat de signature numérique, comment fonctionne la chaîne de confiance (PKI, autorité de certification, certificat racine), ce qui distingue un certificat qualifié eIDAS d'un certificat ordinaire, et comment une signature reste vérifiable même après révocation ou expiration du certificat.
Un certificat de signature numérique (ou certificat électronique) est un fichier délivré par une autorité de certification qui associe une clé publique à l'identité de son titulaire. Concrètement, lorsqu'un signataire appose sa signature, le document est scellé avec sa clé privée ; quiconque dispose du certificat correspondant peut alors, à l'aide de la clé publique qu'il contient, vérifier deux choses : que la signature provient bien du titulaire identifié, et que le document n'a pas été modifié depuis la signature.
Un certificat respecte le standard X.509 et contient l'identité du titulaire, sa clé publique, l'identité de l'autorité de certification émettrice, une période de validité, et la signature de l'AC qui garantit le tout. Sa fiabilité ne repose pas sur le certificat seul, mais sur la chaîne de confiance qui remonte jusqu'à une autorité racine reconnue. C'est cette chaîne — la PKI (Public Key Infrastructure, ou IGC en français) — qui transforme un simple fichier en preuve d'identité opposable.
Un certificat ne fonctionne jamais seul : il s'inscrit dans une infrastructure dont voici les composants essentiels.
X.509 est le format standard d'un certificat électronique. Il décrit la structure du fichier : numéro de série, identité du titulaire (sujet), clé publique, identité de l'émetteur, dates de validité, usages autorisés, et signature de l'AC. C'est le format universel utilisé pour la signature, le chiffrement et les certificats TLS des sites web.
Une autorité de certification (AC, ou CA — Certificate Authority) est un organisme de confiance qui émet les certificats et se porte garant de l'identité de leurs titulaires après vérification. Les AC qualifiées sont supervisées par des autorités nationales (l'ANSSI en France) et figurent sur la liste de confiance de l'UE. Une AC peut être racine, intermédiaire ou émettrice.
La PKI (Public Key Infrastructure, ou IGC — Infrastructure de Gestion de Clés) est l'ensemble des matériels, logiciels, procédures et autorités qui gèrent le cycle de vie des certificats : émission, renouvellement, révocation, publication. C'est elle qui organise la chaîne de confiance, de l'autorité racine jusqu'au certificat de l'utilisateur final.
Un certificat qualifié est délivré par un prestataire de services de confiance qualifié (QTSP) inscrit sur la liste de confiance d'un État membre de l'UE. Il offre le plus haut niveau d'assurance reconnu en Europe et constitue la condition pour émettre une signature qualifiée (QES), seule signature électronique légalement équivalente à une signature manuscrite de plein droit.
Un certificat peut être révoqué avant son expiration (clé compromise, départ d'un salarié, erreur d'émission). Deux mécanismes permettent de vérifier qu'un certificat est toujours valide : la CRL (liste des certificats révoqués publiée par l'AC) et le protocole OCSP (interrogation en temps réel du statut d'un certificat).
Un certificat ne vaut que par la confiance accordée à l'autorité qui l'a émis. Quatre piliers garantissent cette confiance en Europe.
Chaque certificat est signé par une AC émettrice, elle-même certifiée par une AC intermédiaire, jusqu'à une AC racine dont le certificat est auto-signé et reconnu par les systèmes d'exploitation et navigateurs. Vérifier une signature consiste à remonter cette chaîne jusqu'à une racine de confiance.
Chaque État membre publie une liste de confiance (Trusted List) recensant ses prestataires qualifiés et les services qu'ils fournissent. La Commission européenne agrège ces listes. Un certificat émis par un QTSP figurant sur cette liste est reconnu de plein droit dans toute l'Union européenne.
En France, l'ANSSI supervise les prestataires qualifiés et publie le Référentiel Général de Sécurité (RGS), qui définit les exigences applicables aux certificats utilisés dans les échanges avec l'administration. Elle délivre des qualifications attestant la conformité d'une AC à ces référentiels.
Les normes européennes ETSI EN 319 411 définissent les politiques et exigences de sécurité que doit respecter une autorité de certification pour émettre des certificats reconnus, qualifiés ou non. C'est au regard de ces normes qu'un organisme accrédité audite un QTSP avant son inscription sur la Trusted List.
Le niveau du certificat détermine le niveau de signature atteignable et sa valeur juridique. Voici les six dimensions qui les distinguent.
| Dimension | Certificat simple | Certificat avancé | Certificat qualifié |
|---|---|---|---|
| Émetteur | Toute AC, sans supervision particulière. | AC respectant des exigences de sécurité renforcées (ETSI). | Prestataire qualifié (QTSP) inscrit sur la Trusted List eIDAS. |
| Vérification d'identité | Faible — souvent une simple validation d'adresse e-mail. | Vérification d'identité renforcée du titulaire. | Vérification en présentiel ou équivalent (vidéo-identification certifiée). |
| Niveau de signature permis | Signature simple (SES). | Signature avancée (AES). | Signature qualifiée (QES). |
| Valeur juridique | Recevable, mais charge de la preuve à l'émetteur. | Forte présomption de fiabilité. | Équivalence de plein droit avec la signature manuscrite. |
| Reconnaissance UE | Aucune reconnaissance harmonisée. | Reconnu, sous conditions. | Reconnu de plein droit dans toute l'Union européenne. |
| Usage typique | Validation interne, accusés de réception. | Contrats commerciaux, RH, devis. | Actes notariés, marchés publics, actes d'avocat. |
Die PKI ist die kryptographische Grundlage jeder zuverlässigen elektronischen Signatur. Entdecken Sie deren Funktionsweise, ihre Komponenten und ihre Verbindung mit X.509-Zertifikaten und der eIDAS-Verordnung.
Die Verordnung eIDAS 2 stellt neue Anforderungen an Anbieter von Vertrauensdiensten. Entdecken Sie den vollständigen Zertifizierungspfad, um 2026 konform zu bleiben.
Das qualifizierte elektronische Zertifikat ist die Rechtsgrundlage für jede digitale Signatur mit hohem Beweiswert. Entdecken Sie, wie Sie es beschaffen, einführen und 2026 konform bleiben.
Was ist ein elektronisches Zertifikat, wozu dient es und in welchem Zusammenhang steht es mit der digitalen Signatur?
Certyneo s'appuie sur des certificats émis par des prestataires de confiance qualifiés figurant sur la Trusted List européenne. SES et AES incluses, QES à 9,90 €/acte.
Wir verwenden Cookies um Ihr Erlebnis auf unserer Website zu verbessern. Cookies, die für die Funktionalität des Dienstes unbedingt erforderlich sind, sind immer aktiv. Weitere Informationen