Compare Revisions
Certificats d’authentification pour les sites web sécurisés
Revision 304409:
Revisión 304409 de Mozinet do
Revision 304420:
Revisión 304420 de Y.D. do
Palabras clave:
sécurité certificat authentification PKI
sécurité certificat authentification PKI
Search results summary:
Les sites web peuvent s’identifier auprès de Firefox à l’aide d’un certificat. Découvrez comment Firefox vérifie l’authenticité des sites que vous visitez.
Les sites web peuvent s’identifier auprès de Firefox à l’aide d’un certificat. Découvrez comment Firefox vérifie l’authenticité des sites que vous visitez.
Contido:
Les certificats TLS (''[https://developer.mozilla.org/docs/Web/Security/Transport_Layer_Security Transport Layer Security]'', sécurité de la couche de transport) des sites web sécurisés vérifient leur possession et l’intégrité des informations de ces sites. Cet article explique comment cela fonctionne.
__TOC__
=Sites web qui utilisent des certificats=
Les sites web dont l’adresse commence par '''https''' utilisent des certificats de serveur TLS. Ces sites fournissent l’assurance que sont remplies deux conditions :
*l’administrateur ou l’administratrice du site web possède le nom de domaine ou en détient le contrôle, garantissant que l’on se connecte au site légitime et non à une copie contrefaite ou malveillante ;
*les échanges de données via TLS entre le navigateur et le site web sont chiffrés pour protéger contre l’espionnage ou la falsification par des tiers non autorisés.
=Chaîne de confiance=
Les navigateurs, tel Firefox, vérifient les certificats via une hiérarchie appelée une '''chaîne de confiance''', habituellement composée de trois certificats :
*le certificat racine '''(certificat approuvé)'''
*un ou plusieurs certificats intermédiaires
*le certificat de serveur TLS '''(entité finale)'''
;[[Image:Chain of trust diagram]]<!-- Localizers: "chain-of-trust" image is optional -->
Le certificat racine appartient à une [https://fr.wikipedia.org/wiki/Autorit%C3%A9_de_certification autorité de certification] (AC) auquel le navigateur fait confiance pour la fourniture d’autres certificats. De fait, un certificat racine émet un ou plusieurs certificats intermédiaires qui servent à délivrer les certificats de serveur TLS aux organisations qui peuvent prouver leur contrôle sur les domaines de site web spécifiés par ces certificats.
Les certificats s’appuient sur la cryptographie à clés publiques dans laquelle une paire de clés asymétriques contient deux clés mathématiquement associées :
*'''une clé privée''' – cette clé est gardée secrète par son propriétaire et sert aux opérations de chiffrement telle la signature de données (y compris des certificats) ou le déchiffrement des informations chiffrées grâce à la clé publique
*'''une clé publique''' – cette clé est partagée publiquement et sert à vérifier les signatures créées par la clé privée et à chiffrer des informations que seule la clé privée est en mesure de déchiffrer
Les certificats de clé publique contiennent les informations suivantes :
*des détails sur l’autorité de certification (AC) qui a émis le certificat
*une clé publique appartenant à l’organisation qui a reçu le certificat
*des détails permettant d’identifier l’organisation qui détient la clé privée (voir [[#w_contenu-dun-certificat|Contenu d’un certificat]] ci-dessous, pour les certificats de serveur TLS, c’est essentiellement le nom de domaine du site web)
Nous pouvons maintenant décrire comment Firefox détermine la sécurité d’un site web.
==Vérification de l’intégrité des certificats par Firefox==
Voici comment Firefox utilise la chaîne de confiance pour vérifier les certificats de serveur TLS :
#Firefox télécharge le certificat du site web que vous visitez.
#Firefox vérifie le certificat en utilisant sa base de données interne des autorités de certification (AC) de confiance.
#*Il se sert de la clé publique du certificat racine de l’AC pour s’assurer que le certificat racine et le certificat intermédiaire sont correctement signés en descendant la chaîne vers le certificat de serveur TLS que le site a fourni.
#Firefox vérifie les informations contenues dans le certificat pour être sûr que le site web auquel vous vous connectez correspond bien au site web listé dans le certificat.
#Firefox génère une clé symétrique (unique) pour chiffrer le trafic HTTP de la connexion.
#Firefox chiffre la clé symétrique avec la clé publique du serveur trouvée dans le certificat du serveur.
#La clé privée, qui se trouve sur le serveur web, déchiffre les données nécessaires à la connexion pour terminer ce qui est connu comme la négociation TLS (''TLS handshake'' en anglais).
