Un certificat est l'équivalent numérique d'une carte d'identité. De la même manière que vous pouvez avoir plusieurs cartes d'identité pour différentes utilisations, tel que le permis de conduire, une carte d'employé ou une carte bancaire, vous pouvez avoir plusieurs certificats qui vous identifient pour différentes utilisations.
Cette section décrit quelles sont les opérations réalisables avec les certificats.
Dans cette section : Obtenir votre propre certificat Vérifier la sécurité d'une page Web Gérer les carte à puces et autres périphériques de sécurité Gérer les avertissements SSL et sa configuration |
Comme une carte bancaire ou un permis de conduire, un certificat est une sorte d'identification que vous pouvez utiliser pour vous identifier à travers Internet et d'autres réseaux. Comme toute autre carte d'identité, le certificat provient généralement d'une organisation reconnue et autorisée à délivrer une telle identification. Ces organisations sont appelées autorités de certification (AC).
Vous pouvez obtenir des certificats vous identifiant depuis des autorités publiques, des administrateurs système, des autorités spécifiques dans votre organisation ou depuis des sites Web offrant des services spécialisés qui requièrent un moyen d'identification plus fiable que votre nom et votre mot de passe.
De la même manière qu'un permis de conduire permet de conduire certains types de véhicules, différents certificats existent pour différentes utilisations. Dans certains cas, obtenir un certificat est aussi simple que d'aller sur un site Web, remplir un formulaire concernant son identité puis, automatiquement télécharger ce certificat dans votre navigateur. D'autres fois, le processus est beaucoup plus long.
Vous pouvez obtenir un certificat d'une autorité en visitant l'URL ci-dessous et en suivant les instructions fournies. Pour obtenir une liste d'autorités de certification, voir le document en ligne Les certificats clients (en anglais).
Après avoir obtenu votre certificat, il est automatiquement enregistré dans un périphérique de sécurité. Votre navigateur est fourni avec son propre périphérique de sécurité logiciel en interne. Un périphérique de sécurité peut aussi être matériel, tel une carte à puce.
De la même manière qu'un permis de conduire ou une carte bancaire, le certificat peut être utilisé de manière abusive s'il tombe entre de mauvaises mains. Après avoir obtenu votre certificat, vous devez le protéger en le sauvegardant et en paramétrant un mot de passe principal.
Lorsque vous venez d'obtenir un certificat, il se peut qu'il vous soit demandé de le sauvegarder et si vous n'avez pas encore créé de mot de passe principal, il vous sera demandé d'en créer un.
Pour obtenir des informations détaillées sur la sauvegarde d'un certificat et la modification du mot de passe principal, voir Vos certificats.
[ Retourner au début de la section ]
Pendant que vous regardez une page Web, l'icône de cadenas dans le coin inférieur droit de la fenêtre vous informe si le contenu complet de cette page était protégée par chiffrement quand elle a été reçue par votre ordinateur.
![]() | Un cadenas fermé signifie que la page était protégée par chiffrement quand elle a été reçue. | |
![]() | Un cadenas ouvert signifie que la page n'était pas protégée par chiffrement quand elle a été reçue. | |
![]() | Un cadenas cassé signifie que un ou plusieurs éléments de la page n'étaient pas protégés par chiffrement quand la page a été reçue, bien que le reste de la page HTML l'était. |
Pour plus d'informations à propos du statut de chiffrement de la page lors de sa réception, cliquez sur l'icône de cadenas (ou ouvrez le menu Affichage, choisissez Informations sur la page, et cliquez sur l'onglet Sécurité).
L'onglet Sécurité de la fenêtre Informations sur la page fournit deux types d'informations :
Important : L'icône de cadenas donne juste le statut du chiffrement de la page lors de sa réception par votre ordinateur. Pour être informé avant d'envoyer ou de recevoir des informations non chiffrées, sélectionnez la bonne option d'alarme SSL. Voyez les Préférences de confidentialité et de sécurité - SSL pour plus d'informations.
[ Retourner au début de la section ]
Vous pouvez utiliser le Gestionnaire de certificats pour gérer les certificats dont vous disposez. Les certificats sont stockés sur le disque dur de votre ordinateur, des cartes à puce ou d'autres périphériques de sécurité connectés à votre ordinateur.
Pour ouvrir le Gestionnaire de certificats :
Quand vous ouvrez le Gestionnaire de certificats pour la première fois, vous remarquez que vous disposez de plusieurs onglets en haut de la fenêtre. Le premier onglet s'appelle Vos certificats, et il affiche les certificats vous identifiant dont le navigateur dispose. Vos certificats sont listés sous les noms des organismes qui les ont établis.
