| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente |
| autoritecertif [2022/09/28 18:44] – [Le rôle de l'autorité] admin | autoritecertif [2025/02/14 16:19] (Version actuelle) – [Le certificat garanti] administrateur |
|---|
| Toutefois, avoir une connexion chiffrée ne suffit pas pour garantir la sécurité : il faut aussi avoir la <wrap em>garantie que la connexion est de confiance</wrap>, sinon, bien que l'échange soit **//confidentiel//**, les données sont envoyées vers un serveur éventuellement malveillant. | Toutefois, avoir une connexion chiffrée ne suffit pas pour garantir la sécurité : il faut aussi avoir la <wrap em>garantie que la connexion est de confiance</wrap>, sinon, bien que l'échange soit **//confidentiel//**, les données sont envoyées vers un serveur éventuellement malveillant. |
| |
| C'est là qu'intervient l'[[https://fr.wikipedia.org/wiki/Autorit%C3%A9_de_certification|autorité de certification]] qui peut-être mise en place en interne grace à [[easyrsaCA|Easy-rsa]]. | C'est là qu'intervient l'[[https://fr.wikipedia.org/wiki/Autorit%C3%A9_de_certification|autorité de certification]] qui peut-être mise en place en interne grâce à [[easyrsaCA|Easy-rsa]]. |
| |
| | ==== Le certificat garanti ==== |
| | Le certificat délivré par l'Autorité de Certification est un objet numérique qui est limité à tout ou partie des points suivants : |
| | * pour une durée de vie déterminée |
| | * pour un usage particulier (un FQDN précis, une adresse IP, un nom de domaine) |
| | * pour une entreprise exacte |
| | * par un organisme de confiance (Autorité) |
| | |
| | Le navigateur affichera un message en fonction du non-respect de l'un ou l'autre des points : |
| | * certificat <wrap em> périmé </wrap> |
| | * <wrap em>nom de serveur incorrect</wrap> |
| | * <wrap em>nom de domaine incorrect</wrap> |
| | * <wrap em>certificat auto-signé</wrap> |
| | * <wrap em>autorité non reconnue</wrap> |
| | |
| | On trouvera des explications sur https://www.ssl.com/fr/guide/d%C3%A9pannage-des-erreurs-et-des-avertissements-du-navigateur-ssl-tls/ |
| ===== Le rôle de l'autorité ===== | ===== Le rôle de l'autorité ===== |
| <WRAP center round tip 90%> | <WRAP center round tip 90%> |
| |
| Une **//autorité de certification//** est un **//service//** chargé de : | Une **//autorité de certification//** est un **//service//** chargé de : |
| * **délivrer des éléments de sécurité** (clé privée, certificat public) dont l'<wrap em>authenticité</wrap> est contrôlée (vérification de la détention du nom de domaine, de l'existence réelle de l'entreprise, etc), aussi bien pour des individus, des matériels ou des services | * **délivrer des éléments de sécurité** (certificat public) dont l'<wrap em>authenticité</wrap> est contrôlée (vérification de la détention du nom de domaine, de l'existence réelle de l'entreprise, etc), aussi bien pour des individus, des matériels ou des services |
| * **maintenir la liste des certificats garantis à jour** : les certificats peuvent être révoqués, l'AC doit maintenir cela à jour dans une LCR (liste des certificats révoqués) ou CRL (Certificates revocation list) qu'il faut propager auprès des utilisateurs | * **maintenir la liste des certificats garantis à jour** : les certificats peuvent être révoqués, l'AC doit maintenir cela à jour dans une LCR (liste des certificats révoqués) ou CRL (Certificates revocation list) qu'il faut propager auprès des utilisateurs |
| * **vérifier** si un <wrap em>certificat</wrap> reçu par un utilisateur, un matériel ou un service dans le cadre d'un échange chiffré est fiable et donc si la **//communication est de confiance//**. | * **vérifier** si un <wrap em>certificat</wrap> reçu par un utilisateur, un matériel ou un service dans le cadre d'un échange chiffré est fiable et donc confirmer ou non que la **//communication est de <wrap em>confiance</wrap>//**. |
| |
| ===== Fonctionnement ===== | ===== Fonctionnement ===== |
| ==== 1 Production et distribution des éléments de sécurité ===== | ==== 1 Production et distribution des éléments de sécurité ===== |
| Pour garantir l'identité d'une organisation, l'AC s'appuie sur trois phases : | Pour garantir l'identité d'une organisation, l'AC s'appuie sur trois phases : |
