Outils pour utilisateurs

Outils du site


autoritecertif

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision
Révision précédente
autoritecertif [2022/09/28 15:06] – [1 Production et distribution des éléments de sécurité] adminautoritecertif [2023/11/26 14:00] (Version actuelle) – [Le certificat garanti] admin
Ligne 7: Ligne 7:
 Toutefois, avoir une connexion chiffrée ne suffit pas pour garantir la sécurité : il faut aussi avoir la <wrap em>garantie que la connexion est de confiance</wrap>, sinon, bien que l'échange soit **//confidentiel//**, les données sont envoyées vers un serveur éventuellement malveillant.  Toutefois, avoir une connexion chiffrée ne suffit pas pour garantir la sécurité : il faut aussi avoir la <wrap em>garantie que la connexion est de confiance</wrap>, sinon, bien que l'échange soit **//confidentiel//**, les données sont envoyées vers un serveur éventuellement malveillant. 
  
-C'est là qu'intervient l'[[https://fr.wikipedia.org/wiki/Autorit%C3%A9_de_certification|autorité de certification]]. +C'est là qu'intervient l'[[https://fr.wikipedia.org/wiki/Autorit%C3%A9_de_certification|autorité de certification]] qui peut-être mise en place en interne grâce à [[easyrsaCA|Easy-rsa]]. 
  
 +==== Le certificat garanti ====
 +Le certificat délivré par l'Autorité de Certification est un objet numérique qui est limité à tout ou partie des points suivants : 
 +  * pour une durée de vie déterminée
 +  * pour un usage particulier (un FQDN précis, une adresse IP, un nom de domaine)
 +  * pour une entreprise exacte
 +  * par un organisme de confiance (Autorité) 
 +
 +Le navigateur affichera un message en fonction du non-respect de l'un ou l'autre des points : 
 +  * certificat <wrap em> périmé </wrap>
 +  * <wrap em>nom de serveur incorrect</wrap>
 +  * <wrap em>nom de domaine incorrect</wrap>  
 +  * <wrap em>certificat auto-signé ou autorité non reconnue</wrap>
 +
 +On trouvera des explications sur https://www.ssl.com/fr/guide/d%C3%A9pannage-des-erreurs-et-des-avertissements-du-navigateur-ssl-tls/
 ===== Le rôle de l'autorité ===== ===== Le rôle de l'autorité =====
 <WRAP center round tip 90%> <WRAP center round tip 90%>
-L'autorité de certification est une des méthodes de mise en place d'<wrap em>infrastructure à clé publique</wrap> ([[https://fr.wikipedia.org/wiki/Infrastructure_%C3%A0_cl%C3%A9s_publiques|ICP]]) ou de <wrap em>public key infrastructure</wrap> (PKI). C'est la technique qui s'applique pour les <wrap em>certificats normalisés au format X.509</wrap>.+L'autorité de certification (AC) est une des méthodes de mise en place d'<wrap em>infrastructure à clé publique</wrap> ([[https://fr.wikipedia.org/wiki/Infrastructure_%C3%A0_cl%C3%A9s_publiques|ICP]]) ou de <wrap em>public key infrastructure</wrap> (PKI). C'est la technique qui s'applique pour les <wrap em>certificats normalisés au format X.509</wrap>.
 </WRAP> </WRAP>
  
Ligne 17: Ligne 31:
  
 Une **//autorité de certification//** est un **//service//** chargé de : Une **//autorité de certification//** est un **//service//** chargé de :
-  * **délivrer des éléments de sécurité** (clé privée, certificat public) dont l'<wrap em>authenticité</wrap> est contrôlée (vérification de la détention du nom de domaine, de l'existence réelle de l'entreprise, etc), aussi bien pour des individus, des matériels ou des services +  * **délivrer des éléments de sécurité** (certificat public) dont l'<wrap em>authenticité</wrap> est contrôlée (vérification de la détention du nom de domaine, de l'existence réelle de l'entreprise, etc), aussi bien pour des individus, des matériels ou des services 
-  * **vérifier** si un <wrap em>certificat</wrap> reçu par un utilisateur, un matériel ou un service dans le cadre d'un échange chiffré est fiable et donc si la **//communication est de confiance//**. +  * **maintenir la liste des certificats garantis à jour** : les certificats peuvent être révoqués, l'AC doit maintenir cela à jour dans une LCR (liste des certificats révoqués) ou CRL (Certificates revocation list) qu'il faut propager auprès des utilisateurs 
 +  * **vérifier** si un <wrap em>certificat</wrap> reçu par un utilisateur, un matériel ou un service dans le cadre d'un échange chiffré est fiable et donc confirmer ou non que la **//communication est de <wrap em>confiance</wrap>//**. 
  
