Les certificats TLS (Transport Layer Security, sécurité de la couche de transport) vérifient l’intégrité à la fois du propriétaire et des informations des sites web que vous consultez. Cet article explique comment cela fonctionne.

Sites web qui utilisent des certificats

Les sites web dont l’adresse commence par https utilisent des certificats TLS. Ces sites sont sûrs seulement dans la mesure où ils remplissent deux conditions :

• l’administrateur ou l’administratrice du site web possède le nom du site web ou en connaît le propriétaire ;
• le site web chiffre la connexion entre votre navigateur et lui pour empêcher qu’elle soit espionnée.

Chaîne de confiance

Les navigateurs, tel Firefox, vérifient les certificats via une hiérarchie appelée une chaîne de confiance. Elle définit une structure à l’intention des navigateurs et d’autres programmes qui leur permet de vérifier l’intégrité d’un certificat. Le diagramme suivant illustre la chaîne de confiance :

Il s’agit d’une liste composée de trois certificats :

• le certificat racine (certificat approuvé)
• le certificat intermédiaire
• le certificat du serveur (entité finale)

Définissons-les. Le certificat racine appartient à une autorité de certification (AC) qui délivre des certificats TLS auquel le navigateur fait confiance intrinsèquement. Le certificat intermédiaire sert de truchement entre l’AC racine et le site web. Le certificat du serveur appartient à la personne qui administre le site.

Ces certificats contiennent les informations suivantes :

• des détails sur l’autorité de certification (AC)
• une paire de clés asymétriques :
  • une clé privée qui signe de façon chiffrée le prochain certificat de la chaîne ; le certificat du serveur dispose en d’une pour d’autres tâches ;
  • une clé publique pour déchiffrer la signature du certificat suivant dans la chaîne pour vérifier son identité : le certificat du serveur l’utilise pour d’autres tâches.

Nous pouvons maintenant décrire comment Firefox détermine la sécurité d’un site web.

Vérification de l’intégrité des certificats par Firefox

Voici la démarche que Firefox emploie la chaîne de confiance pour vérifier les certificats TLS :

1. Firefox télécharge le certificat du site web que vous visitez.
2. Firefox vérifie le certificat en utilisant sa base de données interne des autorités de certification (AC).
   • Il se sert de la clé publique du certificat racine de l’AC pour s’assurer que le certificat racine et le certificat intermédiaire sont correctement signés en descendant la chaîne.
3. Firefox vérifie auprès de l’AC pour être sûr que le site web auquel vous vous connectez correspond bien au site web du certificat serveur.
4. Firefox génère une clé symétrique (unique) pour chiffrer le trafic HTTP de la connexion.
5. Firefox chiffre la clé symétrique avec la clé publique du certificat du serveur.
6. La clé privée, qui se trouve sur le serveur web, déchiffre les données de la connexion.

Afficher un certificat

Pour afficher un certificat, suivez ces instructions :

1. Cliquez sur l’icône de cadenas.

   

2. Cliquez sur Connexion sécurisée

   

3. Cliquez sur Plus d’informations

   

4. Dans la fenêtre popup, cliquez sur Afficher le certificat

Firefox ouvre alors la page about:certificate montrant le certificat du site web sur lequel vous vous trouvez :

Les trois onglets présentent, de gauche à droite, le certificat du serveur, le certificat intermédiaire et le certificat racine.

Contenu d’un certificat

Les certificats TLS contiennent les informations suivantes :

• Nom du sujet : contient le nom du site web et des attributs optionnels comme des informations sur l’organisation qui détient le certificat.
• Nom de l’émetteur : identifie l’entité qui a émis le certificat.
• Validité : affiche la période de validité du certificat.
• Nom alternatif du sujet du certificat : énumère les adresses de sites web pour lesquels le certificat est valide.
• Informations sur la clé publique : énumère les attributs de la clé publique du certificat.
• Numéro de série : identifie de façon unique le certificat.
• Algorithme de signature : algorithme créé pour générer la signature.
• Empreintes numériques : hachage du fichier du certificat au format binaire DER (lien en anglais).
• Utilisations de la clé et Utilisations étendues de la clé : spécifient l’utilisation possible du certificat par les gens, comme confirmer la propriété d’un site web (Web Server Authentication, authentification du serveur web).
• Identifiant de clé du sujet : un identifiant généré à partir de la clé publique du certificat TLS, moyen d’identifier le certificat.
• Identifiant de clé de l’autorité : un identifiant généré à partir de la clé publique du certificat TLS, moyen d’identifier la clé publique correspondant à la clé privée utilisée pour signer le certificat.
• Points de terminaison CRL : l’emplacement de la liste de révocation des certificats, (Certificate Revocation List, CRL) de l’AC émettrice.
• Informations sur l’autorité : contient la méthode de validation pour les fichiers de l’autorité du certificat et le certificat intermédiaire.
• Politiques du certificat : contient le type de validation du certificat et un lien vers la déclaration des pratiques de certification (Certification Practices Statement, (CPS) de l’autorité de certification.
• SCT intégrés : énumère les horodatages des certificats signés (Signed Certificate Timestamps, SCT).

Certificats problématiques

Lorsque vous naviguez sur un site web dont l’adresse commence par https et qu’il y a un problème avec le certificat TLS, vous voyez une page d’erreur. Quelques erreurs de certificat courantes sont décrites dans Que signifie : « Votre connexion n'est pas sécurisée » ?

Pour afficher le certificat qui pose problème, suivez ces instructions :

1. Sur la page d’avertissement La connexion n’est pas sécurisée, cliquez sur Avancé…

   

2. Cliquez sur Afficher le certificat.

   

3. Le mauvais certificat s’affiche.