Apparement vous n'utilisez pas de bloqueur de publicité.
La publicité pollue nos écrans, nos pensées et nous impose une vision stéréotypée de la société.
Elle ralentit l'affichage des autres contenus et consomme de l'énergie inutilement.
Elle rend dépendants la presse, les créatrices et créateurs, vidant nos médias de leur diversité.
Elle surveille toutes nos actions en ligne pour déceler nos faiblesses et nous pousser à surconsommer.
Pour ton esprit, ta planète, ta culture et ta vie privée, bloque la pub.

Blog de Djan GICQUEL

Informagicien, crypto-convaincu, adorateur des internets 2.0, des chats et des logiciels libres

Comprendre le certificat https

Publié le jeudi 8 octobre 2015, par Djan

Mis à jour le jeudi 18 février 2016

Mots clés : https, sécurité, vulgarisation - éducation populaire (AI²),

Dans un précédent article j’expliquais pourquoi le certificat pouvait être invalide au yeux du navigateur et comment fonctionnait le système actuel de certificat. Il n’est pas basé sur la confiance que vous avez dans le site mais sur la confiance que les éditeurs des navigateurs web accordent à des entreprises commerciales pour vendre des certificats. Les organisations comme Mozilla, Google ou Microsoft installe par défaut les certificats racine des revendeurs de certificats. (Verisign, Comodo, Geotrust, Symantec...) Ces entreprises font ensuite payer des certificats (parfois très cher) pour délivrer des certificats aux éditeurs de sites web (comme moi). Plus on paie cher, plus le niveau de vérification (qui demande le certificats, cette personne existe-elle réellement) est élevé. Mais cela ne nous donne pas plus d’indication sur la sécurité de la connexion.

Vérifier les informations d’un certificat

Je me propose de vous apprendre à vérifier un certificat https manuellement. Toute les manipulations seront réalisés sur le navigateur Firefox.

Rendez-vous au hasard sur une page web sécurisé. Dans l’exemple suivant je vais utiliser le site du moteur de recherche Duckduckgo. Cliquez sur le petit cadenas dans la barre d’adresse puis sur « Plus d’informations ». Dans l’onglet « Sécurité » cliquez sur « Afficher le certificat ».

Certificat Duckduckgo
Regardons ensemble ce qu’on y trouve.
Le certificat est vérifié pour les utilisations Client et Serveur.

Section « Émis pour »

On retrouve les détails du site web que vous visitez.
Nom commun : c’est généralement l’URL du site web que l’on visite. Elle peut comporter une étoile pour signifier que tous les sous-domaines sont inclus dans le certificat
Organisation : C’est l’entreprise, association, fondation, gouvernement...qui est propriétaire du site web.
Unité d’organisation : c’est le service concerné par le certificat (pour les sites web grand public ce champ n’est généralement pas utilisé)
Numéro de série : ce numéro est attribué de façon automatique par le vendeur de certificat. Il permet d’avoir une traçabilité sur les certificats vendus

Section « Émis par »

C’est l’organisation qui a produit le certificat
Nom commun : C’est le nom du serveur ou du site qui délivre le certificat.
Organisation : C’est le nom de l’organisme qui délivre le certificat. Pour le site Duckduckgo c’est DigiCert, une société en sécurité très populaire au même titre de Verisign, Geotrust ou Comodo.
Unité d’organisation : c’est le service de l’organisation qui a vendu le certificat (tout comme la section précédente ce champ n’est généralement pas utilisé)

Le cas d’une attaque Homme du milieu

Dans les entreprise il n’est pas rare que l’autorité émettrice du certificat soit l’entreprise elle-même en lieu et place de l’autorité de certification classique. Cela devrait provoquer une alerte dans le navigateur mais les postes professionnel intègre les certificats signé par les autorités des entreprises. Lorsque cela arrive l’administrateur réseau de l’entreprise peut potentiellement avoir un accès en clair à toutes les communication chiffrés.

Aller plus loin, vérifier la sécurité d’un serveur

Si le certificat est bien vérifié il identifie correctement le site web et éventuellement le ou les éditeur du site. Mais il ne donne pas d’information sur la sécurité du serveur.

Aeris à pris sur lui de vérifier la sécurité des serveur de certains gros site. Le résultat est alarmant. Dans ce tableau on peut voir par exemple que les serveurs des banques ne sont pas correctement sécurisé, lorsque des sites personnels qui brassent moins de visiteurs et qui sont généralement maintenu par une seul personne le sont.

Mon site par exemple, hébergé sur les serveurs d’EuroWH a vu sa note augmenter lorsque j’ai parlé au support du problème des suites de chiffrement obsolètes.

Pour tester un serveur vous pouvez utiliser les outils de SSLABS ainsi que l’outil développé par Aeris à savoir CryptCheck (plus rigoureux en terme de notation).

Merci Aeris pour la relecture.

Un message, un commentaire ?

Note : Ce forum n'est pas un espace SAV. Merci de soumettre vos problèmes sur un forum spécialisé en rapport avec votre question. Si la question concerne un script que j'ai écrit merci de me contacter par courriel.

Qui êtes-vous ?
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Lien hypertexte

(Si votre message se réfère à un article publié sur le Web, ou à une page fournissant plus d’informations, vous pouvez indiquer ci-après le titre de la page et son adresse.)


Dernières brèves

Libre à vous #159 sur Mastodon (réseau social libre et décentralisé) 6 décembre

Les antivirus sous Windows c’est le mal ! 2 décembre

Chiffrement de messagerie instantanée : à quel protocole se vouer ? 28 novembre

Google est en train de verrouiller progressivement Android 27 novembre

Matrix vs XMPP 11 novembre

Dois-je éteindre le wifi pour sauver la planète ? 22 octobre

Sobriété : manifeste pour une slow.tech 6 octobre

Ccleaner un malware/adware 2 octobre

Le danger des Smartphones 18 septembre

Firefox lance la Protection Totale contre les Cookies par défaut pour ses utilisateurs et utilisatrices du monde entier 18 juin


Articles populaires

Rechercher

Agenda du libre en Alsace

Vandœuvre-lès-Nancy : Permanence post-Installons Linux !, Le samedi 10 décembre 2022 de 10h00 à 12h00.

Maxéville : Chmod et chown, Le vendredi 9 décembre 2022 de 20h30 à 23h55.

Vandœuvre-lès-Nancy : Rencontre des AFCCLVN, Le jeudi 1 décembre 2022 de 19h30 à 22h00.

Vandœuvre-lès-Nancy : Hackage d’un bios, Le samedi 17 décembre 2022 de 10h00 à 12h00.

Wintzenheim : Réunion du Club Linux, Le samedi 22 avril 2023 de 13h00 à 19h00.


no-gafam-zone
Onestlà!
Web0 manifesto