Blog de Djan GICQUEL

Informagicien, crypto-convaincu, adorateur des internets 2.0, des chats et des logiciels libres

Comprendre le certificat https

Publié le jeudi 8 octobre 2015, par Djan

Mis à jour le jeudi 18 février 2016

Mots clés : https, sécurité, vulgarisation - éducation populaire (AI²),

Dans un précédent article j’expliquais pourquoi le certificat pouvait être invalide au yeux du navigateur et comment fonctionnait le système actuel de certificat. Il n’est pas basé sur la confiance que vous avez dans le site mais sur la confiance que les éditeurs des navigateurs web accordent à des entreprises commerciales pour vendre des certificats. Les organisations comme Mozilla, Google ou Microsoft installe par défaut les certificats racine des revendeurs de certificats. (Verisign, Comodo, Geotrust, Symantec...) Ces entreprises font ensuite payer des certificats (parfois très cher) pour délivrer des certificats aux éditeurs de sites web (comme moi). Plus on paie cher, plus le niveau de vérification (qui demande le certificats, cette personne existe-elle réellement) est élevé. Mais cela ne nous donne pas plus d’indication sur la sécurité de la connexion.

Vérifier les informations d’un certificat

Je me propose de vous apprendre à vérifier un certificat https manuellement. Toute les manipulations seront réalisés sur le navigateur Firefox.

Rendez-vous au hasard sur une page web sécurisé. Dans l’exemple suivant je vais utiliser le site du moteur de recherche Duckduckgo. Cliquez sur le petit cadenas dans la barre d’adresse puis sur « Plus d’informations ». Dans l’onglet « Sécurité » cliquez sur « Afficher le certificat ».

Certificat Duckduckgo
Regardons ensemble ce qu’on y trouve.
Le certificat est vérifié pour les utilisations Client et Serveur.

Section « Émis pour »

On retrouve les détails du site web que vous visitez.
Nom commun : c’est généralement l’URL du site web que l’on visite. Elle peut comporter une étoile pour signifier que tous les sous-domaines sont inclus dans le certificat
Organisation : C’est l’entreprise, association, fondation, gouvernement...qui est propriétaire du site web.
Unité d’organisation : c’est le service concerné par le certificat (pour les sites web grand public ce champ n’est généralement pas utilisé)
Numéro de série : ce numéro est attribué de façon automatique par le vendeur de certificat. Il permet d’avoir une traçabilité sur les certificats vendus

Section « Émis par »

C’est l’organisation qui a produit le certificat
Nom commun : C’est le nom du serveur ou du site qui délivre le certificat.
Organisation : C’est le nom de l’organisme qui délivre le certificat. Pour le site Duckduckgo c’est DigiCert, une société en sécurité très populaire au même titre de Verisign, Geotrust ou Comodo.
Unité d’organisation : c’est le service de l’organisation qui a vendu le certificat (tout comme la section précédente ce champ n’est généralement pas utilisé)

Le cas d’une attaque Homme du milieu

Dans les entreprise il n’est pas rare que l’autorité émettrice du certificat soit l’entreprise elle-même en lieu et place de l’autorité de certification classique. Cela devrait provoquer une alerte dans le navigateur mais les postes professionnel intègre les certificats signé par les autorités des entreprises. Lorsque cela arrive l’administrateur réseau de l’entreprise peut potentiellement avoir un accès en clair à toutes les communication chiffrés.

Aller plus loin, vérifier la sécurité d’un serveur

Si le certificat est bien vérifié il identifie correctement le site web et éventuellement le ou les éditeur du site. Mais il ne donne pas d’information sur la sécurité du serveur.

Aeris à pris sur lui de vérifier la sécurité des serveur de certains gros site. Le résultat est alarmant. Dans ce tableau on peut voir par exemple que les serveurs des banques ne sont pas correctement sécurisé, lorsque des sites personnels qui brassent moins de visiteurs et qui sont généralement maintenu par une seul personne le sont.

Mon site par exemple, hébergé sur les serveurs d’EuroWH a vu sa note augmenter lorsque j’ai parlé au support du problème des suites de chiffrement obsolètes.

Pour tester un serveur vous pouvez utiliser les outils de SSLABS ainsi que l’outil développé par Aeris à savoir CryptCheck (plus rigoureux en terme de notation).

Merci Aeris pour la relecture.

Un message, un commentaire ?

Note : Ce forum n'est pas un espace SAV. Merci de soumettre vos problèmes sur un forum spécialisé en rapport avec votre question. Si la question concerne un script que j'ai écrit merci de me contacter par courriel.

Qui êtes-vous ?
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Lien hypertexte

(Si votre message se réfère à un article publié sur le Web, ou à une page fournissant plus d’informations, vous pouvez indiquer ci-après le titre de la page et son adresse.)


Dernières brèves

Firefox lance la Protection Totale contre les Cookies par défaut pour ses utilisateurs et utilisatrices du monde entier 18 juin

Le blocage des publicités selon Google 13 juin

Sortir du tout numérique pour un usage raisonné de l’outil informatique 7 juin

Wikipedia, l’encyclopédie démocratique ? 22 mai

Planter des arbres pour sauver le climat ? 18 mai

Le sénat valide la reconnaissance faciale 15 mai

CAF et dématérialisation ne font pas bon ménage 14 mai

Les 5 arnaques du marché privé de l’électricité EU 9 mai

Une politique numérique de gauche est-elle possible ? 6 mai

application d’identité numérique avec la carte d’identité numérique 30 avril


Articles populaires

Rechercher

Agenda du libre en Alsace

Vandoeuvre-lès-Nancy : Réunion OpenStreetMap, Le mercredi 28 septembre 2022 de 18h00 à 20h00.

Vandoeuvre-lès-Nancy : Réunion OpenStreetMap, Le mercredi 26 octobre 2022 de 18h00 à 20h00.

Vandoeuvre-lès-Nancy : Réunion OpenStreetMap, Le mercredi 23 novembre 2022 de 18h00 à 20h00.

Vandœuvre-lès-Nancy : Jeux éducatifs, Le vendredi 8 juillet 2022 de 14h00 à 17h00.

Vandœuvre-lès-Nancy : Jeu vidéo SuperTuxKart, Le samedi 16 juillet 2022 de 10h00 à 12h00.


no-gafam-zone
Onestlà!
Web0 manifesto