Une communication sécurisée peut alors s’établir entre Firefox et le site web.
=Afficher un certificat=
Pour afficher un certificat, suivez ces instructions :
#Cliquez sur l’icône de cadenas [[Image:Fx89Padlock]] dans la barre d’adresse.
#Dans le [[Site Information panel| panneau des informations pour le site]] qui s’ouvre, cliquez sur {button Connexion sécurisée}
#;[[Image:Fx134SiteInfo-ConnectionSecure]]
#Dans le panneau suivant, cliquez sur {button Plus d’informations}
#;[[Image:Fx134SiteInfo-MoreInfo]]
#Dans la [[View site information with Page Info|fenêtre ''Informations sur la page'']] qui s’ouvre, cliquez sur {button Afficher le certificat}
#;[[Image:Fx134SiteInfo-ViewCert]]
Firefox ouvre alors la page ''about:certificate'' montrant des informations sur le certificat du site web sur lequel vous vous trouvez :
;[[Image:Fx134SiteInfo-AboutCert]]
Les trois onglets présentent, de gauche à droite, le certificat de serveur TLS, le certificat intermédiaire et le certificat racine.
=Contenu d’un certificat=
Les certificats de serveur TLS contiennent les informations suivantes :
*'''Nom du sujet :''' contient des attributs optionnels comme le nom du site web et d’autres informations sur l’organisation qui détient le certificat.
*'''Nom de l’émetteur :''' identifie l’entité AC qui a émis le certificat.
*'''Validité :''' affiche la période de validité du certificat.
*'''Nom alternatif du sujet du certificat :''' énumère les adresses de sites web pour lesquels le certificat est valide.
*'''Informations sur la clé publique :''' énumère les attributs de la clé publique du certificat.
*'''Numéro de série :''' identifie de façon unique le certificat.
*'''Algorithme de signature :''' algorithme créé pour générer la signature.
*'''Empreintes numériques :''' hachage du fichier du certificat au format binaire [https://wiki.openssl.org/index.php/DER DER]*.
*'''Utilisations de la clé''' et '''Utilisations étendues de la clé :''' spécifient l’utilisation possible du certificat par les gens, comme réaliser l’authentification TLS du serveur web.
*'''Identifiant de clé du sujet :''' un identifiant généré à partir de la clé publique du certificat TLS, comme moyen d’identifier le certificat.
*'''Identifiant de clé de l’autorité :''' un identifiant généré à partir de la clé publique de l’AC, moyen d’identifier la clé publique correspondant à la clé privée utilisée pour signer le certificat.
*'''Points de terminaison CRL :''' les emplacements de la [https://fr.wikipedia.org/wiki/Liste_de_r%C3%A9vocation_de_certificats liste de révocation des certificats (''Certificate Revocation List'', CRL)] de l’AC émettrice.
*'''Informations sur l’autorité :''' contient la méthode de validation pour les fichiers de l’autorité du certificat et le certificat intermédiaire.
*'''Politiques du certificat :''' contient des pointeurs vers le type de certificat TLS (c’est-à-dire des informations vérifiées quand le certificat a été émis).
*'''SCT intégrés :''' énumère les [https://www.globalsign.com/en/blog/what-is-certificate-transparency horodatages des certificats signés]* (''Signed Certificate Timestamps'', SCT).
''(*) Document en anglais''
=Certificats problématiques=
Lorsque vous naviguez sur un site web dont l’adresse commence par '''https''' et qu’est détecté un problème avec le certificat TLS, le navigateur affiche une page d’erreur. Quelques erreurs de certificat courantes sont décrites dans l’article [[What does "Your connection is not secure" mean?]]
Pour afficher le certificat qui pose problème, suivez ces instructions :
#Sur la page d’avertissement, cliquez sur {button Avancé…}
#;[[Image:Fx134SecurityWarning]]
#Cliquez sur '''Afficher le certificat'''.
#;[[Image:Fx134SecurityWarning-ViewCert]]
#Le mauvais certificat s’affiche alors.
<!-- see discussion
=Supprimer les certificats=
Vous pouvez supprimer des certificats en procédant comme suit :
#[[Template:optionspreferences]]
#Cliquez sur {menu Vie privée et sécurité} dans le panneau de gauche.
#Faites défiler jusqu’à la section '''Certificats'''.
#Cliquez sur le bouton {button Afficher les certificats…}
#;La fenêtre '''Gestionnaire de certificats''' s’affiche avec l’onglet {menu Vos certificats} sélectionné par défaut, qui contient une liste des certificats associés.
