T
ssl tls x509 certificates pki security

Guide SSL/TLS et certificats : X.509, PEM et chaînes de certificats

Démystifier l'infrastructure de sécurité du web. Découvrez SSL/TLS 1.3, les certificats X.509, les formats PEM/DER et le fonctionnement des CA.

2026-04-11

Le guide ultime des certificats SSL/TLS : X.509, PEM et standards modernes

Lorsque vous voyez l'icône du cadenas dans la barre d'adresse de votre navigateur, vous savez que votre connexion est sécurisée. Mais derrière cette petite icône se cache une infrastructure complexe de certificats numériques, de clés cryptographiques et d'autorités de confiance.

Ce guide va démystifier les certificats SSL/TLS en expliquant les formats, les acteurs et les protocoles qui assurent la sécurité du web.

1. Qu'est-ce qu'un certificat X.509 ?

X.509 est la norme internationale pour le format des certificats à clé publique. Lorsqu'on parle de "certificat SSL", on fait en réalité référence à un certificat X.509.

Un certificat X.509 lie une clé publique à une identité (comme un nom de domaine ou une entreprise) et il est signé numériquement par une autorité de certification (CA).

2. Formats de certificats courants

Les certificats se déclinent sous diverses extensions de fichiers, ce qui peut être déroutant. Les deux principales méthodes d'encodage d'un certificat sont :

PEM (Privacy Enhanced Mail)

C'est le format le plus couramment utilisé par les serveurs web comme Apache et Nginx.

  • Extensions : .pem, .crt, .cer, .key
  • Format : Texte ASCII encodé en Base64. Il commence par -----BEGIN CERTIFICATE-----.

DER (Distinguished Encoding Rules)

Une version binaire d'un certificat. Souvent utilisé dans les environnements Java ou Windows.

  • Extensions : .der, .cer
  • Format : Données binaires.

PKCS#12 (PFX)

Un format "bundle" qui peut stocker le certificat, la chaîne intermédiaire et la clé privée dans un seul fichier protégé par mot de passe.

  • Extensions : .p12, .pfx
  • Cas d'utilisation : Déplacer des certificats entre serveurs ou les installer sur Windows/IIS.

3. Le cycle de vie : du CSR à la CA

Comment obtient-on un certificat ?

  1. Générer une clé privée : Vous créez une clé secrète qui reste sur votre serveur.
  2. Créer un CSR (Certificate Signing Request) : C'est un fichier contenant votre clé publique et vos informations d'identité.
  3. Soumission : Vous envoyez le CSR à une autorité de certification (CA) comme Let's Encrypt, DigiCert ou Sectigo.
  4. Vérification : La CA vérifie que vous êtes bien le propriétaire du domaine.
  5. Émission : La CA signe votre certificat et vous le renvoie.

4. Standards modernes : TLS 1.3 et au-delà

Bien que nous les appelions encore "certificats SSL", le protocole SSL lui-même est ancien et peu sûr. Nous utilisons désormais le TLS (Transport Layer Security).

TLS 1.3 : le standard actuel

Sorti en 2018, le TLS 1.3 est plus rapide et plus sûr que ses prédécesseurs.

  • Vitesse : Il réduit le nombre d'"allers-retours" (handshakes) nécessaires pour établir une connexion, ce qui accélère le chargement des sites.
  • Sécurité : Il a supprimé les algorithmes de chiffrement obsolètes et non sécurisés (comme MD5 et SHA-1).

SNI (Server Name Indication)

Le SNI est une extension du TLS qui permet à un seul serveur (avec une seule adresse IP) d'héberger plusieurs certificats SSL pour différents domaines. C'est ce qui rend possible l'hébergement partagé moderne et les CDN.

OCSP (Online Certificate Status Protocol)

L'OCSP est une méthode permettant aux navigateurs de vérifier si un certificat a été révoqué (par exemple, si la clé privée a été volée) avant sa date d'expiration.

5. Tableau récapitulatif des extensions

Extension Format Contenu Cas d'utilisation
.pem / .crt PEM (Texte) Certificat seul Serveurs Linux (Nginx/Apache)
.key PEM (Texte) Clé privée Serveurs Linux (Nginx/Apache)
.p12 / .pfx PKCS#12 (Binaire) Cert + Clé + Chaîne Windows (IIS), Java
.csr PEM (Texte) Demande de signature Demande de certificat

Bonnes pratiques

  1. Gardez votre clé privée... privée : Si quelqu'un vole votre fichier .key, il peut usurper l'identité de votre serveur.
  2. Utilisez Let's Encrypt : Pour la plupart des sites, Let's Encrypt fournit des certificats gratuits et automatisés qui sont tout aussi sûrs que les payants.
  3. Surveillez l'expiration : Utilisez des outils pour vous alerter avant que votre certificat n'expire afin d'éviter les erreurs "Votre connexion n'est pas privée".
  4. Désactivez les anciens protocoles : Assurez-vous que votre serveur est configuré pour n'autoriser que le TLS 1.2 et le TLS 1.3.

Conclusion

Les certificats SSL/TLS sont le fondement de la confiance sur Internet. Bien que les détails techniques comme X.509 et PEM puissent sembler intimidants au début, le principe central est simple : ils prouvent que vous êtes bien qui vous prétendez être et que les données de vos utilisateurs restent privées.

Besoin de convertir un format de certificat ou de vérifier un hash ? Bien que nous n'ayons pas encore d'outil SSL dédié, vous pouvez utiliser notre Générateur de Hash pour vérifier l'intégrité de vos fichiers de certificat.

Retour au blog