Pourquoi n’ont-ils pas pris ?

le monde n’utilise pas
de certificats numériques ? Pour plusieurs
raisons.

Casse-tête administratif. L’une
des raisons est liée à  l’administration
des certificats numériques. Mettonsnous
à  la place d’un administrateur système.
Quand un nouvel employé est
recruté, l’administrateur doit créer un
profil utilisateur iSeries (ainsi que des
profils pour tout autre système d’exploitation),
une bibliothèque, et une
file d’attente de messages. L’administrateur
peut également enrôler le
nouvel utilisateur dans une ou plusieurs
applications.

Si l’on utilise des applications de
type PKI, l’administrateur doit également
inviter l’utilisateur à  demander
son propre certificat numérique, puis
notifier la CA pour qu’elle émette un
certificat. Cela fait, l’administrateur
doit encore mettre à  jour l’application
qui utilisera la certificat afin qu’elle
sache qu’il est valide.

Comme les PKI ne sont pas très répandues,
il existe peu d’outils pour aider
l’administrateur à  gérer l’utilisation
des certificats (par exemple, pour révoquer
automatiquement les certificats
quand les utilisateurs quittent la
société, pour gérer les listes de révocation
et réémettre des certificats). C’est
un peu le dilemme de la poule et de
l’oeuf. Si les utilisateurs de certificats numériques étaient plus nombreux, il y
aurait un plus grand marché pour les
produits chargés de les gérer, ce qui allègerait
le fardeau administratif.

Coûts. Les PKI ne sont pas seulement
un cauchemar administratif, elles
sont aussi très coûteuses. Si vous envisagez
une application de type PKI,
adressez-vous à  une CA bien connue
comme VeriSign ou Entrust pour acheter
vos certificats (et peut-être même
l’application elle-même). Il peut en
coûter des centaines de milliers d’euros
par an, selon le niveau de sécurité
des certificats achetés.

Si l’on espère éviter cette dépense
en utilisant l’iSeries comme une CA locale,
il faudra rapidement déchanter : à 
moins de se contenter d’un petit
nombre de certificats pour l’implémentation
PKI, cette solution n’est pas
viable parce que l’iSeries est dépourvu
d’assistance administrative pour gérer
les certificats des utilisateurs. Vous devrez
effectuer manuellement toutes les
tâches administratives pour votre CA et
les éventuels certificats qu’elle émet.
C’est envisageable si l’on n’émet
qu’une poignée de certificats, mais totalement
irréaliste dans le cas d’une application
à  l’échelle de l’entreprise qui
utilise PKI pour l’authentification.

Peu de standards. Une autre raison
qui explique la stagnation de PKI
est le manque de standard. PKIX, le
standard régissant le format et l’émission
de certificats X.509, n’a pas prospéré
dans les organismes de standard
parce que rien dans l’industrie ne stimule
son acceptation.

Entrust, le principal fournisseur
d’applications PKI et une CA bien
connue, n’a rien à  gagner et beaucoup
à  perdre si le standard se généralise.
Comme les certificats qu’Entrust émet
contiennent des informations dans des
champs d’extension propriétaires, aucune
autre CA ne peut générer de certificats
Entrust. Les applications achetées
auprès d’Entrust nécessitent ses
certificats, et donc les possesseurs
d’applications Entrust doivent utiliser Entrust comme CA. Si Entrust générait
des certificats PKIX, les possesseurs
d’applications Entrust pourraient obtenir
les certificats numériques de leurs
utilisateurs auprès de n’importe quelle
CA générant également des certificats
PKIX.