#Cliquez sur un certificat de la liste.
#Cliquez sur le bouton {button Supprimer…} en bas de la fenêtre contextuelle.
#;Une fenêtre de confirmation s’affiche.
#Cliquez sur le bouton {button OK}
#;Le certificat ne s’affiche plus dans l’onglet {menu Vos certificats}
-->
Les certificats TLS (''[https://developer.mozilla.org/docs/Web/Security/Transport_Layer_Security Transport Layer Security]'', sécurité de la couche de transport) des sites web sécurisés vérifient leur possession et l’intégrité des informations de ces sites. Cet article explique comment cela fonctionne.
__TOC__
=Sites web qui utilisent des certificats=
Les sites web dont l’adresse commence par '''https''' utilisent des certificats de serveur TLS. Ces sites fournissent l’assurance que sont remplies deux conditions :
*l’administrateur ou l’administratrice du site web possède le nom de domaine ou en détient le contrôle, garantissant que l’on se connecte au site légitime et non à une copie contrefaite ou malveillante ;
*les échanges de données via TLS entre le navigateur et le site web sont chiffrés pour protéger contre l’espionnage ou la falsification par des tiers non autorisés.
=Chaîne de confiance=
Les navigateurs, tel Firefox, vérifient les certificats via une hiérarchie appelée une '''chaîne de confiance''', habituellement composée de trois certificats :
*le certificat racine '''(certificat approuvé)'''
*un ou plusieurs certificats intermédiaires
*le certificat de serveur TLS '''(entité finale)'''
;[[Image:Chain of trust diagram|width=450]]<!-- Localizers: "chain-of-trust" image is optional -->
Le certificat racine appartient à une [https://fr.wikipedia.org/wiki/Autorit%C3%A9_de_certification autorité de certification] (AC) auquel le navigateur fait confiance pour la fourniture d’autres certificats. De fait, un certificat racine émet un ou plusieurs certificats intermédiaires qui servent à délivrer les certificats de serveur TLS aux organisations qui peuvent prouver leur contrôle sur les domaines de site web spécifiés par ces certificats.
Les certificats s’appuient sur la cryptographie à clés publiques dans laquelle une paire de clés asymétriques contient deux clés mathématiquement associées :
*'''une clé privée''' – cette clé est gardée secrète par son propriétaire et sert aux opérations de chiffrement telle la signature de données (y compris des certificats) ou le déchiffrement des informations chiffrées grâce à la clé publique
*'''une clé publique''' – cette clé est partagée publiquement et sert à vérifier les signatures créées par la clé privée et à chiffrer des informations que seule la clé privée est en mesure de déchiffrer
Les certificats de clé publique contiennent les informations suivantes :
*des détails sur l’autorité de certification (AC) qui a émis le certificat
*une clé publique appartenant à l’organisation qui a reçu le certificat
*des détails permettant d’identifier l’organisation qui détient la clé privée (voir [[#w_contenu-dun-certificat|Contenu d’un certificat]] ci-dessous, pour les certificats de serveur TLS, c’est essentiellement le nom de domaine du site web)
Nous pouvons maintenant décrire comment Firefox détermine la sécurité d’un site web.
==Vérification de l’intégrité des certificats par Firefox==
Voici comment Firefox utilise la chaîne de confiance pour vérifier les certificats de serveur TLS :
#Firefox télécharge le certificat du site web que vous visitez.
#Firefox vérifie le certificat en utilisant sa base de données interne des autorités de certification (AC) de confiance.
#*Il se sert de la clé publique du certificat racine de l’AC pour s’assurer que le certificat racine et le certificat intermédiaire sont correctement signés en descendant la chaîne vers le certificat de serveur TLS que le site a fourni.
#Firefox vérifie les informations contenues dans le certificat pour être sûr que le site web auquel vous vous connectez correspond bien au site web listé dans le certificat.
#Firefox génère une clé symétrique (unique) pour chiffrer le trafic HTTP de la connexion.
#Firefox chiffre la clé symétrique avec la clé publique du serveur trouvée dans le certificat du serveur.
#La clé privée, qui se trouve sur le serveur web, déchiffre les données nécessaires à la connexion pour terminer ce qui est connu comme la négociation TLS (''TLS handshake'' en anglais).
Une communication sécurisée peut alors s’établir entre Firefox et le site web.
=Afficher un certificat=
Pour afficher un certificat, suivez ces instructions :
#Cliquez sur l’icône de cadenas [[Image:Fx89Padlock]] dans la barre d’adresse.
