Différences

Ci-dessous, les différences entre deux révisions de la page.

--- autoritecertif [2022/09/28 16:22] – [Le besoin] admin
+++ autoritecertif [2023/11/26 14:00] (Version actuelle) – [Le certificat garanti] admin
@@ Ligne 7: / Ligne 7: @@
 Toutefois, avoir une connexion chiffrée ne suffit pas pour garantir la sécurité : il faut aussi avoir la <wrap em>garantie que la connexion est de confiance</wrap>, sinon, bien que l'échange soit **//confidentiel//**, les données sont envoyées vers un serveur éventuellement malveillant.
-C'est là qu'intervient l'[[https://fr.wikipedia.org/wiki/Autorit%C3%A9_de_certification|autorité de certification]] qui peut-être mise en place en interne grace à [[easyrsaCA|Easy-rsa]].
+C'est là qu'intervient l'[[https://fr.wikipedia.org/wiki/Autorit%C3%A9_de_certification|autorité de certification]] qui peut-être mise en place en interne grâce à [[easyrsaCA|Easy-rsa]].
+==== Le certificat garanti ====
+Le certificat délivré par l'Autorité de Certification est un objet numérique qui est limité à tout ou partie des points suivants :
+  * pour une durée de vie déterminée
+  * pour un usage particulier (un FQDN précis, une adresse IP, un nom de domaine)
+  * pour une entreprise exacte
+  * par un organisme de confiance (Autorité)
+Le navigateur affichera un message en fonction du non-respect de l'un ou l'autre des points :
+  * certificat <wrap em> périmé </wrap>
+  * <wrap em>nom de serveur incorrect</wrap>
+  * <wrap em>nom de domaine incorrect</wrap>
+  * <wrap em>certificat auto-signé ou autorité non reconnue</wrap>
+On trouvera des explications sur https://www.ssl.com/fr/guide/d%C3%A9pannage-des-erreurs-et-des-avertissements-du-navigateur-ssl-tls/
 ===== Le rôle de l'autorité =====
 <WRAP center round tip 90%>
-L'autorité de certification est une des méthodes de mise en place d'<wrap em>infrastructure à clé publique</wrap> ([[https://fr.wikipedia.org/wiki/Infrastructure_%C3%A0_cl%C3%A9s_publiques|ICP]]) ou de <wrap em>public key infrastructure</wrap> (PKI). C'est la technique qui s'applique pour les <wrap em>certificats normalisés au format X.509</wrap>.
+L'autorité de certification (AC) est une des méthodes de mise en place d'<wrap em>infrastructure à clé publique</wrap> ([[https://fr.wikipedia.org/wiki/Infrastructure_%C3%A0_cl%C3%A9s_publiques|ICP]]) ou de <wrap em>public key infrastructure</wrap> (PKI). C'est la technique qui s'applique pour les <wrap em>certificats normalisés au format X.509</wrap>.
 </WRAP>
@@ Ligne 17: / Ligne 31: @@
 Une **//autorité de certification//** est un **//service//** chargé de :
-  * **délivrer des éléments de sécurité** (clé privée, certificat public) dont l'<wrap em>authenticité</wrap> est contrôlée (vérification de la détention du nom de domaine, de l'existence réelle de l'entreprise, etc), aussi bien pour des individus, des matériels ou des services
+  * **délivrer des éléments de sécurité** (certificat public) dont l'<wrap em>authenticité</wrap> est contrôlée (vérification de la détention du nom de domaine, de l'existence réelle de l'entreprise, etc), aussi bien pour des individus, des matériels ou des services
-  * **vérifier** si un <wrap em>certificat</wrap> reçu par un utilisateur, un matériel ou un service dans le cadre d'un échange chiffré est fiable et donc si la **//communication est de confiance//**.
+  * **maintenir la liste des certificats garantis à jour** : les certificats peuvent être révoqués, l'AC doit maintenir cela à jour dans une LCR (liste des certificats révoqués) ou CRL (Certificates revocation list) qu'il faut propager auprès des utilisateurs
+  * **vérifier** si un <wrap em>certificat</wrap> reçu par un utilisateur, un matériel ou un service dans le cadre d'un échange chiffré est fiable et donc confirmer ou non que la **//communication est de <wrap em>confiance</wrap>//**.
