Les certificats de chiffrement pour le web
Nouveau:
Depuis le 30 juillet 2009, nous utilisons de nouveaux certificats sur le portail applicatif FRAMNET.
Ceci implique des messages d'alertes de votre navigateur.
Explication des messages d'avertissement des navigateurs
Lorsque vous accédez à une page dite «sécurisée» , votre navigateur vous
avertit normalement que « le certificat de sécurité est
invalide », ou qu'il lui est « impossible de vérifier
l'identité du serveur comme site de confiance ».
Le message d'erreur que vous obtenez dépend de votre navigateur, et
ressemble certainement à un de ces écrans:
Microsoft Internet Explorer 7 signale que le certificat présente
un problème.
Firefox 2 affiche une fenêtre pop-up (ci-dessus à gauche) vous
avertissant qu'il n'a pas pu vérifier l'identité du site auquel
vous vous connectez; Firefox 3 (image de droite), quant à
lui, vous signale par une page d'erreur qu'il n'a pas pu ouvrir la connexion de façon
suffisamment sécurisée.
Ceci est dû au fait que le certificat utilisé par le serveur
n'a pas été signé par une autorité reconnue par votre navigateur.
Ce type de certificat permet de chiffrer les communications entre
votre navigateur et nos serveurs web, mais il ne garantit pas
à lui seul l'identité du site web que vous visitez.
Autrement dit, aucune personne ou organisation à qui vous avez accordé votre
confiance ne peut vous confirmer l'identité réelle du serveur. En
pratique, ce risque pourrait vous conduire à transmettre à votre
insu des informations à une personne tierce, étant donné que
n'importe qui a la possibilité de créer un certificat de ce type au
nom du serveur.
Si vous êtes face à ce type de message d'avertissement, vous avez
deux solutions:
- faire confiance (aveuglément) au
certificat du serveur web visité:
cette solution vous permet d'accepter le certificat présenté par le
site web auquel vous essayez d'accéder. Selon votre navigateur, vous
aurez peut-être à refaire cette opération à chaque visite du site.
Cette solution permet uniquement de contourner l'erreur générée par
votre navigateur, mais elle n'augmente pas le niveau de sécurité de
votre accès.
Si vous tenez à appliquer cette solution déconseillée suivez les
instructions pour « poursuivre la
consultation du site ».
- importer le certificat racine pour
faire toujours confiance aux certificats validés par le service
informatique : c'est la solution
recommandée. Elle permet à votre navigateur de faire
confiance à tous les certificats qui ont été signés (donc
validés) par le service informatique. Cette
solution pare réellement au problème de sécurité signalé par votre
navigateur, puisque les certificats signés par FRAM seront
ensuite reconnus par celui-ci. Cette solution est décrite dans le
reste de ce document.
Les navigateurs web possèdent un magasin de certificats de chiffrement
qui permet de conserver les certificats racines des autorités de certification auxquelles
le fournisseur du navigateur a choisi de faire confiance.
Lorsque vous accédez à un site dont le certificat serveur a été signé
par un de ces certificats racines, le navigateur estime alors que vous
pouvez lui faire pour connaître l'identité réelle du propriétaire du
site. Dans le cas contraire, le navigateur émet un message d'erreur
vous indiquant que le certificat n'est pas reconnu.
En important dans votre navigateur le certificat racine créé par
FRAM pour signer les certificats de ses serveurs,
celui-ci reconnaîtra tous les certificats signés par le service
informatique.
Cette importation signifie en réalité que vous faites confiance au
service informatique de FRAM pour vérifier à travers la signature
des certificats serveur que les sites qui les utilisent sont bien ceux
qu'ils prétendent être.
Vous êtes ainsi assurés de l'identité des sites que vous utilisez, et
votre sécurité est accrue.
Les détails de la procédure d'importation du certificat racine dépendent
de votre navigateur et sont décrits ci-dessous.
Avec le navigateur Firefox
L'importation d'un nouveau certificat sous Firefox est très simple et
s'effectue en une seule opération (aussi bien dans la version 2 que
la 3).
-
En téléchargeant le certificat racine
de l'autorité de certification de FRAM (cliquez simplement sur
le lien), Firefox ouvrira automatiquement le processus d'importation du
certificat dans le magasin de l'application.
