Un guide des certificats racine

Il y a eu récemment une controverse à propos d'une récente mise à jour qui a discrètement ajouté 17 nouveaux certificats racine à Windows (et supprimé 1) sans alerter les utilisateurs sur le fait, ce qui a conduit certains à appeler l'ensemble du système «cassé».


Nous avons donc pensé que c'était le bon moment pour expliquer ce que sont les certificats racine et si les lecteurs devraient s'inquiéter…

Qu'est-ce qu'un certificat racine?

Lorsque vous visitez un site Web, comment savez-vous que c'est le site Web que vous pensez visiter? La réponse d'Internet à ce problème est les certificats SSL (également appelés certificats HTTPS).

Lorsque vous visitez un site Web sécurisé SSL (https: //), en plus de la connexion sécurisée à l'aide du cryptage SSL / TSL, le site Web présentera à votre navigateur un certificat SSL indiquant qu'il (ou plus précisément la propriété de la clé publique du site Web) ) a été authentifié par une autorité de certification (CA) reconnue. Il existe quelque 1 200 CA de ce type.

Si un navigateur est présenté avec un certificat valide, il supposera qu'un site Web est authentique, établira une connexion sécurisée et affichera un cadenas verrouillé dans sa barre d'URL pour avertir les utilisateurs qu'il considère que le site Web est authentique et sécurisé..

bestvpn https

Ce système, qui est la pierre angulaire de la sécurité sur Internet, et est utilisé à peu près tous les sites Web sécurisés qui traitent des informations sensibles (y compris les banques, les services de messagerie Web, les processeurs de paiement, etc.) repose donc sur la confiance des autorités de certification..

Les autorités de certification émettent des certificats basés sur une chaîne de confiance, délivrant plusieurs certificats sous forme d'arborescence à des autorités de certification moins autorisées. Une autorité de certification racine est donc l'ancre de confiance sur laquelle se fonde la confiance dans toutes les autorités de certification moins autorisées. Un certificat racine est utilisé pour authentifier une autorité de certification racine.

Alors, qui délivre les certificats racine?certificat racine

De manière générale, les certificats racine sont distribués par des développeurs de systèmes d'exploitation tels que Microsoft et Apple. La plupart des applications et des navigateurs tiers (tels que Chrome) utilisent les certificats racine du système, mais certains développeurs utilisent les leurs, notamment Mozilla (Firefox), Adobe, Opera et Oracle, qui sont utilisés par leurs produits..

Problèmes avec le système CA

L'ensemble du système CA repose donc sur la confiance, alors comment savoir si ces certificats peuvent être fiables? Eh bien, à la fin de la journée, vous devez faire confiance à quelqu'un, et si vous faites confiance aux développeurs du logiciel que vous utilisez, vous devez en quelque sorte faire confiance à leurs certificats.

C'est du moins la théorie. Comme le montre un récent avertissement de Google concernant les faux certificats SSL, une seule autorité de certification «voyous» émettant des certificats non fiables peut causer des ravages, et malheureusement, les autorités de certification peuvent (et on sait) émettre de faux certificats. Le coupable habituel en est que les gouvernements sans scrupules exercent des pressions sur les sociétés de CA, mais les criminels peuvent également faire des armes puissantes et les pirates peuvent compromettre leurs systèmes..

L'Electronic Frontier Foundation (EFF) a lancé un projet d'observatoire SSL dans le but d'enquêter sur tous les certificats utilisés pour sécuriser Internet, invitant le public à lui envoyer des certificats pour analyse. Pour autant que nous le sachions, ce projet n'a jamais vraiment démarré et a dormi pendant des années.

Alors, pourquoi toute cette agitation à propos de Microsoft ajoutant «sournoisement» des certificats racine?

Certains commentateurs se sont lancés dans un tizz sur Microsoft en ajoutant de nouveaux certificats racine sans alerter les utilisateurs ni leur demander leur permission. Nous devons noter, cependant, que la grande majorité des utilisateurs (y compris nous) n'ont aucun moyen fiable de déterminer si une autorité de certification racine donnée est digne de confiance ou non, ce qui rend tout ce différend plutôt inutile à notre avis…

Si vous ne faites pas confiance à Microsoft, n'utilisez pas Windows. Bien sûr, si vous êtes sérieux en matière de sécurité, vous ne devriez pas faire confiance à Microsoft de toute façon, et il est très probable que certains des certificats racine déjà livrés avec Windows permettent à la NSA d'effectuer des attaques MitM sur votre ordinateur si elle le souhaite. Ceux-ci pourraient en théorie vous diriger vers de faux sites Web qui semblent authentiques pour votre navigateur grâce à de faux certificats SSL.

