Installer le certificat du CRU
Téléchargement du certificat du CRU, pour l'installer comme certificat de confiance.

Ce document a pour but de vous aider à comprendre les principes des accès W3 sécurisés à l'aide du protocole https et de simplifier cet accès. Il indique l'intérêt de l'installation du certificat d'Autorité de Certification (AC, ou CA en Anglais : Certificat Authority) du CRU (Comité Réseau des Universités) dans votre navigateur W3.

Les cas de Netscape 4.7X, Mozilla 1.3 et Internet Explorer 6.0 sont examinés ; la procédure peut être différente pour d'autres versions de ces navigateurs.

Pour les personnes désireuses d'importer le certificat d'AC immédiatement, cliquer directement sur le lien "Chargement du certificat d'AC" concernant notre navigateur.

  1. Accès protégé à des serveurs web
  2. Qu'est-ce qu'un certificat X509 ?
  3. Pourquoi installer un certificat d'AC dans le navigateur W3 ?
  4. Pourquoi installer un certificat d'AC dans votre navigateur ?
  5. Le cas des serveurs de l'Université d'Evry
  6. Chargement du certificat d'AC avec Mozilla
  7. Chargement du certificat d'AC avec Internet Explorer
  8. Remarques sur les listes de révocation
  9. Pour des informations plus complètes et techniques

Accès protégé à des serveurs web

Les accès à des pages web se font à l'aide du protocole http, en empruntant le réseau Internet. Aucune garantie de confidentialité n'est assurée lors de ces accès ; il est relativement simple à un pirate d'intercepter vos requêtes et les réponses faites par le serveur. En outre, vous n'avez pas une certitude absolue d'être en cours de consultation du site que vous croyez.

Internet est maintenant utilisé pour des applications de commerce électronique, ou parfois pour accèder à des données confidentielles soumises à authentification (échange de login - mot de passe).

Il faut savoir que, dans ce cas, il n'est pas très difficile à un pirate d'intercepter ces informations confidentielles, y compris votre mot de passe, et ainsi d'usurper votre identité, voire récupérer votre code de carte bleue.

Afin de palier à ces inconvénients, le protocole https peut être mis en oeuvre. D'une manière très schématique, il permet d'encapsuler et de crypter le trafic http ; ainsi, il sera quasiment impossible à un pirate qui intercepterait des accès à des pages chargées via le protocole https de décrypter cet échange, et donc de récupérer des informations confidentielles.

En outre, https permet de s'assurer que le serveur W3 auquel on accède est bien celui que l'on croit.

https offre d'autres possibilités qui ne sont pas abordées ici (par exemple, authentifier la personne qui accède au serveur).

Qu'est-ce qu'un certificat X509 ?

Sans entrer dans du détail technique, les échanges https sont cryptés et décryptés à l'aide d'un couple de 'clés informatiques' qui sont propres à un serveur W3 :

  • La clé privée, qui n'est connue que de ce serveur.
  • La clé publique qui est connue du monde entier.

Le navigateur qui accède à un serveur à l'aide du protocole W3 doit récupérer la clé publique de ce serveur ; celle-ci lui est transmise par le serveur W3, puis encapsulée dans un certificat X509 (c'est un fichier informatique).

Ce certificat contient donc la clé publique du serveur, validée ("signée") par un organisme reconnu, appelé Authorité de Certification (AC).

Pourquoi installer un certificat de CA dans le navigateur W3

L'accès en https à tout site dont le certificat X509 n'est pas validé par une AC connue du navigateur génère un ensemble de fenêtres de mises en garde et de validations, ceci à chaque consultation de ce site.

Les autorités de certification sont "authentifiées" à l'aide ... d'un certificat X509 d'autorité de certification.

Lors de l'installation d'un navigateur récent, un certain nombre de certificats d'AC sont chargés automatiquement. Si le certificat du site que vous consultez a été validé par une de ces AC, vous n'aurez pas à faire ces nombreuses validations.

Dans le cas contraire, vous avez la possibilité :

  • Soit de valider d'une manière temporaire l'accès au serveur W3.
  • Soit de valider de manière permanente au niveau du navigateur le certificat du serveur.
  • Soit de valider le manière permanente au niveau du navigateur le certificat de l'autorité de certification correspondante à ce serveur. Dans ce cas, tout accès https à un serveur W3 validé par cette CA sera possible sans nouvelle validation.

Le cas des serveurs de l'Université d'Evry

Le Comité réseau des Universités (le CRU) a mis en place sa propre authorité de certification, et propose aux différentes Universités de leur générer des certicats de serveurs (entre autres).

Nous utilisons donc, pour des accès sécurisés, des certificats de serveur générés par la même AC, le CRU.

Ainsi, la validation du certificat d'AC du CRU (par les méthodes exposées ci-après) auprès de son (ses) navigateur(s) permet d'accèder d'une manière conviviale aux différents serveurs sécurisés de l'Université, voire à d'autres serveurs d'Universités utilisant ses certificats.

Remarque : à (court) terme, tout accès W3 authentifié auprès d'un des serveurs de l'Université (webmail, intranet, intranet pédagogique, ...) se fera nécessairement de manière sécurisée, d'où l'intérêt d'installer le certificat d'AC du CRU.

Remarques sur les listes de révocation

Un certificat peut avoir été invalidé (un peu comme on peut faire opposition sur une carte bancaire).
L'Autorité de Certification met à jour régulièrement une liste de révocation (CRL) qui contient l'ensemble des certificats émis par cette AC et invalidés.

Un délai d'expiration de la CRL est prévu. Passé ce délai, le navigateur va vous en redemander le chargement.
Faire confiance à une autorité de certification impose de charger régulièrement les listes de révocation (CRL) émises par cette autorité. Ces listes de révocation sont actualisées dès qu'un certificat a été révoqué et au moins chaque mois, pour l'AC du CRU (passé ce délais, les CRL sont paramétrées pour expirer) et votre navigateur doit vous prévenir.

Pour des informations plus complètes et techniques