Mon PC Windows...

Connexions sécurisées et certificats

 

Connexion sécurisée, SSL et HTTPS

Une connexion sécurisée implique une vérification de l'identité du serveur distant, elle s'établie chiffrée entre le client et le serveur. Lorsque vous accédez à une page web depuis votre navigateur, le protocole HTTPS est utilisé. Un cadena indique que le le protocole sécurisé est utilisé et que les échanges entre votre ordinateur et le site web sont privés. Les navigateurs récents permettent de limiter l'accès uniquement à des sites identifiés comme fiables. Plusieurs niveaux permettent d'ajuster cette restriction : HTTPS uniquement, HTTPS uniquement en mode privé, sans limite pour le protocole HTTP.

Fonctionnement de la connexion sécurisée

Lors de l'accès à un site sécurisé (connexion SSL), un certificat est présenté par le serveur distant. Celui-ci est vérifié par votre ordinateur et le navigateur s'assurer des points suivants :
- le certificat a été délivré par une autorité de confiance qui elle même dispose d'un certificat valide (validation de la chaine de certificats, voir à droite la chaine de certificat de microsoft.com)
- le certificat n'est pas expiré (chaque certificat a une date d'expiration)
- le certificat n'a pas été révoqué

A la suite de ces opérations, selon le paramétrage choisi, une connexion sécurisée avec chiffrement est établie ou non. Cette connexion n'est fiable que si le certificat présenté a été validée.

Certificat auto-signé : Certains services utilisent des certificats "auto signés" ou délivrés par une autorité autonome. La chaine de ces certificats ne peut alors être vérifiés que si le certificat de l'autorité est connu de l'ordinateur client. Dans le cas contraire, le chiffrement est effectif, mais la vérification de l'identité du serveur n'est effectuée.

Lors d'une connexion à un site ou un service web, le certificat du site (présenté par le serveur internet distant) et son état d'identification sont consultables depuis le navigateur. Lorsque vous effectuez des accès sensibles (ex: un compte bancaire), assurez vous que votre navigateur ou application a bien établi une connexion sécurisée de confiance.

La vérification d'un certificat et sa chaine de délivrance peut se faire en ligne, plusieurs site propose ce service. Nous vous proposons d'utiliser https://www.ssllabs.com/ssltest

CertificatMicrosoft 

 

Magasins et listes de certificats

Windows utile un espace de stockage de certificats, il est appelé magasin de certificats. Le système et les logiciels peuvent y accéder pour consulter et stocker différents certificats. Les certificats dits racine (qui émanent d'autorités primaires de confiance) y sont stockés. Sur les versions de Windows supportées, la liste est tenue à jour par l'intermédiaire de Windows Update et de mécanismes internes. D'autres certificats peuvent y être stockés, ils proviennent d'autorités intermédiaires, de services web ou d'autres serveurs. Ceux de type "personnel" sont délivrés pour vos accès à des sites ou services sécurisés, url avec https.
Certaines applications utilisent également leur propre espace de stockage.

Le magasin Windows contient 3 listes : compte utilisateur, compte de service et compte d'ordinateur et certains navigateurs disposent de leur propre liste, celle-ci est utilisée en complément ou en remplacement de celles du magasins de Windows.
Vous pouvez consulter les certificats en vous connectant à la console de certificat Windows (composant enfichable, mmc) ou les lister en utilisant powershell, voir notre page Powershell-utile
Sur votre ordinateur, vous pouvez identifier les certificats des principales autorités connues ainsi que d'autres certificats. Il est possible que le magasin contienne également des certificats auto signés, ceux ci sont délivrés par l'ordinateur lui-même. Ces derniers certificats permettent d'établir des connexions SSL, mais ne sont pas vérifiables en terme de confiance.