Les certificats de chiffrement pour le web

Nouveau: Depuis le 30 juillet 2009, nous utilisons de nouveaux certificats sur le portail applicatif FRAMNET.
Ceci implique des messages d'alertes de votre navigateur.

Explication des messages d'avertissement des navigateurs

Lorsque vous accédez à une page dite «sécurisée» , votre navigateur vous avertit normalement que « le certificat de sécurité est invalide », ou qu'il lui est « impossible de vérifier l'identité du serveur comme site de confiance ».

Le message d'erreur que vous obtenez dépend de votre navigateur, et ressemble certainement à un de ces écrans:

Microsoft Internet Explorer 7 signale que le certificat présente un problème.

Firefox 2 affiche une fenêtre pop-up (ci-dessus à gauche) vous avertissant qu'il n'a pas pu vérifier l'identité du site auquel vous vous connectez; Firefox 3 (image de droite), quant à lui, vous signale par une page d'erreur qu'il n'a pas pu ouvrir la connexion de façon suffisamment sécurisée.

Ceci est dû au fait que le certificat utilisé par le serveur n'a pas été signé par une autorité reconnue par votre navigateur. Ce type de certificat permet de chiffrer les communications entre votre navigateur et nos serveurs web, mais il ne garantit pas à lui seul l'identité du site web que vous visitez.

Autrement dit, aucune personne ou organisation à qui vous avez accordé votre confiance ne peut vous confirmer l'identité réelle du serveur. En pratique, ce risque pourrait vous conduire à transmettre à votre insu des informations à une personne tierce, étant donné que n'importe qui a la possibilité de créer un certificat de ce type au nom du serveur.

Si vous êtes face à ce type de message d'avertissement, vous avez deux solutions:

Importer le certificat racine de l'autorité de certification FRAM

Les navigateurs web possèdent un magasin de certificats de chiffrement qui permet de conserver les certificats racines des autorités de certification auxquelles le fournisseur du navigateur a choisi de faire confiance. Lorsque vous accédez à un site dont le certificat serveur a été signé par un de ces certificats racines, le navigateur estime alors que vous pouvez lui faire pour connaître l'identité réelle du propriétaire du site. Dans le cas contraire, le navigateur émet un message d'erreur vous indiquant que le certificat n'est pas reconnu.

En important dans votre navigateur le certificat racine créé par FRAM pour signer les certificats de ses serveurs, celui-ci reconnaîtra tous les certificats signés par le service informatique. Cette importation signifie en réalité que vous faites confiance au service informatique de FRAM pour vérifier à travers la signature des certificats serveur que les sites qui les utilisent sont bien ceux qu'ils prétendent être. Vous êtes ainsi assurés de l'identité des sites que vous utilisez, et votre sécurité est accrue.

Les détails de la procédure d'importation du certificat racine dépendent de votre navigateur et sont décrits ci-dessous.

Avec le navigateur Firefox

L'importation d'un nouveau certificat sous Firefox est très simple et s'effectue en une seule opération (aussi bien dans la version 2 que la 3).

L'importation du certificat est alors terminée : votre navigateur fera confiance à tous les certificats qui auront été signé par l'autorité correspondant à ce certificat.

Vérification facultative

Si vous le souhaitez, vous pouvez vérifier que le certificat apparaît bien dans le magasin des certificats de Firefox en ouvrant son gestionnaire de certificats. Pour cela, dans le menu « Outils/Options » (ou « édition/Préférences » sous les systèmes GNU/Linux), cliquez sur l'icône « Avancé » et l'onglet « Chiffrement », puis sur le bouton « Afficher les certificats », comme le montre la figure 4.

Figure 4: dans vos options, choisissez la catégorie « Avancé », l'onglet « Chiffrement » et la bouton « Afficher les certificats ».

Sous l'onglet «Autorités», en faisant défiler la liste des autorités de certification reconnues, vous devez trouver celle de la FRAM, comme le montre la figure 5.

