Ligne directe 24/7 | Réponse à incidents
Nous contacter
Accueil Blog Les certificats SSL
  • Sécurité Opérationnelle

Les certificats SSL

Sommaire

L’objectif de cet article est de vous présenter un aperçu des certificats SSL.
Ce sujet est très vaste. De ce fait, il vous sera seulement présenté une rapide description.

Rappel

Un certificat est utilisé dans les algorithmes de chiffrement asymétriques.

Les algorithmes asymétriques utilisent deux clés :

  • Une clé privée
  • Une clé publique

Le principe

  • Si le message est chiffré grâce à la clé privée, tous les possesseurs de la clé publique pourront déchiffrer le message
cert1
  • Si le message est chiffré grâce à la clé publique, tous les possesseurs de la clé privée pourront déchiffrer le message
cert2

De ce fait, la clé privée doit rester privée à un utilisateur.

Les types

  • Auto-signé

Ce type de certificat est destiné à un usage personnel. Il permet par exemple d’assurer la confidentialité en interne d’une société.

  • Délivré par une autorité de certification

Lors d’échanges avec des utilisateurs externes, il est nécessaire d’avoir recours à une autorité de certification reconnue. Cela permet d’assurer la confiance entre les tiers de manière automatique.

Les clés

Il est recommandé que la taille de clé minimale à la génération des certificats soit de 2048 bits.

Depuis les années 2010, les certificats ayant des tailles de clé de 1024 sont corrompus.

http://www.journaldunet.com/solutions/securite/analyses/0604-chiffrement-rsa-quantique.shtml

Le contenu

Un certificat contient les informations suivantes (et potentiellement d’autres) :

  • La partie contenant les informations
    • Common Name (CN)
    • Organisation (O)
    • Unité Organisationnelle (OU)
    • Localité (L)
    • Province, Région ou État (S)
    • Pays (C) (2 lettres)
    • mail
  • La partie contenant la signature de l’autorité de certification

La structure des certificats est normalisée par le standard X.509 de l’UIT (plus exactement X.509v3), qui définit les informations contenues dans le certificat :

  • La version de X.509 à laquelle le certificat correspond
  • Le numéro de série du certificat
  • L’algorithme de chiffrement utilisé pour signer le certificat
  • Le nom (DN, pour Distinguished Name) de l’autorité de certification émettrice
  • La date de début et de fin de validité du certificat
  • L’objet de l’utilisation de la clé publique
  • La clé publique du propriétaire du certificat
  • La signature de l’émetteur du certificat (thumbprint)

L’ensemble de ces informations (informations et clé publique du demandeur) est hashé puis signé par la clé privée de l’autorité de certification.

La clé publique de l’autorité de certification doit être diffusée pour permettre de valider ce certificat.

Les formats

Ci-dessous la liste d’extensions possibles aux certificats

ExtensionFormat / EncodageContenu
pemPrivacy-enhanced Electronic MailDéfini dans les RFC 1421 à 1424Base64Clé publique
cercrtderBinaire (syntaxe ASN.1)Base64Clé publique
csr (Certificate Signing Request)PKCS10 défini dans la RFC 2986Clé publique
p7bp7cPKCS#7 SignedData structure without dataRFC 2315Clé publiqueFormat de(s) CRL(s)
p12PKCS#12Protection par une passphraseClé publique et la clé privée
pfxPKCS#12 (généré par IIS)Protection par une passphraseClé publique et la clé privée

La génération

  • L’outil le plus connu est OpenSSL.
    • Je vous recommande un très bon outil qui s’appuie sur OpenSSL : TinyCA
    • Dans un futur article vous pourrez retrouver les appels à réaliser
  • Une PKI reconnue
    • TBS
    • Thawte
    • Symantec (anciennement Verisign)
    • GlobalSign

Ces articles pourraient vous intéresser

Réponse à incident

Coordonnées du CERT

 

Mail : cert@synetis.com

Téléphone : 02 30 21 31 04

USER ID : CERT SYNETIS

KEY ID : 2F6F A FE30 7877

Empreinte clé PGP : 8D8ACAAC20557C7C1FF58332F6FA110FE307877

Le CERT Synetis est en cours de qualification PRIS (Prestataires de Réponse aux Incidents de Sécurité) par l’ANSSI

Contactez notre équipe Audit