Ceux qui sont sérieux au sujet de la sécurité devraient utiliser Linux (et de préférence une distribution renforcée à cela). Il faut également souligner qu’aucun OS mobile ne peut être considéré le moins du monde sécurisé.

Pour ce que cela vaut, la liste des nouvelles autorités de certification récemment ajoutées à la liste de confiance des certificats Microsoft nous semble assez inoffensive (beaucoup sont simplement des mises à niveau vers des certificats plus anciens), mais qui sait?

Comment supprimer un certificat racine

Si vous n'aimez vraiment pas une autorité de certification racine particulière, vous pouvez supprimer son certificat racine. Soyez averti que cela rend tous les certificats émis par cette autorité de certification non fiables, ainsi que tous ceux des autorités de certification «inférieures» qu’elle a autorisées. Leur suppression peut avoir un impact très négatif sur votre expérience Internet.

À la suite du récent fiasco des faux certificats Google, certaines personnes recommandent de supprimer les autorités de certification chinoises. Nous soulignons cependant que cela est entièrement à vos risques et périls.

les fenêtres

Nous utilisons Windows 8.1, mais le processus devrait être à peu près le même sur toutes les versions de Windows.

1. Cliquez avec le bouton droit sur l'icône Internet Explorer -> Exécuter en tant qu'administrateur

2. Allez dans Outils (icône d'engrenage en haut à droite) -> options Internet -> Onglet Contenu -> Certificats -> Autorités de certification racine de confiance

3. Sélectionnez le certificat que vous souhaitez supprimer et cliquez sur «Supprimer». Notez que c'est probablement une très bonne idée d’exporter un certificat pour la sauvegarde en premier afin de pouvoir le «restaurer» plus tard si nécessaire.Certificats racine IE

Firefox (versions de bureau uniquement)

1. Ouvrez Firefox et accédez au menu Ouvrir -> Les options -> Avancée -> Certificats -> Afficher les certificats

2. Dans la fenêtre Gestionnaire de certificats, cliquez sur l'onglet «Autorités» et vous verrez la liste des autorités de certification racine autorisées, ainsi que le ou les certificats qu'ils ont autorisés en dessous d'eux

3. Cliquez sur un certificat que vous n'aimez pas et cliquez sur "Supprimer ou méfiance"Firefox racine certs 1

Appuyez sur OK si vous êtes sûrFirefox root certs 2

Pour supprimer complètement une autorité de certification racine donnée, vous devez «supprimer ou se méfier» de tous les certificats qu'elle a autorisés. Comme pour la suppression des certificats racine Windows, nous vous conseillons fortement de sauvegarder d'abord les certificats supprimés..

Mac OS X

Je ne suis pas un utilisateur Mac, mais si je comprends bien, Apple n'autorise pas les utilisateurs à supprimer les certificats racine, même lorsqu'ils utilisent les privilèges root. Les certificats non root peuvent être supprimés à l'aide de l'accès au trousseau.

Android (5.1 Lollipop, mais similaire sur toutes les versions)

1. Allez dans Paramètres -> Sécurité -> Informations d'identification fiables -> Onglet Système. Appuyez sur la coche verte à côté du certificat que vous n'aimez pas

2. Faites défiler les détails du certificat vers le bas et sélectionnez «Désactiver»Android root certs 1

iOSAndroid root certs 2

Les certificats racine ne peuvent pas être supprimés dans iOS (les certificats personnels peuvent être supprimés à l'aide de l'utilitaire de configuration iPhone).

Ubuntu (sera similaire pour la plupart des versions de Linux)

La manière la plus simple de désélectionner les autorités de certification est d'ouvrir Terminal et d'exécuter:

sudo dpkg-reconfigure ca-certificats

Espace presse pour désélectionner un certificat.Ubuntu root certs 3

La liste des autorités de certification est stockée dans le fichier /etc/ca-certificates.conf. Cela peut être modifié manuellement en entrant:

nano /etc/ca-certificates.conf

Si vous modifiez ce fichier manuellement, vous devez exécuter la commande suivante pour mettre à jour les certificats réels dans / etc / ssl / certs /:Ubuntu root certs 4

Sudo Update-CA-Certificates

(Si vous utilisez dpkg-reconfigure, cela se fait automatiquement).

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me