Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Patrick Duboys : Tous les certificats ne se valent pas ! Il convient de bien choisir son type

juillet 2013 par Patrick Duboys

Il existe plusieurs types de certificats en fonction du niveau de vérification effectué par l’Autorité de Certification (AC). Certains certificats sont multi-clients. D’autres sont auto-signés. Vous trouverez parfois des classes de certificats. Explications.

Domain Validated : rapides à obtenir et économiques pour les Intranets

Les certificats Domain Validated (DV) pour lesquels l’AC vérifie que le nom de domaine appartient bien à son propriétaire. C’est le plus bas niveau de sécurité. Il peut être utilisé pour un Intranet par exemple. Il est économique et délivré très rapidement.

Organization Validated : pour tous vos sites web

Les certificats Organisation Validated (OV) pour lesquels l’AC vérifie en plus l’existence de l’organisation à qui appartient le nom de domaine. C’est le plus utilisé aujourd’hui. Il peut être utilisé pour un site web non e-commerce.

Extended Validation : pour votre site institutionnel et pour les sites e-commerce. Ils accroissent significativement la confiance des Internautes : + 17% les taux de conversion

Les certificats Extended Validation (EV) pour lesquels l’AC vérifie en plus l’existence physique, légale et opérationnelle de l’organisation. C’est le plus haut niveau de sécurité. Il est de plus en plus utilisé. Il possède l’avantage d’afficher une barre verte dans le navigateur afin de rassurer les clients. Les sites e-commerce utilisent aujourd’hui ces certificats. Ce type est également recommandé pour les sites institutionnels. www.netcraft.com

RGS* : pour le secteur public

L’état français a défini une norme dite Référentiel Général de Sécurité (RGS) et a défini des procédures de validation pour les certificats SSL. Ce sont les certificats à utiliser par les organisations publiques. Ils sont proches des certificats EV.

« Wildcard » et SAN : Se simplifier la vie pour des familles de certificats

Les certificats sont valides pour un ou plusieurs noms de domaines / sous-domaine comme par exemple www.entreprise.fr , extranet.entreprise.fr , www.ecommerce.com , sousdomaine.domaine.com, etc.

Dans les fait on dit que le certificat SSL est valide pour un nom de domaine principal comme www.entreprise.com plus pour des Subject Alternative Name (SAN) tels que extranet.entreprise.fr , www.ecommerce.com , entreprise.com , etc.

Dans certains cas, les organisations souhaitent disposer d’un certificat valide pour un nom de domaine tel que entreprise.fr ainsi que tous ses sous-domaines tels que extranet.entreprise.fr , intranet.entreprise.fr , ecommerce.entreprise.fr , etc. On dit alors que le certificat est valide pour

*.entreprise.fr. Cela permet d’ajouter par la suite des noms de sous-domaines sans avoir à recréer un nouveau certificat SSL. Les certificats wildcard ne sont pas ce qui se fait de plus sécurisé, car il est toujours préférable de bien nommer les noms de domaines et sous-domaines pour lesquels les certificats sont valident, mais ils peuvent parfois être pratiques.

Les certificats wildcard sont disponibles en OV et en DV mais pas en EV, ni en RGS*.

Unified Communication : pour les messageries électroniques

Ces certificats sont identiques aux DV, OV et EV standards. Cette appellation commerciale Unified Communication indique simplement que ces certificats ont été testés pour des messageries électroniques et que les documentations associées sont fournies.

Adresses IP :

Si vous possédez une adresse IP publique qui est identifiée comme vous appartenant dans le « whois », vous pouvez pour les certificats DV et OV l’utiliser comme nom de domaine. Les adresses IP interne dont l’appartenance ne peut pas être identifiée via le « whois » ne le pourront par contre pas.

Server Gated Cryptography (SGC) : une technologie ancienne aujourd’hui dangereuse et à éviter

Les certificats SGC permettaient à de très anciens navigateurs (plus de 10 ans et qui ne sont aujourd’hui plus supportés par leurs éditeurs) d’utiliser au mieux le protocole SSL. Ces très anciens navigateurs ont quasiment tous disparus (inférieur à 0,1% part de marché aujourd’hui). De plus supporter de tels navigateurs sur votre site web permet aux cybercriminels de vous attaquer plus facilement.

Les certificats multi-domaines : à bannir

Certaines entreprises proposent des certificats très peu chers ou parfois gratuits packagés avec d’autres offres. Il convient de faire très attention. Ce sont souvent un certificat valable pour différents clients, comme une carte d’identité valable pour plusieurs personnes. Sur le plan de la sécurité et de l’image c’est une pratique à proscrire.

Les certificats auto-signés : pas toujours une bonne idée

Les certificats auto-signés peuvent être générés par soi-même en utilisant par exemple des commandes OpenSSL. Ces certificats ne sont pas validés par une AC et ne sont donc pas reconnus par les navigateurs Internet générant ainsi une erreur. L’administrateur système doit installer la racine du certificat sur tous les postes client. Même pour un Intranet il s’avère donc utile d’utiliser un certificat SSL délivré par une AC. Pour ce dernier cas un DV est suffisant.

Les classes de certificats : un découpage marketing artificiel

Certaines AC découpent et organisent en interne leurs certificats en classes avec différentes niveaux. Ces classes correspondent à un découpage marketing et organisationnel. Le découpage officiel en différents types de certificats est celui adopté par le CABforum : Domain Validated, Organization Validated, Extended Validation. Pour la France nous pouvons y ajouter les certificats SSL RGS* défini par l’état.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants