Mon PC Windows...

Connexions sécurisées et certificats

 

Connexion sécurisée, SSL et HTTPS

Lorsque vous accédez à une page web depuis votre navigateur, le protocole HTTPS est utilisé pour sécuriser et chiffrer la connexion. Cette connexion implique une vérification préalable par votre ordinateur de l'identité du serveur distant qui a présenté son certificat.
Pour une meilleure protection de l'ordinateur, les navigateurs récents permettent de restreindre l'accès uniquement à certains sites web. Plusieurs niveaux de sécurité sont possibles : HTTPS uniquement, HTTPS uniquement en mode privé, sans limite pour le protocole HTTP.
- Dans votre navigateur, à gauche de l'URL, un cadenas indique que le le protocole sécurisé est utilisé et que les échanges entre votre ordinateur et le site web sont privés.
- Lors d'une connexion à un site ou un service web, le certificat du site (présenté par le serveur internet distant) et son état d'identification sont consultables depuis le navigateur.
   Lorsque vous effectuez des accès sensibles (ex: un compte bancaire), assurez vous que votre navigateur ou application a bien établi une connexion sécurisée de confiance.

Fonctionnement de la connexion sécurisée

Lors de l'accès à un site sécurisé (connexion SSL), un certificat est présenté par le serveur distant, plusieurs vérifications sont ensuite effectuées par votre ordinateur :
- le certificat a été délivré par une autorité de confiance qui dispose d'un certificat valide (voir à droite le chemin d'accès de certification pour microsoft.com)
- le certificat présenté et ceux des autorités parentes ne sont pas expiré (chaque certificat a une date d'expiration)
- le certificat n'a pas été révoqué, il n'est pas présent dans la liste de révocation de son autorité

A la suite de ces contrôles, selon le paramétrage choisi, une connexion sécurisée avec chiffrement est établie ou non. Cette connexion n'est fiable que si la chaine de certificats présentée a été validée.

Certificats racines et autorités
Sur l'image à droite, le certificat DigiCert Global Root G2 situé en haut du chemin d'accès à la certification est un certificat racine. Celui-ci se trouve sur votre ordinateur dans la liste des autorités racines, il provient d'une autorité primaire de confiance. La liste est maintenue à jour par Windows update. Voir Programme de certification racine approuvé Microsoft

La vérification d'un certificat et de sa chaine de délivrance (chemin d'accès) peut se faire par internet, plusieurs sites web proposent ce service. Nous vous proposons d'utiliser https://www.ssllabs.com/ssltest

Certificat auto-signé
Certains services utilisent des certificats dits "auto signés" ou délivrés par une autorité autonome non connue des listes approuvés. Dans ce cas, le certificat ou la chaine de certificats ne peut être vérifiés, néanmoins même en l'absence de vérification d'identité, le chiffrement est possible.

 

CertificatMicrosoft 

 

Magasins et listes de certificats

Windows utile un espace de stockage de certificats appelé magasin de certificats. Le système et les applications installées y accèdent pour consulter et stocker différents certificats. Les certificats dits racine y sont stockés. Sur les versions de Windows supportées, la liste est tenue à jour par l'intermédiaire de Windows Update et de mécanismes internes. D'autres certificats qui proviennent de différentes autorités racine ou intermédiaires peuvent y être stockés.

Listes
Le magasin Windows contient 3 listes : compte utilisateur, compte de service et compte d'ordinateur
Vous pouvez consulter les certificats en vous connectant à la console de certificat Windows (composant enfichable, mmc) ou les lister en utilisant des commandes. Avec powershell, voir notre page Powershell-utile
Sur votre ordinateur, vous pouvez identifier plusieurs certificats dont des principales autorités connues. Le magasin peut également contenir des certificats auto signés. 

Certificats Personnels
Le certificats qui se trouvent dans le dossier "personnel" sont délivrés à l'utilisateur ou à l'ordinateur pour s'authentifier auprès de services sécurisés.
Notez que certaines applications et des navigateurs utilisent leur propre espace de stockage de certificats. celui-ci peut est utilisé en complément ou en remplacement du magasins de Windows.