Blog de Djan GICQUEL

Informagicien, crypto-convaincu, adorateur des internets 2.0, des chats et des logiciels libres

Comprendre le certificat https

Publié le jeudi 8 octobre 2015, par Djan

Mis à jour le vendredi 22 décembre 2023

Mots clés : https, sécurité numérique, vulgarisation - éducation populaire (AI²),

Dans un précédent article j’expliquais pourquoi le certificat pouvait être invalide au yeux du navigateur et comment fonctionnait le système actuel de certificat. Il n’est pas basé sur la confiance que vous avez dans le site mais sur la confiance que les éditeurs des navigateurs web accordent à des entreprises commerciales pour vendre des certificats. Les organisations comme Mozilla, Google ou Microsoft installe par défaut les certificats racine des revendeurs de certificats. (Verisign, Comodo, Geotrust, Symantec...) Ces entreprises font ensuite payer des certificats (parfois très cher) pour délivrer des certificats aux éditeurs de sites web (comme moi). Plus on paie cher, plus le niveau de vérification (qui demande le certificats, cette personne existe-elle réellement) est élevé. Mais cela ne nous donne pas plus d’indication sur la sécurité de la connexion.

Vérifier les informations d’un certificat

Je me propose de vous apprendre à vérifier un certificat https manuellement. Toute les manipulations seront réalisés sur le navigateur Firefox.

Rendez-vous au hasard sur une page web sécurisé. Dans l’exemple suivant je vais utiliser le site du moteur de recherche Duckduckgo. Cliquez sur le petit cadenas dans la barre d’adresse puis sur « Plus d’informations ». Dans l’onglet « Sécurité » cliquez sur « Afficher le certificat ».

Regardons ensemble ce qu’on y trouve.
Le certificat est vérifié pour les utilisations Client et Serveur.

Section « Émis pour »

On retrouve les détails du site web que vous visitez.
Nom commun : c’est généralement l’URL du site web que l’on visite. Elle peut comporter une étoile pour signifier que tous les sous-domaines sont inclus dans le certificat
Organisation : C’est l’entreprise, association, fondation, gouvernement...qui est propriétaire du site web.
Unité d’organisation : c’est le service concerné par le certificat (pour les sites web grand public ce champ n’est généralement pas utilisé)
Numéro de série : ce numéro est attribué de façon automatique par le vendeur de certificat. Il permet d’avoir une traçabilité sur les certificats vendus

Section « Émis par »

C’est l’organisation qui a produit le certificat
Nom commun : C’est le nom du serveur ou du site qui délivre le certificat.
Organisation : C’est le nom de l’organisme qui délivre le certificat. Pour le site Duckduckgo c’est DigiCert, une société en sécurité très populaire au même titre de Verisign, Geotrust ou Comodo.
Unité d’organisation : c’est le service de l’organisation qui a vendu le certificat (tout comme la section précédente ce champ n’est généralement pas utilisé)

Le cas d’une attaque Homme du milieu

Dans les entreprise il n’est pas rare que l’autorité émettrice du certificat soit l’entreprise elle-même en lieu et place de l’autorité de certification classique. Cela devrait provoquer une alerte dans le navigateur mais les postes professionnel intègre les certificats signé par les autorités des entreprises. Lorsque cela arrive l’administrateur réseau de l’entreprise peut potentiellement avoir un accès en clair à toutes les communication chiffrés.

Aller plus loin, vérifier la sécurité d’un serveur

Si le certificat est bien vérifié il identifie correctement le site web et éventuellement le ou les éditeur du site. Mais il ne donne pas d’information sur la sécurité du serveur.

Aeris à pris sur lui de vérifier la sécurité des serveur de certains gros site. Le résultat est alarmant. Dans ce tableau on peut voir par exemple que les serveurs des banques ne sont pas correctement sécurisé, lorsque des sites personnels qui brassent moins de visiteurs et qui sont généralement maintenu par une seul personne le sont.

Mon site par exemple, hébergé sur les serveurs d’EuroWH a vu sa note augmenter lorsque j’ai parlé au support du problème des suites de chiffrement obsolètes.

Pour tester un serveur vous pouvez utiliser les outils de SSLABS ainsi que l’outil développé par Aeris à savoir CryptCheck (plus rigoureux en terme de notation).

Merci Aeris pour la relecture.

Un message, un commentaire ?

Si la question concerne un script que j'ai écrit, merci de me contacter par courriel.

Qui êtes-vous ?
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Lien hypertexte

(Si votre message se réfère à un article publié sur le Web, ou à une page fournissant plus d’informations, vous pouvez indiquer ci-après le titre de la page et son adresse.)


Dernières brèves

Proton Mail transmet des données personnelles à la justice espagnole 9 mai

Firefox est meilleur que Chrome mais tout le monde s’en fout 28 avril

Une faille de sécurité sur Azure exposait des fichiers internes de Microsoft 18 avril

Étude de grande ampleur sur les sites web respectant le RGPD 17 avril

Une bulle d’intelligence artificielle et de stupidité naturelle 14 avril

La CNIL a aidé la société VALIUZ à réaliser un profilage de masse des Français 1er avril

La nouvelle informatique 25 mars

Fin des cookies tiers : quelle efficacité pour la vie privée ? 25 mars

France Travail, fuite de 43 millions de comptes 15 mars

À partir de juin 2024 les bloqueurs de publicité seront pourris sur Chrome 9 mars

Dernière brève et flux RSS 24 décembre 2023

Cyberattaque : la carte des villes, départements et hôpitaux victimes en 2023 19 décembre 2023

Google Drive et le voyage dans le temps 4 décembre 2023

Outlook copie vos données vers les serveurs Microsoft 15 novembre 2023

Les VPN sont-ils utiles ? 1er novembre 2023


Articles épinglés

Rechercher

Agenda du libre en Alsace

Vandœuvre-lès-Nancy : Atelier libre - Monnaie locale sur OsmAnd, Le samedi 15 juin 2024 de 10h00 à 12h00.

Vandoeuvre-lès-Nancy : Réunion OpenStreetMap, Le mercredi 26 juin 2024 de 18h00 à 20h00.

Vandoeuvre-lès-Nancy : Sciences participatives, Le mardi 25 juin 2024 de 18h00 à 20h30.

Vandoeuvre-lès-Nancy : Sciences participatives, Le mardi 11 juin 2024 de 18h00 à 20h30.

Vandœuvre-lès-Nancy : Présentation du projet d’intégration de circuits de course dans STK, Le samedi 1 juin 2024 de 10h00 à 18h00.


no-gafam-zone
Onestlà!
Web0 manifesto