 ===== Fonctionnement ===== ===== Fonctionnement =====
-La garantie réalisée par l'autorité se déroule en deux étapes : +La garantie réalisée par l'autorité se déroule en deux étapes indépendantes 
   - production et distribution des éléments de sécurité   - production et distribution des éléments de sécurité
   - exécution d'une demande de vérification sur une identité (certificat)   - exécution d'une demande de vérification sur une identité (certificat)
Ligne 27: Ligne 42:
 ==== 1 Production et distribution des éléments de sécurité ===== ==== 1 Production et distribution des éléments de sécurité =====
 Pour garantir l'identité d'une organisation, l'AC s'appuie sur trois phases :  Pour garantir l'identité d'une organisation, l'AC s'appuie sur trois phases : 
-  * <wrap em>Enregistrement de la demande</wrap> : un **rôle d'autorité d'enregistrement** (ou RA Registry Authority) reçoit des demandes de validation au format CSR (Certificate Signing request) émise par une entreprise (ou depuis un serveur/machine interne). Il s'agit d'un fichier numérique **//.csr//** généré à partir de la clé privée de l'entreprise demandeuse. +  * <wrap em>Enregistrement de la demande</wrap> : un **rôle d'autorité d'enregistrement** (ou RA Registry Authority) reçoit des demandes de validation au format CSR (Certificate Signing request) émise par une entreprise (ou depuis un serveur/machine interne). Il s'agit d'un fichier numérique **//.csr//** généré à <wrap em>partir de la clé privée de l'entreprise demandeuse </wrap>
-  * <wrap em>Validation</wrap>un **rôle d'autorité de validation** est chargé de contrôler l'identité de l'émetteur par divers moyens (vérification d'une adresse mail, d'un nom de domaine, d'un numéro de SIRET/SIREN, du KBis de l'entreprise, etc). En fonction de l'étude, cette validation peut être acceptée ou rejetée+  * <wrap em>Validation</wrap>les personnels de l'organisme certificateur sont chargés de contrôler l'identité de l'émetteur par divers moyens (vérification d'une adresse mail, d'un nom de domaine, d'un numéro de SIRET/SIREN, du KBis de l'entreprise, etc). En fonction de l'étude, cette validation peut être acceptée ou rejetée
   * <wrap em>Certification</wrap> : c'est l'étape finale, faites par le **rôle autorité de certification** : le fichier au format CSR soumis par l'entreprise demandeuse est signé <wrap em>par la clé privée de l'AC</wrap>, ce qui garantit son authenticité (seule l'AC dispose de cette clé privée et peut créer le fichier de sortie). Le fichier ainsi produit est un certificat public.   * <wrap em>Certification</wrap> : c'est l'étape finale, faites par le **rôle autorité de certification** : le fichier au format CSR soumis par l'entreprise demandeuse est signé <wrap em>par la clé privée de l'AC</wrap>, ce qui garantit son authenticité (seule l'AC dispose de cette clé privée et peut créer le fichier de sortie). Le fichier ainsi produit est un certificat public.
  
-A la fin du processus, l'organisme certificateur retourne à l'entreprise demandeuse le certificat garanti qu'il a généré. +A la fin du processus, l'organisme certificateur retourne à l'entreprise demandeuse le certificat garanti qu'il a généré. L'entreprise peut alors l'intégrer au service ou serveur ou le fournir à l'individu pour lequel elle a fait la demande. 
 + 
 +==== 2 Vérification d'un certificat ==== 
 +Lorsque les individus naviguent sur un site sécurisé, ils reçoivent de la part de ce site le certificat public qu'il héberge.  
 + 
 +Grâce à un **//magasin d'autorités//** connu par le navigateur, ce dernier va demander à l'AC déclarée dans le certificat public si le document est authentique.  
 + 
 +L'AC va vérifier dans la liste des certificats qu'elle a généré si le document est conforme :  
 +  * toujours valide ou expiré 
 +  * le FQDN est celui enregistré initialement 
 +  * l'utilisation prévue (par exemple HTTPS) est conforme 
 +  * l'<wrap em>empreinte du certificat</wrap> est la même que celle enregistrée lors de la génération(contrôle de l'<wrap em>intégrité</wrap>
 + 
 +=== Amélioration du fonctionnement : Protocole OCSP === 
 +Le trafic généré par les validations de certificats est important : demande à chaque connexion pour chaque ordinateur du réseau, récupération des dernières versions des certificats publics connus par chaque autorité, etc.  
 + 
 +De plus, les certificats peuvent être révoqués, il faut donc s'assurer que ceux-ci ne sont plus reconnus par les postes utilisateurs. Ce maintien d'un système actualisé est difficile à assurer lorsque chaque poste qui a enregistré un certificat lui fait confiance pour toute la durée de validité. 
 + 
 +Pour alléger l'activité des serveurs autorité et garder le système PKI à jour, le protocole [[https://fr.wikipedia.org/wiki/Online_Certificate_Status_Protocol|OCSP]] (Online Certificate Status Protocol) ajoute un niveau intermédiaire. Les serveurs OCSP gardent une information actualisée pour la mettre à disposition des navigateurs des utilisateurs. Ils font donc un travail commun à l'ensemble des postes à la façon d'un relais.  
 + 
 +Cela permet d'éviter que les clients (navigateurs) ne conservent des listes obsolètes et permet de maintenir l'infrastructure PKI dans un état fiable. Même sur un poste qui a enregistré un certificat authentique, une demande systématique est faite auprès d'un serveur OCSP avant de faire confiance. 
 + 
 +Les serveurs OCSP font donc le travail de **contrôle de la validité des certificats** à la demande des clients. On parle d'<wrap em>autorité de validation</wrap>
 + 
  
  
  
  
autoritecertif.1664377576.txt.gz · Dernière modification : 2022/09/28 15:06 de admin