Pour effectuer une action sur un ou plusieurs certificats, sélectionnez un certificat (ou la touche Contrôle + sélection pour en sélectionner plusieurs) puis cliquez sur le bouton Afficher, Sauvegarder ou Détruire. Chaque bouton affiche une nouvelle fenêtre qui vous permet d'effectuer l'action. Appuyez sur le bouton Aide à tout moment pour obtenir plus d'informations sur l'utilisation de cette fenêtre.
Les boutons suivants ne nécessitent pas d'avoir sélectionné un certificat pour pouvoir être sélectionnés. Ils produisent les actions suivantes :
Les certificats des cartes à puce ne peuvent être sauvegardés. Si vous sélectionnez certains de vos certificats et cliquez sur Sauvegarder, ou cliquez Tout sauvegarder, le fichier de sauvegarde créé n'inclura pas les certificats stockés sur les cartes à puce ou d'autres périphériques de sécurité externes. Vous ne pouvez sauvegarder que les certificats qui sont stockés par le Périphérique de sécurité logiciel.
Pour obtenir plus d'informations sur ces tâches, voir Vos certificats.
[ Retourner au début de la section ]
Quand vous rédigez un courriel, vous pouvez y attachez votre signature numérique. Une signature numérique permet aux destinataires du message de vérifier que ce message provient effectivement de vous et n'a pas été falsifié depuis le moment où vous l'avez envoyé.
Chaque fois que vous envoyez un courriel signé numériquement, votre certificat de chiffrement est automatiquement inclus avec le message. Ce certificat permet aux destinataires de vous envoyer des messages chiffrés.
Une des meilleures façons d'obtenir le certificat de chiffrement de quelqu'un est que cette personne vous envoie un courriel signé numériquement. Le Gestionnaire de certificats enregistre automatiquement les certificats d'autres personnes s'ils sont reçus de cette manière.
Pour voir tous les certificat qui identifient d'autres personnes qui sont accessibles par le Gestionnaire de certificats, cliquez sur l'onglet Autres personnes du Gestionnaire de certificats. Vous pouvez envoyer un message chiffré à chaque personne dont un certificat valide apparaît. Les certificats sont listés par le nom de l'organisation qui les a émis.
Pour effectuer une action sur un ou plusieurs certificats, cliquez sur l'entrée du certificat (ou cliquez avec la touche Contrôle enfoncée pour en sélectionner plus d'un), puis cliquez sur le bouton Voir ou Effacer. Chaque bouton affiche une nouvelle fenêtre qui vous permet d'effectuer l'action. Cliquez le bouton Aide dans n'importe quelle fenêtre pour obtenir plus d'informations à propos de comment utiliser cette fenêtre.
Pour plus d'informations, voir les certificats des autres personnes.
[ Retourner au début de la section ]
Certains sites Web utilisent les certificats pour s'identifier. Une telle identification est requise avant de pouvoir chiffrer les informations transmises entre le site et votre ordinateur (et vice versa), et ainsi protéger les données des personnes indésirables.
Si l'URL d'un site Web commence par https://, le site possède un certificat. Si vous allez sur un tel site et que le certificat provient d'une autorité de certification que le Gestionnaire de certificats ne connaît pas ou qu'il n'y fait pas confiance, on vous demande alors si vous acceptez ce certificat. Quand vous acceptez un nouveau certificat, le Gestionnaire de certificats l'ajoute à la liste des certificats de sites Web.
Pour visualiser tous les certificats de sites Web disponibles dans votre navigateur, cliquez sur l'onglet Sites Web en haut de la fenêtre du Gestionnaire de certificats.
Pour effectuer une action sur un ou plusieurs certificats de sites Web, cliquez sur un certificat (ou la touche Majuscule+cliquez sur les différents certificats à sélectionner), puis cliquez sur l'un des boutons Voir, Éditer ou Détruire. Chacun de ces boutons fait apparaître une nouvelle fenêtre vous permettant d'effectuer l'action correspondante.
Le bouton Éditer vous permet de spécifier si votre navigateur peut faire confiance aux certificats du site Web sélectionné.
Pour plus d'informations, voir les certificats de sites Web.
[ Retourner au début de la section ]
Comme toute autre forme d'identificateur, le certificat est issu d'un organisme reconnu et autorisé à fournir ces identifications. Ce type d'organisme est appelé une autorité de certification (AC). Un certificat identifiant une AC s'appelle un certificat d'AC.