#Dans le [[Site Information panel| panneau des informations pour le site]] qui s’ouvre, cliquez sur {button Connexion sécurisée}
#;[[Image:Fx134SiteInfo-ConnectionSecure]]
#Dans le panneau suivant, cliquez sur {button Plus d’informations}
#;[[Image:Fx134SiteInfo-MoreInfo]]
#Dans la [[View site information with Page Info|fenêtre ''Informations sur la page'']] qui s’ouvre, cliquez sur {button Afficher le certificat}
#;[[Image:Fx134SiteInfo-ViewCert]]
Firefox ouvre alors la page ''about:certificate'' montrant des informations sur le certificat du site web sur lequel vous vous trouvez :
;[[Image:Fx134SiteInfo-AboutCert]]
Les trois onglets présentent, de gauche à droite, le certificat de serveur TLS, le certificat intermédiaire et le certificat racine.
=Contenu d’un certificat=
Les certificats de serveur TLS contiennent les informations suivantes :
*'''Nom du sujet :''' contient des attributs optionnels comme le nom du site web et d’autres informations sur l’organisation qui détient le certificat.
*'''Nom de l’émetteur :''' identifie l’entité AC qui a émis le certificat.
*'''Validité :''' affiche la période de validité du certificat.
*'''Nom alternatif du sujet du certificat :''' énumère les adresses de sites web pour lesquels le certificat est valide.
*'''Informations sur la clé publique :''' énumère les attributs de la clé publique du certificat.
*'''Numéro de série :''' identifie de façon unique le certificat.
*'''Algorithme de signature :''' algorithme créé pour générer la signature.
*'''Empreintes numériques :''' hachage du fichier du certificat au format binaire [https://wiki.openssl.org/index.php/DER DER]*.
*'''Utilisations de la clé''' et '''Utilisations étendues de la clé :''' spécifient l’utilisation possible du certificat par les gens, comme réaliser l’authentification TLS du serveur web.
*'''Identifiant de clé du sujet :''' un identifiant généré à partir de la clé publique du certificat TLS, comme moyen d’identifier le certificat.
*'''Identifiant de clé de l’autorité :''' un identifiant généré à partir de la clé publique de l’AC, moyen d’identifier la clé publique correspondant à la clé privée utilisée pour signer le certificat.
*'''Points de terminaison CRL :''' les emplacements de la [https://fr.wikipedia.org/wiki/Liste_de_r%C3%A9vocation_de_certificats liste de révocation des certificats (''Certificate Revocation List'', CRL)] de l’AC émettrice.
*'''Informations sur l’autorité :''' contient la méthode de validation pour les fichiers de l’autorité du certificat et le certificat intermédiaire.
*'''Politiques du certificat :''' contient des pointeurs vers le type de certificat TLS (c’est-à-dire des informations vérifiées quand le certificat a été émis).
*'''SCT intégrés :''' énumère les [https://www.globalsign.com/en/blog/what-is-certificate-transparency horodatages des certificats signés]* (''Signed Certificate Timestamps'', SCT).
''(*) Document en anglais''
=Certificats problématiques=
Lorsque vous naviguez sur un site web dont l’adresse commence par '''https''' et qu’est détecté un problème avec le certificat TLS, le navigateur affiche une page d’erreur. Quelques erreurs de certificat courantes sont décrites dans l’article [[What does "Your connection is not secure" mean?]]
Pour afficher le certificat qui pose problème, suivez ces instructions :
#Sur la page d’avertissement, cliquez sur {button Avancé…}
#;[[Image:Fx134SecurityWarning]]
#Cliquez sur '''Afficher le certificat'''.
#;[[Image:Fx134SecurityWarning-ViewCert]]
#Le mauvais certificat s’affiche alors.
<!-- see discussion
=Supprimer les certificats=
Vous pouvez supprimer des certificats en procédant comme suit :
#[[Template:optionspreferences]]
#Cliquez sur {menu Vie privée et sécurité} dans le panneau de gauche.
#Faites défiler jusqu’à la section '''Certificats'''.
#Cliquez sur le bouton {button Afficher les certificats…}
#;La fenêtre '''Gestionnaire de certificats''' s’affiche avec l’onglet {menu Vos certificats} sélectionné par défaut, qui contient une liste des certificats associés.
#Cliquez sur un certificat de la liste.
#Cliquez sur le bouton {button Supprimer…} en bas de la fenêtre contextuelle.
#;Une fenêtre de confirmation s’affiche.
#Cliquez sur le bouton {button OK}
#;Le certificat ne s’affiche plus dans l’onglet {menu Vos certificats}
-->