La boîte de dialogue reproduite en figure 3 s'affichera pour vous demander de confirmer votre
confiance en ce nouveau certificat.
Figure 3: cochez les actions pour lesquelles vous faites confiance
à l'autorité de certification. Vous pouvez tout
cocher, puisque vous nous faites confiance de toutes façons, non?
-
Confirmez cette autorité de certification (AC), au moins pour
l'identification des sites web (cela n'est pas utile pour
l'utilisation du courrier électronique ou les applications, mais vous
pouvez les cocher sans problème), et cliquez sur «OK».
L'importation du certificat est alors terminée : votre navigateur fera confiance à
tous les certificats qui auront été signé par l'autorité correspondant
à ce certificat.
Vérification facultative
Si vous le souhaitez, vous pouvez vérifier que le certificat apparaît
bien dans le magasin des certificats de Firefox en ouvrant son
gestionnaire de certificats. Pour cela, dans le menu « Outils/Options »
(ou « édition/Préférences » sous les systèmes GNU/Linux), cliquez sur
l'icône « Avancé » et l'onglet « Chiffrement », puis sur le bouton
« Afficher les certificats », comme le montre la figure 4.
Figure 4: dans vos options, choisissez la catégorie « Avancé »,
l'onglet « Chiffrement » et la bouton « Afficher les certificats ».
Sous l'onglet «Autorités», en faisant défiler la liste
des autorités de certification reconnues, vous devez trouver celle
de la FRAM, comme le montre la figure 5.
Figure 5: Le certificat de l'autorité apparait dans la liste des
certificats enregistrés.
Avec le navigateur Internet Explorer (version 7)
-
En téléchargeant
le certificat racine de
l'autorité de certification de FRAM, une fenêtre de dialogue
vous demandera quoi faire du certificat.
Figure 6: Internet Explorer vous propose d'ouvrir le certificat
pour l'importer, ou bien de l'enregistrer sur votre disque
dur. Choisissez « Ouvrir ».
-
Choisissez « Ouvrir ». Une fenêtre d'information
s'affichera alors, vous indiquant que vous devez installer le
certificat racine pour faire confiance à l'autorité de
certification qu'il représente.
Figure 7: votre navigateur vous informe que si vous voulez faire
confiance à ce certificat, vous devez l'installer. ça tombe plutôt
bien, c'est ce qu'on cherche à faire. Cliquez donc sur « Installer
le certificat... ».
-
Cliquez sur « Installer le certificat... ». Un assistant d'installation
appraîtra.
-
Laissez-vous guider par cet assistant d'installation en acceptant
les options par défaut : cliquez sur « Suivant » à
chaque écran, et enfin « Terminer ».
-
Une fenêtre s'ouvre alors pour vous demandez de confirmer l'importation du certificat.
L'aperçu affiché doit correspondre à la signature sha1 du certificat
qui est la suivante:
2893B398 13A33A5E 3A27859E 3F0D35DD 2E0B56A8.
Si ce n'est pas le cas, abandonnez l'importation (en cliquant sur
« Non ») et contactez-nous pour nous en informer.
Figure 9: vérifiez que l'aperçu SHA est correct, puis acceptez
l'importation du certificat en cliquant sur «Oui».
Si c'est bien le cas, vous pouvez confirmer l'installation du
certificat en cliquant sur « Oui ». L'assistant
d'importation affiche ensuite une fenêtre de dialogue vous
confirmant que l'opération s'est terminée correctement.
Vérification facultative
Si vous le souhaitez, vous pouvez vérifier que le certificat apparaît bien
dans le magasin des certificats d'Internet Explorer.
Pour affichez le gestionnaire de certificats, choisissez d'abord le
menu « Outils » (en haut à droite), puis « Options Internet ». Cliquez sur
l'onglet « Contenu », et le bouton « Certificats » dans le paragraphe
du même nom (voir la figure 6 ci-dessous).
Figure 10: le gestionnaire des certificats d'Internet Explorer est
accessible dans les options internet, onglet
« Contenu », bouton « Certificats ».
Choisissez l'onglet « Autorités principales de confiance ».