Figure 5: Le certificat de l'autorité apparait dans la liste des certificats enregistrés.

Avec le navigateur Internet Explorer (version 7)

Vérification facultative

Si vous le souhaitez, vous pouvez vérifier que le certificat apparaît bien dans le magasin des certificats d'Internet Explorer. Pour affichez le gestionnaire de certificats, choisissez d'abord le menu « Outils » (en haut à droite), puis « Options Internet ». Cliquez sur l'onglet « Contenu », et le bouton « Certificats » dans le paragraphe du même nom (voir la figure 6 ci-dessous).

Figure 10: le gestionnaire des certificats d'Internet Explorer est accessible dans les options internet, onglet « Contenu », bouton « Certificats ».

Choisissez l'onglet « Autorités principales de confiance ». Le certificat d'autorité apparaît dans la liste « Autorités principales de confiance » avec, dans les colonnes « Délivrés à » et « Délivré par » le même nom Autorite de certification du CRI. Votre logiciel Internet Explorer fera dorénavant confiance à tous les certificats serveurs utilisés sur les machines de la FRAM. Vous pouvez alors refermer le gestionnaire de certificat.

Figure 11: Le certificat importé apparaît dans la liste des autorités de confiance.

Avec Safari sous MacOS X

Nota Bene: le CRI n'a pas la possibilité d'assurer une aide technique pour tous les navigateurs, et ne pourra donc pas vous dépanner dans l'utilisation de Safari. Vous trouverez cependant ci-après quelques indications de base pour vous aider dans l'importation du certificat sous Safari.

Voici les étapes à suivre pour importer le certificat racine sous Safari :

Glossaire

Certificat
Un certificat est une suite de données (de quelques kilo-octets) qui permet par exemple d'identifier un serveur, une personne, etc. Il peut être utilisé pour attester du nom d'un serveur et en même temps chiffrer les données transmises entre le serveur et votre navigateur.
Un certificat est dit certificat serveur lorsqu'il est utilisé par un serveur et signé par un certificat racine (ou un certificat intermédiaire lui-même signé par un certificat racine). Un certificat est dit certificat racine s'il n'est signé que par lui-même (il est à la racine de la chaîne de signatures). Pour lui accorder foi, il faut donc faire confiance à la personne qui vous transmet et s'assurer qu'il n'a pas été modifié par un tiers.
Autorité de certification (A.C.)
Une autorité de certification (A.C.) est un organisme qui émet un certificat racine avec lequel il signe (notamment) des certificats serveurs. Lorsqu'une A.C. signe le certificat d'un site web, cela signifie qu'elle a vérifié l'identité du propriétaire du certificat, et qu'on peut donc avoir confiance en l'identité du propriétaire du site web.
Page ou connexion chiffrée, ou «sécurisée»
Une page dite «sécurisée» (il ne faut pas oublier qu'une page n'est jamais totalement sécurisée, elle l'est seulement plus que les pages habituelles) est une page dont l'URL commence par «https://», et dont le contenu est transmis de façon chiffrée entre le serveur et votre navigateur, de sorte qu'il est très difficile d'en décoder le contenu pour quelqu'un qui l'intercepterait lors de sa transmission.
Signature
La signature (également appelée empreinte numérique) est une technique permettant de certifier qu'un ensemble de données (ça peut être un fichier, un certificat, ou autre) n'a pas été modifié lors de sa diffusion, et que cette ensemble est bien tel que son auteur ou diffuseur l'a envoyé.
Ce terme désigne bien sûr l'acte de « signer », mais également la petite suite de données (parfois représentée par une chaîne de caractères) qui permet de s'assurer que les données n'ont pas été modifiées lors de leur diffusion.
Une technique courante de signature de données utilise l'algorithme md5, et est souvent connue sous le nom de « somme md5 ».

retour au sommaire de l'aide
Dernière modification : lundi 26 janvier 2009 17:57:36 +0100