Mail - A propos du certificat de cryptage

Lorsque l’on se connecte la première fois sur l’interface web sécurisée de samizdat.net [1] le navigateur affiche une fenêtre avec une « Alerte de sécurité » (Internet Explorer) ou une annonce de « Nouveau certificat de site » (Firefox, Mozilla et dérivés).

Vous venez d’arriver sur des pages web sécurisée (voir à la fin pour quelques explications techniques), c’est-à-dire que la totalité des échanges entre votre ordinateur et le serveur est cryptée, ce qui permet de préserver la confidentialité des données sensibles échangées (le mot de passe par exemple). Ceci repose sur un certificat qui doit être accepté par le navigateur.

Que dois-je faire ?

Dans Firefox ou Mozilla il suffit d’accepter de façon permanente le certificat de cryptage du site pour que cela fonctionne une fois pour toute... du moins jusqu’à ce que nous changions éventuellement le certificat de cryptage pour raisons de sécurité. Il suffit de suivre les indications affichées à l’écran...

Le problème avec Internet Explorer : sous Windows il demande de valider le certificat à chaque connexion (c’est pénible) ; sous MacOS 9 il refuse purement et simplement de valider le certificat... et la connexion n’est alors pas sécurisée, voir impossible. Sous MacOS X.. il n’y a plus Internet Explorer !

Comment faire pour régler ce problème ?

Avant de donner la solution, il faut tout de même rappeler que la sécurité informatique est un gros business juteux, et que normalement pour offrir le « service » d’un accès sécurisé il faut acheter la validation de son certificat. D’autre part, des entreprises payent des sommes faramineuses à Microsoft pour être dans la liste des organismes validés. Si vous n’êtes pas dans cette listes, le navigateur renacle en posant à chaque fois des questions stupides...

Les navigateurs normaux (Firerfox, Konqueror, Camino, Safari, etc. il y a le choix) avertissent l’utilisateur, mais prévoient que celui-ci puisse ajouter lui-même l’autorité de certification dans son magasin de certificats : il suffit de suivre la procédure.

Faut-il préciser que sur samizdat.net nous n’avons rien payé à personne :-)) et que nous nous sommes validé nous-même notre certificat...

Procédure pour Internet Explorer

Comme Internet Explorer est psychorigide (en clair, prend ses utilisateurs pour des cons), Il faut donc lui forcer un peu la main. Voici la procédure à suivre :

  • Se connecter à l’URL http://www.samizdat.net/racine/ie-c... pour télécharger en local le certificat d’authentification.
  • A la question : « Vous avez choisi de télécharger un fichier à partir de cet emplacement ca.der de www.samizdat.net que voulez vous faire de ce fichier ? »
    • Cocher : Ouvrir ce fichier à partir de son emplacement actuel.
    • Puis valider (cliquer sur OK).
  • Une nouvelle fenêtre apparaît avec des informations diverses (Emis par et pour PolitBuro, etc.). Vous pouvez lire, mais c’est optionel, et dans notre cas beaucoup d’infos son fantaisistes, puisque nous certifions nous-même !
    • Cliquer ensuite sur : « Installer le certificat ».
  • Une fenêtre « Assistant Importation du gestionnaire de certificat » apparaît. Cliquer sur « Suivant ».
  • A la fenêtre suivante, cliquer de suite sur « Suivant » (laisser l’option choisie par défaut). Cliquer sur « Terminer ».
  • Fenêtre : « Enregistrement de certificat racine. » Cliquer sur : « Oui », puis deux fois sur « OK ».

That’s all folks. Bon, cela dit, il vaut mieux quand même envisager de passer à un autre navigateur (même si vous êtes sous Windows ou MacOS) : Firefox, Mozilla, Konqueror, Camino, Flock, etc.

Vérifier que la connexion est cryptée

La sécurisation d’une page Web peut se vérifier en un clin d’oeil dans le navigateur. Voici comment :

  • Un simple coup d’oeil sur l’URL de la page dans la barre d’adresse permet donc d’en avoir confirmation : l’adresse commence par un prefixe https :// et non http:// comme d’habitude.
  • Sur certains navigateurs un cadenas fermé ou une clef non-brisée (versions anciennes de Netscape) s’affiche en bas de la fenêtre du logiciel. Un double-clic sur le cadenas fait apparaître les informations concernant le certificat.

Il est aussi possible de consulter les informations sur la page en cours : sécurisation activée ou non, niveau de cryptage, accès au certificat, etc. Dans Firefox : menu « Outils », « Informations sur la page », « sécurité ».

En savoir un peu plus

Standart de sécurisation de la couche de transport des informations développé par Netscape, le protocole SSL (Secure Socket Layer) (appelé aussi désormais TLS pour Transport Socket Layer) assure la confidentialité (à l’aide de la cryptographie) et l’intégrité des données échangés ; l’authentification du serveur et optionellement celle du client pour le serveur (par exemple à l’aide de certificats d’identité). SSL peut ainsi être utilisé pour les connexions HTTP (web) mais aussi LDAP (annuaire), FTP (transfert de fichiers), SMTP ou encore IMAP (e-mail).

Les trois fonctionnalités de SSL sont :

- Authentification du serveur : cela permet à un utilisateur d’avoir une confirmation de l’identité d’un serveur. En effet un programme client SSL utilise des méthodes de chiffrement à clé publique pour vérifier si le certificat et l’identité publique fournis par le serveur sont valides. Cette fonctionnalité est importante dans la mesure où le client doit envoyer des données confidentielles comme son numéro de carte bleue.

- Authentification du client : la technique est ici exactement la même que pour l’authentification du serveur. Cela peut servir si le serveur envoie des informations importantes à un client, qui doit, dans ce cas être authentifier.

- Chiffrement des données : toutes les données issues de l’entité émettrice sont chiffrées et déchiffrées par l’entité réceptrice, ce qui permet de garantir la confidentialité des données. Ce mécanisme permet également de garantir l’intégrité des données.

Enfin, la version de SSL utilisée sur samizdat.net est OpenSSL [2], une implémentation libre de SSL (licence Apache). Elle utilise une clef de cryptage 128 bits.

Notes

[1] https://www.samizdat.net

[2] The OpenSSL Project - http://www.openssl.org

lundi 15 septembre 2008, par Root