PKI : l'infrastructure à clé publique expliquée
La PKI est le socle cryptographique de toute signature électronique fiable. Découvrez son fonctionnement, ses composants et son lien avec les certificats X.509 et le règlement eIDAS.
9 min
X.509 · PKI · Certificat qualifié eIDAS
Certificat de signature numérique et autorité de certification
Derrière toute signature numérique fiable se cache un certificat électronique : un fichier qui lie de manière vérifiable une identité (une personne, une entreprise) à une clé publique. C'est ce certificat, délivré par une autorité de certification (AC) de confiance, qui permet à n'importe qui de vérifier l'authenticité d'une signature et de détecter la moindre modification du document. Ce guide explique ce qu'est un certificat de signature numérique, comment fonctionne la chaîne de confiance (PKI, autorité de certification, certificat racine), ce qui distingue un certificat qualifié eIDAS d'un certificat ordinaire, et comment une signature reste vérifiable même après révocation ou expiration du certificat.
Qu'est-ce qu'un certificat de signature numérique ?
Un certificat de signature numérique (ou certificat électronique) est un fichier délivré par une autorité de certification qui associe une clé publique à l'identité de son titulaire. Concrètement, lorsqu'un signataire appose sa signature, le document est scellé avec sa clé privée ; quiconque dispose du certificat correspondant peut alors, à l'aide de la clé publique qu'il contient, vérifier deux choses : que la signature provient bien du titulaire identifié, et que le document n'a pas été modifié depuis la signature.
Un certificat respecte le standard X.509 et contient l'identité du titulaire, sa clé publique, l'identité de l'autorité de certification émettrice, une période de validité, et la signature de l'AC qui garantit le tout. Sa fiabilité ne repose pas sur le certificat seul, mais sur la chaîne de confiance qui remonte jusqu'à une autorité racine reconnue. C'est cette chaîne — la PKI (Public Key Infrastructure, ou IGC en français) — qui transforme un simple fichier en preuve d'identité opposable.
Les cinq notions clés de la confiance numérique
Un certificat ne fonctionne jamais seul : il s'inscrit dans une infrastructure dont voici les composants essentiels.
Le certificat X.509
X.509 est le format standard d'un certificat électronique. Il décrit la structure du fichier : numéro de série, identité du titulaire (sujet), clé publique, identité de l'émetteur, dates de validité, usages autorisés, et signature de l'AC. C'est le format universel utilisé pour la signature, le chiffrement et les certificats TLS des sites web.
L'autorité de certification (AC)
Une autorité de certification (AC, ou CA — Certificate Authority) est un organisme de confiance qui émet les certificats et se porte garant de l'identité de leurs titulaires après vérification. Les AC qualifiées sont supervisées par des autorités nationales (l'ANSSI en France) et figurent sur la liste de confiance de l'UE. Une AC peut être racine, intermédiaire ou émettrice.
La PKI (infrastructure à clés publiques)
La PKI (Public Key Infrastructure, ou IGC — Infrastructure de Gestion de Clés) est l'ensemble des matériels, logiciels, procédures et autorités qui gèrent le cycle de vie des certificats : émission, renouvellement, révocation, publication. C'est elle qui organise la chaîne de confiance, de l'autorité racine jusqu'au certificat de l'utilisateur final.
Le certificat qualifié eIDAS
Un certificat qualifié est délivré par un prestataire de services de confiance qualifié (QTSP) inscrit sur la liste de confiance d'un État membre de l'UE. Il offre le plus haut niveau d'assurance reconnu en Europe et constitue la condition pour émettre une signature qualifiée (QES), seule signature électronique légalement équivalente à une signature manuscrite de plein droit.
La révocation (CRL & OCSP)
Un certificat peut être révoqué avant son expiration (clé compromise, départ d'un salarié, erreur d'émission). Deux mécanismes permettent de vérifier qu'un certificat est toujours valide : la CRL (liste des certificats révoqués publiée par l'AC) et le protocole OCSP (interrogation en temps réel du statut d'un certificat).
Comment la chaîne de confiance est supervisée
Un certificat ne vaut que par la confiance accordée à l'autorité qui l'a émis. Quatre piliers garantissent cette confiance en Europe.
La chaîne de certification
Chaque certificat est signé par une AC émettrice, elle-même certifiée par une AC intermédiaire, jusqu'à une AC racine dont le certificat est auto-signé et reconnu par les systèmes d'exploitation et navigateurs. Vérifier une signature consiste à remonter cette chaîne jusqu'à une racine de confiance.
La Trusted List eIDAS de l'UE
Chaque État membre publie une liste de confiance (Trusted List) recensant ses prestataires qualifiés et les services qu'ils fournissent. La Commission européenne agrège ces listes. Un certificat émis par un QTSP figurant sur cette liste est reconnu de plein droit dans toute l'Union européenne.
L'ANSSI et le RGS (France)
En France, l'ANSSI supervise les prestataires qualifiés et publie le Référentiel Général de Sécurité (RGS), qui définit les exigences applicables aux certificats utilisés dans les échanges avec l'administration. Elle délivre des qualifications attestant la conformité d'une AC à ces référentiels.
Les normes ETSI EN 319 411
Les normes européennes ETSI EN 319 411 définissent les politiques et exigences de sécurité que doit respecter une autorité de certification pour émettre des certificats reconnus, qualifiés ou non. C'est au regard de ces normes qu'un organisme accrédité audite un QTSP avant son inscription sur la Trusted List.
Certificat simple, avancé ou qualifié : quelles différences ?
