Restrictions et interdictions des certificats SSL

Certificats SSL : Restrictions & interdictions de livraison dans certains pays

Depuis plusieurs années, SafeBrands est distributeur de certificats SSL de diverses autorités de certification (Thawte, GlobalSign, Comodo, TBS etc). Dans le cadre de demandes d’émissions de certains certificats pour nos clients, nous avons été parfois confrontés à des dossiers épineux, où ne nous pouvions pas livrer le certificat demandé, quel que soit son type (DV, OV, EV).

En effet le pays visé faisait parfois l’objet de restrictions, tant au niveau des individus ou entités commerciales, qu’au niveau des noms de domaine nationaux (CCTLD). Il nous a fallu parfois proposer des solutions de contournement quand ces dernières étaient possibles.

Nous tenions à vous expliquer en quelques mots le pourquoi de telles restrictions…

1 – Interdictions émises par le CA/Browser Forum

Le CA/Browser Forum (Certification Authority Browser Forum) – regroupement des autorités de certification (AC) et des éditeurs de navigateurs a pour objectif de faire évoluer les bonnes pratiques, améliorer l’utilisation des certificats et sécuriser les communications. Dans le cadre d’un politique sécuritaire, la liste des pays suivants s’est vu refuser l’émission de certificats :

  • .cu – Cuba
  • .ir – Iran
  • .kp – Corée du Nord
  • .sd – Soudan
  • .sy – Syrie

Pourquoi interdire la livraison du certification SSL?

En règle générale, c’est parce que le pays concerné traverse une période d’agitation politique et que la sécurité des informations entrantes et sortantes peut être compromise par le gouvernement ou une entité extérieure.

Quelles autorités de certification refusent d’émettre ?

Toutes les autorités de certifications, car elles sont censées se plier aux règles édictées par le CA/Browser Forum. Il sera donc impossible d’émettre un certificat pour un ressortissant (personne ou société) ou pour un domaine national de ces pays. Mais de très rares exceptions ont été constatées, comme par exemple Google qui, en tant qu’autorité de certification, a délivré pour elle-même un SSL sur son site « google.com.cu ».

2 – Restrictions mises en place par les autorités de certification elles-mêmes

Certaines Autorités de certification ont mis des restrictions en place, et vous empêcherons aussi d’avoir une délivrance de certificat suivant la liste de pays ci-dessous :

  • Afrique:
    • Côte d’Ivoire (.CI)
    • République Démocratique du Congo (.CG)
    • Erythrée (.ER)
    • Guinée (.GN)
    • Libéria (.LR)
    • Rwanda (.RW)
    • Soudan du Sud (.SS)
    • Sierra Leone (.SL)
    • Zimbabwe (.ZW)
  • Proche & Moyen-Orient:
    • Afghanistan (.AF)
    • Irak (.IQ)
    • Iran (.IR)
    • Pakistan (.PK)
    • Syrie (.SY)
  • Asie:
    • Corée du Nord (.KP
    • Myanmar (.MM)
  • Amérique:
    • Cuba (.CU)
  • Europe:
    • Biélorussie (.BY)

Pourquoi interdire la livraison du certification SSL?

Pour les pays potentiellement restreints, il peut y avoir diverses raisons, notamment que la société qui vous a délivré le certificat SSL pourrait enfreindre la politique ou les accords commerciaux de son pays (ex : l’US Export restriction laws). Pour des pays comme la Biélorussie la censure web est présente (temps au niveau du contenu, que des protocoles réseaux) et peut affecter la délivrance des certificats SSL dans la région.

Quelles autorités de certification refusent d’émettre ?

Digicert, Thawte, Symantec, Comodo , Globalsign ou les x509, ils sont tous assujettis aux restrictions des deux listes à cause de leur implantation et de la politique US.
En revanche, pour certains pays de cette dernière liste (comme la Côte d’Ivoire : .CI), un certificat de type Certigna (qui est fourni par DHIMYOTIS , une société Française) vous permettra de passer outre ces limitations.


SafeBrands, en sa qualité de fournisseur de certificats SSL, est à votre disposition pour tout renseignement complémentaire concernant ce service. N’hésitez pas à contacter nos chargés de clientèle en utilisant notre formulaire en ligne, par email info@safebrands.ca ou téléphone au +1 514-600-6124 ou +33 (0)1 80 82 82 60.