 ===== Fonctionnement =====
@@ Ligne 27: / Ligne 42: @@
 ==== 1 Production et distribution des éléments de sécurité =====
 Pour garantir l'identité d'une organisation, l'AC s'appuie sur trois phases :
-  * <wrap em>Enregistrement de la demande</wrap> : un **rôle d'autorité d'enregistrement** (ou RA Registry Authority) reçoit des demandes de validation au format CSR (Certificate Signing request) émise par une entreprise (ou depuis un serveur/machine interne). Il s'agit d'un fichier numérique **//.csr//** généré à partir de la clé privée de l'entreprise demandeuse.
+  * <wrap em>Enregistrement de la demande</wrap> : un **rôle d'autorité d'enregistrement** (ou RA Registry Authority) reçoit des demandes de validation au format CSR (Certificate Signing request) émise par une entreprise (ou depuis un serveur/machine interne). Il s'agit d'un fichier numérique **//.csr//** généré à <wrap em>partir de la clé privée de l'entreprise demandeuse </wrap>.
   * <wrap em>Validation</wrap> : les personnels de l'organisme certificateur sont chargés de contrôler l'identité de l'émetteur par divers moyens (vérification d'une adresse mail, d'un nom de domaine, d'un numéro de SIRET/SIREN, du KBis de l'entreprise, etc). En fonction de l'étude, cette validation peut être acceptée ou rejetée
   * <wrap em>Certification</wrap> : c'est l'étape finale, faites par le **rôle autorité de certification** : le fichier au format CSR soumis par l'entreprise demandeuse est signé <wrap em>par la clé privée de l'AC</wrap>, ce qui garantit son authenticité (seule l'AC dispose de cette clé privée et peut créer le fichier de sortie). Le fichier ainsi produit est un certificat public.
@@ Ligne 47: / Ligne 62: @@
 Le trafic généré par les validations de certificats est important : demande à chaque connexion pour chaque ordinateur du réseau, récupération des dernières versions des certificats publics connus par chaque autorité, etc.
-Pour alléger l'activité des serveurs autorité, le protocole [[https://fr.wikipedia.org/wiki/Online_Certificate_Status_Protocol|OCSP]] (Online Certificate Status Protocol) ajoute un niveau intermédiaire. Les serveurs OCSP gardent une information actualisée pour la mettre à disposition des navigateurs des utilisateurs. Ils font donc un travail commun à l'ensemble des postes à la façon d'un relais.
+De plus, les certificats peuvent être révoqués, il faut donc s'assurer que ceux-ci ne sont plus reconnus par les postes utilisateurs. Ce maintien d'un système actualisé est difficile à assurer lorsque chaque poste qui a enregistré un certificat lui fait confiance pour toute la durée de validité.
+Pour alléger l'activité des serveurs autorité et garder le système PKI à jour, le protocole [[https://fr.wikipedia.org/wiki/Online_Certificate_Status_Protocol|OCSP]] (Online Certificate Status Protocol) ajoute un niveau intermédiaire. Les serveurs OCSP gardent une information actualisée pour la mettre à disposition des navigateurs des utilisateurs. Ils font donc un travail commun à l'ensemble des postes à la façon d'un relais.
-Cela permet d'éviter que les clients (navigateurs) ne conservent des listes obsolètes et permet de maintenir l'infrastructure PKI dans un état fiable.
+Cela permet d'éviter que les clients (navigateurs) ne conservent des listes obsolètes et permet de maintenir l'infrastructure PKI dans un état fiable. Même sur un poste qui a enregistré un certificat authentique, une demande systématique est faite auprès d'un serveur OCSP avant de faire confiance.
 Les serveurs OCSP font donc le travail de **contrôle de la validité des certificats** à la demande des clients. On parle d'<wrap em>autorité de validation</wrap>.