Le niveau du certificat détermine le niveau de signature atteignable et sa valeur juridique. Voici les six dimensions qui les distinguent.
| Dimension | Certificat simple | Certificat avancé | Certificat qualifié |
|---|---|---|---|
| Émetteur | Toute AC, sans supervision particulière. | AC respectant des exigences de sécurité renforcées (ETSI). | Prestataire qualifié (QTSP) inscrit sur la Trusted List eIDAS. |
| Vérification d'identité | Faible — souvent une simple validation d'adresse e-mail. | Vérification d'identité renforcée du titulaire. | Vérification en présentiel ou équivalent (vidéo-identification certifiée). |
| Niveau de signature permis | Signature simple (SES). | Signature avancée (AES). | Signature qualifiée (QES). |
| Valeur juridique | Recevable, mais charge de la preuve à l'émetteur. | Forte présomption de fiabilité. | Équivalence de plein droit avec la signature manuscrite. |
| Reconnaissance UE | Aucune reconnaissance harmonisée. | Reconnu, sous conditions. | Reconnu de plein droit dans toute l'Union européenne. |
| Usage typique | Validation interne, accusés de réception. | Contrats commerciaux, RH, devis. | Actes notariés, marchés publics, actes d'avocat. |
Questions fréquentes — certificat de signature numérique
- Quelle est la différence entre un certificat électronique et une signature numérique ?
- La signature numérique est le résultat d'une opération cryptographique appliquée à un document ; le certificat électronique est le fichier qui prouve à qui appartient la clé ayant servi à signer. Sans certificat, une signature numérique n'est qu'une suite d'octets invérifiable : c'est le certificat, délivré par une autorité de certification, qui lie cette signature à une identité réelle et permet de la vérifier.
- Qu'est-ce qu'une autorité de certification ?
- Une autorité de certification (AC, ou CA en anglais) est un tiers de confiance qui vérifie l'identité d'un demandeur, lui délivre un certificat électronique liant son identité à sa clé publique, et publie les informations permettant de vérifier et de révoquer ce certificat. Les AC qualifiées sont supervisées par des autorités nationales (l'ANSSI en France) et inscrites sur la liste de confiance de l'Union européenne.
- Qu'est-ce qu'un certificat qualifié ?
- Un certificat qualifié est un certificat électronique délivré par un prestataire de services de confiance qualifié (QTSP) inscrit sur la liste de confiance d'un État membre de l'UE. C'est le niveau d'assurance le plus élevé reconnu en Europe et la condition pour émettre une signature qualifiée (QES), seule signature électronique automatiquement équivalente à une signature manuscrite au sens du règlement eIDAS.
- Qu'est-ce que la PKI ?
- La PKI (Public Key Infrastructure, ou IGC — Infrastructure de Gestion de Clés en français) est l'ensemble des autorités, matériels, logiciels et procédures qui gèrent le cycle de vie des certificats électroniques : émission, renouvellement, publication, révocation. Elle organise la chaîne de confiance qui relie le certificat d'un utilisateur final à une autorité racine reconnue.
- Comment vérifier qu'un certificat est toujours valide ?
- Au-delà de sa période de validité, un certificat peut avoir été révoqué (clé compromise, erreur d'émission). Deux mécanismes permettent de le vérifier : la CRL (Certificate Revocation List), une liste des certificats révoqués publiée régulièrement par l'AC, et le protocole OCSP (Online Certificate Status Protocol), qui interroge en temps réel le statut d'un certificat donné. Les signatures au format PAdES B-LT/B-LTA intègrent ces données pour rester vérifiables dans le temps.
- Faut-il acheter un certificat pour signer électroniquement ?
- Pas pour la majorité des usages. Pour une signature simple (SES) ou avancée (AES), c'est la plateforme de signature qui gère les certificats — vous n'avez rien à acheter ni à installer. Un certificat qualifié individuel n'est nécessaire que pour émettre vous-même des signatures qualifiées (QES) en autonomie ; dans le cas contraire, le certificat qualifié est fourni à la volée par le QTSP partenaire au moment de la signature, après vérification de votre identité.
- Qu'est-ce qu'un certificat X.509 ?
- X.509 est le standard international qui définit la structure d'un certificat électronique. Un certificat X.509 contient notamment : l'identité du titulaire (le « sujet »), sa clé publique, l'identité de l'autorité émettrice, un numéro de série, une période de validité, les usages autorisés de la clé, et la signature de l'AC qui scelle l'ensemble. C'est le format utilisé aussi bien pour la signature de documents que pour les certificats TLS qui sécurisent les sites web.
Pour aller plus loin
Articles recommandés
Certificat électronique et signature numérique
Qu'est-ce qu'un certificat électronique, à quoi ça sert et quel lien avec la signature numérique ?
5 min
Certification eIDAS 2 pour prestataire de signature 2026
Le règlement eIDAS 2 impose de nouvelles exigences aux prestataires de services de confiance. Découvrez le parcours de certification complet pour rester conforme en 2026.
9 min
Certificat électronique qualifié entreprise : guide 2026
Le certificat électronique qualifié est le socle juridique de toute signature numérique à haute valeur probante. Découvrez comment l'obtenir, le déployer et rester conforme en 2026.
9 min
Paiement sécurisé : standards et certifications e-commerce
Sécuriser les paiements en ligne : PCI-DSS, 3D Secure 2.0, SSL/TLS et certifications obligatoires pour les sites e-commerce en 2026.
4 min
Signez avec une chaîne de confiance reconnue eIDAS
Certyneo s'appuie sur des certificats émis par des prestataires de confiance qualifiés figurant sur la Trusted List européenne. SES et AES incluses, QES à 9,90 €/acte.