Le certificat d'autorité apparaît dans la liste
« Autorités principales de confiance » avec, dans les colonnes « Délivrés
à » et « Délivré par » le même nom Autorite de certification du CRI.
Votre logiciel Internet Explorer fera dorénavant confiance à tous les
certificats serveurs utilisés sur les machines de la FRAM.
Vous pouvez alors refermer le gestionnaire de certificat.
Figure 11: Le certificat importé apparaît dans la liste des
autorités de confiance.
Avec Safari sous MacOS X
Nota Bene: le CRI n'a pas la possibilité d'assurer
une aide technique pour tous les navigateurs, et ne pourra donc pas
vous dépanner dans l'utilisation de Safari. Vous trouverez cependant
ci-après quelques indications de base pour vous aider dans
l'importation du certificat sous Safari.
Voici les étapes à suivre pour importer le certificat racine sous
Safari :
-
Téléchargez le certificat racine
de l'autorité de certification de FRAM (cliquez simplement sur
le lien)
-
Cliquez sur le fichier que vous venez ainsi de télécharger
-
Votre système vous propose alors de confirmer votre confiance au
certificat et de l'importer dans le « trousseau d'accès »,
en vous demandant si vous choisissez le trousseau système ou
le trousseau session. Choisissez le trousseau système.
-
Le certificat racine est maintenant disponible dans votre système,
et Safari fera confiance aux sites de la FRAM (Attention, si
vous utilisez un autre navigateur sous Mac, comme Firefox,
celui-ci utilise son propre magasin de certificat dans lequel vous
devez importer le certificat en suivant la même procédure que celle
décrite plus haut).
Vous pouvez vérifiez que le certificat et bien présent dans le
trousseau d'accès en accédant au menu « Applications » /
« Utilitaires » / « Trousseau d'accès ».
Glossaire
- Certificat
-
Un certificat est une suite de données (de quelques kilo-octets) qui
permet par exemple d'identifier un serveur, une personne, etc.
Il peut être utilisé pour attester du nom d'un serveur et en même
temps chiffrer les données transmises entre le serveur et votre
navigateur.
Un certificat est dit certificat serveur lorsqu'il est
utilisé par un serveur et signé par un certificat racine (ou un
certificat intermédiaire lui-même signé par un certificat racine).
Un certificat est dit certificat racine s'il n'est signé que par
lui-même (il est à la racine de la chaîne de signatures). Pour lui accorder
foi, il faut donc faire confiance à la personne qui vous transmet
et s'assurer qu'il n'a pas été modifié par un tiers.
- Autorité de certification (A.C.)
-
Une autorité de certification (A.C.) est un organisme qui émet un
certificat racine avec lequel il signe (notamment) des certificats
serveurs.
Lorsqu'une A.C. signe le certificat d'un site web, cela signifie
qu'elle a vérifié l'identité du propriétaire du certificat, et
qu'on peut donc avoir confiance en l'identité du propriétaire du
site web.
- Page ou connexion chiffrée, ou «sécurisée»
-
Une page dite «sécurisée» (il ne faut pas oublier qu'une
page n'est jamais totalement sécurisée, elle l'est seulement plus
que les pages habituelles) est une page dont l'URL commence par «https://», et dont le
contenu est transmis de façon chiffrée entre le serveur et votre
navigateur, de sorte qu'il est très difficile d'en décoder le
contenu pour quelqu'un qui l'intercepterait lors de sa transmission.
- Signature
-
La signature (également appelée empreinte numérique)
est une technique permettant de certifier
qu'un ensemble de données (ça peut être un fichier, un
certificat, ou autre) n'a pas été modifié lors de sa diffusion,
et que cette ensemble est bien tel que son auteur ou diffuseur
l'a envoyé.
Ce terme désigne bien sûr l'acte de « signer », mais également
la petite suite de données (parfois représentée par une chaîne de
caractères) qui permet de s'assurer que les données n'ont pas été
modifiées lors de leur diffusion.
Une technique courante de signature de données utilise
l'algorithme md5, et est souvent connue sous le nom de « somme
md5 ».
Dernière modification : lundi 26 janvier 2009 17:57:36 +0100