| * <wrap em>Enregistrement de la demande</wrap> : un **rôle d'autorité d'enregistrement** (ou RA Registry Authority) reçoit des demandes de validation au format CSR (Certificate Signing request) émise par une entreprise (ou depuis un serveur/machine interne). Il s'agit d'un fichier numérique **//.csr//** généré à partir de la clé privée de l'entreprise demandeuse. | * <wrap em>Enregistrement de la demande</wrap> : un **rôle d'autorité d'enregistrement** (ou RA Registry Authority) reçoit des demandes de validation au format CSR (Certificate Signing request) émise par une entreprise (ou depuis un serveur/machine interne). Il s'agit d'un fichier numérique **//.csr//** généré à <wrap em>partir de la clé privée de l'entreprise demandeuse </wrap>. |
| * <wrap em>Validation</wrap> : les personnels de l'organisme certificateur sont chargés de contrôler l'identité de l'émetteur par divers moyens (vérification d'une adresse mail, d'un nom de domaine, d'un numéro de SIRET/SIREN, du KBis de l'entreprise, etc). En fonction de l'étude, cette validation peut être acceptée ou rejetée | * <wrap em>Validation</wrap> : les personnels de l'organisme certificateur sont chargés de contrôler l'identité de l'émetteur par divers moyens (vérification d'une adresse mail, d'un nom de domaine, d'un numéro de SIRET/SIREN, du KBis de l'entreprise, etc). En fonction de l'étude, cette validation peut être acceptée ou rejetée |
| * <wrap em>Certification</wrap> : c'est l'étape finale, faites par le **rôle autorité de certification** : le fichier au format CSR soumis par l'entreprise demandeuse est signé <wrap em>par la clé privée de l'AC</wrap>, ce qui garantit son authenticité (seule l'AC dispose de cette clé privée et peut créer le fichier de sortie). Le fichier ainsi produit est un certificat public. | * <wrap em>Certification</wrap> : c'est l'étape finale, faites par le **rôle autorité de certification** : le fichier au format CSR soumis par l'entreprise demandeuse est signé <wrap em>par la clé privée de l'AC</wrap>, ce qui garantit son authenticité (seule l'AC dispose de cette clé privée et peut créer le fichier de sortie). Le fichier ainsi produit est un certificat public. |
| Le trafic généré par les validations de certificats est important : demande à chaque connexion pour chaque ordinateur du réseau, récupération des dernières versions des certificats publics connus par chaque autorité, etc. | Le trafic généré par les validations de certificats est important : demande à chaque connexion pour chaque ordinateur du réseau, récupération des dernières versions des certificats publics connus par chaque autorité, etc. |
| |
| Pour alléger l'activité des serveurs autorité, le protocole [[https://fr.wikipedia.org/wiki/Online_Certificate_Status_Protocol|OCSP]] (Online Certificate Status Protocol) ajoute un niveau intermédiaire. Les serveurs OCSP gardent une information actualisée pour la mettre à disposition des navigateurs des utilisateurs. Ils font donc un travail commun à l'ensemble des postes à la façon d'un relais. | De plus, les certificats peuvent être révoqués, il faut donc s'assurer que ceux-ci ne sont plus reconnus par les postes utilisateurs. Ce maintien d'un système actualisé est difficile à assurer lorsque chaque poste qui a enregistré un certificat lui fait confiance pour toute la durée de validité. |
| | |
| | Pour alléger l'activité des serveurs autorité et garder le système PKI à jour, le protocole [[https://fr.wikipedia.org/wiki/Online_Certificate_Status_Protocol|OCSP]] (Online Certificate Status Protocol) ajoute un niveau intermédiaire. Les serveurs OCSP gardent une information actualisée pour la mettre à disposition des navigateurs des utilisateurs. Ils font donc un travail commun à l'ensemble des postes à la façon d'un relais. |
| |
| Cela permet d'éviter que les clients (navigateurs) ne conservent des listes obsolètes et permet de maintenir l'infrastructure PKI dans un état fiable. | Cela permet d'éviter que les clients (navigateurs) ne conservent des listes obsolètes et permet de maintenir l'infrastructure PKI dans un état fiable. Même sur un poste qui a enregistré un certificat authentique, une demande systématique est faite auprès d'un serveur OCSP avant de faire confiance. |
| |
| Les serveurs OCSP font donc le travail de **contrôle de la validité des certificats** à la demande des clients. On parle d'<wrap em>autorité de validation</wrap>. | Les serveurs OCSP font donc le travail de **contrôle de la validité des certificats** à la demande des clients. On parle d'<wrap em>autorité de validation</wrap>. |
| |
| |