Le Gestionnaire de certificats dispose en général de plusieurs certificats d'AC sur le disque dur de l'ordinateur. Ces certificats d'AC permettent au Gestionnaire de certificats de reconnaître et de travailler avec des certificats provenant de cette autorité. Toutefois, la présence d'un certificat d'AC dans la liste du Gestionnaire de certificats ne garantit pas que l'on peut faire confiance aux certificats provenant de cette autorité. Vous ou votre administrateur devez décider des certificats à accepter suivant vos besoins en terme de sécurité.
Pour afficher tous les certificats d'AC disponibles dans votre navigateur, cliquez sur l'onglet Autorités en haut de la fenêtre du Gestionnaire de certificats.
Pour effectuer une action sur un ou plusieurs certificats d'AC, cliquez sur le certificat (ou la touche Contrôle+cliquez les certificats pour en sélectionner plusieurs), puis cliquez sur le bouton Voir, Éditer ou Détruire. Chacun de ces boutons fait apparaître une nouvelle fenêtre permettant d'exécuter l'action. Cliquez sur le bouton d'aide dans la fenêtre pour obtenir plus d'informations sur l'utilisation de cette fenêtre.
Le bouton Éditer vous permet de voir et modifier les paramètres de confiance de chaque certificat. Ces paramètres vous permettent de spécifier à quelles sortes de certificats émis par cette autorité vous faites confiance.
Pour plus d'informations, voir autorités.
[ Retourner au début de la section ]
Une carte à puce est un périphérique de petite taille, environ la taille d'une carte de crédit. Il contient un microprocesseur, est capable de mémoriser des informations concernant votre identité (comme par exemple vos clés privées et certificats) et effectue des opérations cryptographiques.
Pour utiliser une carte à puce, vous avez besoin d'un lecteur de carte à puce (appareil matériel) connecté à votre ordinateur, ainsi qu'un logiciel contrôlant votre lecteur.
Une carte à puce est un des périphériques de sécurité. Un périphérique de sécurité (parfois appelé jeton) est un périphérique matériel ou logiciel offrant des services cryptographiques et stockant des informations sur votre identité. Utilisez le Gestionnaire de périphériques pour utiliser les cartes à puces et autres périphériques de sécurité.
Dans cette section : À propos des périphériques et modules de sécurité Utiliser les périphériques de sécurité |
Le Gestionnaire de périphériques affiche une fenêtre contenant la liste des périphériques de sécurité disponibles. Vous pouvez utiliser le Gestionnaire de périphériques pour gérer n'importe quel périphérique de sécurité, même les carte à puce, qui supportent le standard PKCS #11 (Public Key Cryptography Standard).
Un module PKCS #11 (parfois appelé un module de sécurité) contrôle un ou plusieurs périphériques de sécurité de la même manière qu'un pilote logiciel contrôle un périphérique externe tel qu'une imprimante ou un modem. Si vous installez une carte à puce, vous devez installer le module PKCS #11 pour carte à puce sur l'ordinateur et connecter le lecteur de carte à puce.
Par défaut, le Gestionnaire de périphériques contrôle 2 modules internes PKCS #11 qui gèrent 3 périphériques de sécurité :
[ Retourner au début de la section ]
Le Gestionnaire de périphériques vous permet de faire des actions sur les périphériques de sécurité. Pour ouvrir le Gestionnaire de périphériques, faites ce qui suit :
Le Gestionnaire de périphériques liste en gras tous les modules PKCS #11 disponibles. Les périphériques de sécurité gérés par chaque module sont visibles sous le nom de chaque module.
Quand vous sélectionnez un périphérique de sécurité, des informations apparaissent au milieu de la fenêtre du Gestionnaire de périphériques. De plus, certains boutons sur la droite de la fenêtre deviennent disponibles. Par exemple, si vous sélectionnez le Périphérique de sécurité logiciel, vous pouvez effectuer les actions suivantes :
Vous pouvez effectuer ces opérations sur la plupart des périphériques de sécurité. Toutefois, vous ne pouvez pas exécuter ces actions sur le Jeton objet interne ou les Services génériques de cryptographie, qui sont des périphériques spéciaux devant être disponibles en permanence.
Pour plus de d'informations, voir Gestionnaire de périphérique de sécurité.
[ Retourner au début de la section ]
Si vous voulez utiliser une carte à puce ou tout autre périphérique de sécurité externe, vous devez d'abord installer le module logiciel sur votre ordinateur. Suivez les instructions fournies avec le matériel.
