Qu’est-ce qu’un certificat numérique ?

Q: Quelle différence entre certificat avancé et qualifié ?

Le certificat qualifié est délivré par un prestataire qualifié (QTSP) et permet la QES avec équivalence manuscrite sous eIDAS. Un certificat avancé sert à l'AES et offre une forte valeur probante sans équivalence automatique.

Q: Comment vérifier un certificat lors d'une signature PDF ?

Vérifiez la chaîne jusqu'à la racine, la validité temporelle, le statut CRL/OCSP, les usages de clés et l'horodatage. Les lecteurs PDF/PKI automatisent ces contrôles.

Q: Où stocker la clé privée associée au certificat ?

Dans un HSM ou un dispositif sécurisé (token/carte) avec MFA, rotation des clés et journalisation des accès.

Définition, structure X.509, rôle dans les signatures (SES/AES/QES), chaîne de confiance, vérification CRL/OCSP et bonnes pratiques de gestion.

Mis à jour : 11.11.2025 Temps de lecture : ~8 min

Définition courte

Un certificat numérique est un document électronique qui relie une clé publique à une identité (personne, organisation, service). Signé par une autorité de certification (AC), il permet de vérifier l’authenticité d’un signataire et de contrôler l’intégrité des données échangées ou signées.

Structure X.509 & contenus

Sujet (Subject) : identité du titulaire (nom, organisation, UID).
Clé publique associée au titulaire.
Émetteur (Issuer) : AC qui a délivré le certificat.
Période de validité : Not Before / Not After.
Extensions : usages de clés (Key Usage, Extended Key Usage), contraintes, politiques.
Signature de l’AC : scelle le certificat et le rend vérifiable.
Points de distribution : URLs CRL/OCSP pour vérifier la révocation.

Le format X.509 est standard pour les certificats utilisés dans la signature numérique et TLS.

PKI & chaîne de confiance

Les certificats s’inscrivent dans une infrastructure à clés publiques (PKI) composée de :

Racine (Root CA) : autorité racine, hautement protégée.
AC intermédiaires : délèguent l’émission/gestion opérationnelle.
Certificats finaux (utilisateurs/services) : signent, chiffrent, authentifient.

La chaîne de confiance est vérifiée en remontant du certificat du signataire vers l’AC racine, afin de s’assurer que chaque maillon est valide et non révoqué.

Validation (CRL/OCSP) & horodatage

CRL (Certificate Revocation List) : liste des certificats révoqués publiée par l’AC.
OCSP (Online Certificate Status Protocol) : vérification en ligne du statut d’un certificat.
Horodatage : scelle la date/heure d’une signature, utile si le certificat expire ou est révoqué après coup.

Une vérification complète constate : chaîne valide, non-révocation (CRL/OCSP), période de validité et conformité des usages (Key Usage/EKU).

Rôle des certificats dans les e-signatures

SES : parfois sans certificat, ou certificats serveur pour le transport ; valeur probante limitée.
AES : certificat avancé (personnel/organisationnel) liant la clé publique à l’identité du signataire, détection de modification.
QES : certificat qualifié délivré par un prestataire qualifié (QTSP), équivalence manuscrite sous eIDAS et reconnaissance en Suisse (ZertES).

Dans une signature cloud, la clé privée peut être protégée par un HSM et activée via MFA.

Gestion du cycle de vie (CLM des certificats)

Émission : demande (CSR), vérification d’identité (eID/KYC), génération de clés.
Déploiement : stockage sécurisé (carte, token, HSM, module logiciel durci).
Utilisation : signatures, sceaux, authentification ; piste d’audit et horodatage.
Rotation/renouvellement : avant expiration, avec continuité de preuve.
Révocation : en cas de compromission, changement d’état civil, départ d’un collaborateur.
Archivage : conservation des certificats et preuves selon la signature policy et la réglementation.

Bonnes pratiques : séparation des rôles, Zero Trust, inventaire des certificats, alertes d’expiration, tests de vérification réguliers.

Erreurs courantes à éviter

Utiliser un certificat pour un usage non autorisé (mauvais EKU/Key Usage).
Oublier la vérification de révocation (CRL/OCSP) au moment de la validation.
Partager ou mal protéger la clé privée (absence de HSM / MFA).
Laisser expirer un certificat sans renouvellement anticipé.
Négliger la piste d’audit et les horodatages pour la preuve.

Pages associées

Retour au glossaire (A-Z)
Signature électronique – Définition · Signature numérique
SES · AES · QES
eIDAS · ZertES
Hachage · Chiffrement · HSM
Piste d’audit · Authentification · MFA
Signature cloud

FAQ – Certificat numérique

Quelle différence entre certificat avancé et qualifié ?

Le certificat qualifié est délivré par un prestataire qualifié (QTSP) et utilisé pour la QES, équivalente à la signature manuscrite sous eIDAS. Un certificat avancé sert à l’AES avec forte valeur probante, sans équivalence automatique.

Comment vérifier un certificat lors d’une signature PDF ?

Contrôlez la chaîne (jusqu’à la racine), la validité temporelle, le statut CRL/OCSP, les usages de clés et l’horodatage. Les lecteurs PDF/PKI réalisent ces vérifications automatiquement.

Où stocker la clé privée associée au certificat ?

Idéalement dans un HSM ou un dispositif sécurisé (token/carte) avec MFA, rotation périodique et journalisation des accès.

Signer en toute sécurité avec des certificats fiables

Testez SignnTrack – gestion des certificats, signatures AES/QES, horodatage et audit-trail conformes eIDAS/ZertES.

Essayer gratuitement

À retenir : le certificat numérique est la carte d’identité cryptographique d’un signataire. Bien géré (PKI, CRL/OCSP, HSM, horodatage), il garantit l’authenticité et l’intégrité de vos signatures et documents.