Mon PC Windows...

Connexions sécurisées et certificats

 

Connexion sécurisées, SSL et HTTPS

Une connexion sécurisée et de confiance doit être chiffrée, elle s'établie avec la vérification de l'identité du serveur distant. Pour les pages web, le protocole HTTPS est utilisé. Les navigateurs récents permettent de limiter l'accès uniquement aux sites identifié comme fiables. Plusieurs paramétrages permettent d'ajuster la tolérance : HTTPS uniquement, HTTPS uniquement en mode privé, sans limite pour le protocole HTTP

Fonctionnement de la connexion sécurisée

Lors de l'accès à un site sécurisé (connexion SSL), un certificat est présenté par le serveur distant. Celui-ci est vérifié par votre ordinateur et le navigateur s'assurer des points suivants :
- le certificat a été délivré par une autorité de confiance qui elle même dispose d'un certificat valide (validation de la chaine de certificats, voir à droite la chaine de certificat de microsoft.com)
- le certificat n'est pas expiré (chaque certificat a une date d'expiration)
- le certificat n'a pas été révoqué

A la suite de ces opérations, une connexion sécurisée avec chiffrement est établie. A défaut, selon le paramétrage choisi, une connexion non fiable reste possible.

Certains services utilisent des certificats "auto signés" ou délivrés par une autorité autonome. La chaine de ces certificats ne peut être vérifiés que si les certificats d'autorité supérieurs ont été ajoutés sur l'ordinateur client. Dans le cas contraire, le chiffrement est possible, mais la vérification de l'identité du serveur n'est pas effective.

Lors d'une connexion au service avec un navigateur internet, le certificat du site (présenté par le serveur internet distant) est en général consultable avec un état d'identification. Lorsque vous effectuez des accès sensibles (ex: un compte bancaire), assurez vous que votre navigateur a bien établi une connexion sécurisée.

La vérification d'un certificat et sa chaine de délivrance peut se faire en ligne, plusieurs site propose ce service. Nous vous proposons d'utiliser https://www.ssllabs.com/ssltest

CertificatMicrosoft 

 

Magasins et listes de certificats

Windows utile un espace de stockage de certificats, il est appelé magasin de certificats. Le système et les logiciels peuvent y accéder pour consulter et stocker différents certificats. Les certificats dits racine (qui émanent d'autorités primaires de confiance) y sont stockés, la liste est tenue à jour par l'intermédiaire de Windows Update et de mécanismes interne, sur les versions supportées. D'autres certificats peuvent y être stockés, ils peuvent provenir d'autorités intermédiaires, de services web ou être de type "personnel" (délivrés pour vos accès à des sites ou services sécurisés, url avec https).

Le magasin contient 3 listes : compte utilisateur, compte de service et compte d'ordinateur et certains navigateurs disposent de leur propre liste, celle-ci est utilisée en complément ou en remplacement de celles du magasins de Windows.
Vous pouvez consulter les certificats en vous connectant à la console de certificat Windows (composant enfichable, mmc) ou les lister en utilisant powershell, voir notre page Powershell-utile
Vous pourrez identifier les certificats des principales autorités connues ainsi que d'autres certificats. Il est possible que le magasin contienne également des certificats auto signés, délivrés par l'ordinateur lui-même. Ces derniers certificats permettent d'établir des connexions SSL, mais ne sont pas vérifiables en terme de confiance.