Après avoir installé un nouveau module sur l'ordinateur, suivez les étapes suivantes pour le charger :
Le nouveau module sera ensuite visible dans la liste des modules avec le nom que vous lui avez assigné.
Pour décharger un module PKCS #11, le sélectionner en cliquant sur son nom puis en cliquant sur Décharger.
Federal Information Processing Standards Publications (FIPS PUBS) 140-1 est un standard du gouvernement américain pour l'implémentation de modules cryptographiques—c'est-à-dire, du matériel ou un logiciel qui chiffre/déchiffre des données ou effectue d'autres opérations cryptographiques (telles que créer ou vérifier des signatures numériques). De nombreux produits vendus au gouvernement américain doivent être compatibles avec un ou plusieurs standards FIPS.
Pour activer le mode FIPS du navigateur, vous devez utiliser le Gestionnaire de périphériques :
Pour désactiver le mode FIPS, cliquer sur Désactiver FIPS.
[ Retourner au début de la section ]
Le protocole SSL (Secure Sockets Layer) permet à votre ordinateur d'échanger des informations avec d'autres ordinateurs sur Internet de manière chiffrée—c'est-à-dire que les informations sont brouillées durant le transfert, ainsi personne ne peut les connaître. SSL est aussi utilisé pour identifier des ordinateurs sur Internet par l'intermédiaire des certificats.
Le protocole de Transport Sécurisé TLS (Transport Layer Security) est un nouveau standard basé sur SSL. Par défaut, le navigateur supporte à la fois SSL et TLS. Cette approche fonctionne pour la plupart des gens, parce qu'il garantit que le navigateur fonctionnera avec tous les logiciels sur Internet supportant l'une des versions de SSL ou TLS.
Toutefois, dans certaines circonstances, l'administrateur système ou d'autres personnes responsables peuvent souhaiter ajuster les paramètres SSL à leurs besoins spécifiques ou pour éviter certains bogues dans des logiciels anciens.
Vous ne devriez pas modifier les paramètres SSL de votre navigateur sans savoir ce que vous faîtes ou sans assistance d'une personne compétente. Si vous avez besoin de changer les paramètres pour une raison ou une autre, suivez les étapes suivantes :
Pour plus d'informations, voir paramètres SSL.
[ Retourner au début de la section ]
Un certificat est une forme d'identification, comme l'est un permis de conduire, que vous pouvez utiliser pour vous identifier sur Internet et d'autres réseaux (voir Obtenir votre propre certificat). Cependant, comme un permis de conduire, un certificat peut expirer ou devenir invalide pour une raison ou une autre. Par conséquent, il faut que votre navigateur obtienne une confirmation de la validité de tout certificat avant de pouvoir l'utiliser pour l'identification.
Cette section décrit comment le Gestionnaire de certificats valide les certificats et comment contrôler ces étapes. Pour comprendre son fonctionnement, vous devez déjà être familiarisé avec la cryptographie à clés publiques. Vous devez aussi savoir utiliser les certificats. Veuillez voir avec votre administrateur système avant d'essayer de changer les paramètres de validation des certificats de votre navigateur.
Dans cette section : Comment fonctionne la validation des certificats Configurer le Gestionnaire de certificats pour utiliser l'OCSP |
Lorsque vous utilisez ou examinez un certificat enregistré par le Gestionnaire de certificats, de nombreuses étapes sont effectuées pour vérifier ce certificat. Il vérifie au moins que la signature numérique d'AC contenue dans le certificat a bien été crée par cette AC et que (1) elle est présente dans la liste des certificats d'AC du Gestionnaire de certificats et que (2) elle est marquée comme étant de confiance pour effectuer le type d'opérations auquel le certificat est destiné.
Si le certificat d'AC n'est pas présent, la chaîne de certification du certificat d'AC doit comporter un certificat d'AC de plus haut niveau et celui-ci doit être présent et de confiance. Le Gestionnaire de certificats vérifie aussi que ce certificat n'a pas été marqué comme refusé dans le dépôt de certificats. Si l'une de ces vérifications échoue, le Gestionnaire de certificat marque ce certificat comme non vérifié et ne reconnaît pas l'identité qui le certifie.
Un certificat qui réussit tous ces tests peut encore être compromis; par exemple, on a pu révoquer le certificat parce qu'une personne non autorisée a eu accès à la clé privée correspondant à la clé publique du certificat. Un certificat compromis permet à une personne non autorisée (ou un site Web) de prétendre être le propriétaire du certificat.
Une manière de se protéger de cette menace est que le Gestionnaire de certificats vérifie la liste des certificats révoqués (LRC ou Liste de Révocation de Certificats) régulièrement (voir Gérer les LRC, ci-dessous). Typiquement, vous pouvez télécharger une LRC dans votre navigateur en cliquant sur un lien. Si une LRC est présente, le Gestionnaire de certificat vérifie tous les certificats provenant de la même AC en comparant avec la liste dans le processus de vérification.
La fiabilité des LRC dépend de la fréquence des mises à jour du serveur et des mises à jour par le client. Vous pouvez configurer vos Préférences de mises à jour automatiques pour qu'une LRC soit mise à jour automatiquement à intervalles réguliers.
Un autre moyen pour combattre cette menace est d'utiliser un serveur spécial qui supporte l'OCSP (Online Certificate Status Protocol). Un tel serveur peut répondre aux requêtes des clients sur chacun des certificats (voir Configurer le Gestionnaire de certificats pour utiliser l'OCSP, ci-dessous).
Le serveur qu'on appelle le répondant OCSP reçoit régulièrement des mises à jour de LRC provenant des AC qui ont émis ces certificats. Vous pouvez configurer le Gestionnaire de certificats pour soumettre une requête à un répondant OCSP sur l'état d'un certificat. Le répondant OCSP confirme alors si oui ou non le certificat est valide.
Une Liste de Révocation des Certificats (LRC) est une liste de certificats révoqués. Une autorité de certification (AC) peut vouloir révoquer un certificat, par exemple, s'il a été modifié d'une façon ou d'une autre—un peu comme une compagnie de cartes de crédit révoque votre carte de crédit lorsque vous vous plaignez de l'avoir perdue.
Cette section explique comment importer et gérer les LRC.
Pour plus d'informations techniques, voir Comment fonctionne la validation.
Pour plus d'informations détaillées sur les préférences des LRC que vous pouvez contrôler, voir Préférences de validation.
Dans cette section : |
Le navigateur utilise les LRC qu'il a activées pour vérifier la validité des certificats émis par les AC correspondantes. Si un certificat est listé comme révoqué, le navigateur ne l'acceptera pas comme source sûre d'identification.
Une AC publie normalement une LRC mise à jour à intervalles réguliers. Chaque LRC inclue une date, spécifiée dans le champ Prochaine mise à jour, à laquelle l'AC publiera une prochaine mise à jour de sa LRC. En général, si la date de la prochaine mise à jour est plus récente que la date courante, vous devriez pouvoir obtenir la version la plus récente de cette LRC. Pour voir les informations de la LRC et configurer la mise à jour automatique, voyez Voir et gérer les LRC.
Les AC doivent produire une nouvelle LRC à la date de prochaine mise à jour. Néanmoins, l'absence de la LRC la plus récente n'invalide pas un certificat. Pour cette raison, si la plus récente LRC n'est pas accessible, un certificat sera validé jusqu'à ce que la plus récente LRC le montre comme expiré. La mise à jour automatique de la LRC peut donc remédier à cette situation.
Vous pouvez importer la dernière LRC d'une AC dans votre navigateur. Pour importer une LRC, faîtes comme ceci :
La boîte de dialogue Statut d'importation apparaît.
Oui : La boîte de dialogue de Préférences de mise à jour automatique de la LRC apparaît. Dans ce cas, allez à l'étape 4.
Non : La boîte de dialogue Statut d'importation se ferme. Si vous changez d'avis, et décidez d'activer la mise à jour automatique, lisez Voir et gérer les LRC.
Les paramètres qui contrôlent les LRC se trouvent dans les préférences de Validation. Pour les afficher, faites ce qui suit :
Pour effacer ou mettre à jour une LRC, sélectionnez-là et cliquez sur le bon bouton.
Pour configurer une mise à jour automatique pour une LRC, sélectionnez-la et cliquez sur Paramètres. La boîte de dialogue des Préférences de mise à jour automatique apparaît :
Les paramètres qui contrôlent l'OCSP font partie des préférences de Validation. Pour afficher les préférences de Validation, exécutez les étapes suivantes :
Pour obtenir des informations sur les options OCSP disponibles, voir OCSP.
[ Retourner au début de la section ]
18 Juin 2002
Copyright © 1994-2001 Netscape Communications Corporation.
traduction : 4 novembre 2002
Ce texte a été traduit et adapté par une équipe internationale de bénévoles francophones.
Pour plus d'informations, visitez notre site : http://frenchmozilla.sourceforge.net.