Reprise du message précédent :
oui Jubijub 
tiens, cadeau :
Salut à tous, j'ai des infos, j'ai eu des infos que je vais essayer de vous retranscrire...
J'ai eu au téléphone une personne de ChamberSign (http://www.chambersign.tm.fr/), un organisme de certification géré par les Chambres de commerce et d'industrie, et je lui ai posé mes questions. Je vous mets ci-dessous l'échange de questions/réponse le plus fidèlement possible :
Question (moi):
J'ai entendu parler de ChamberSign qui est une AC au même titre que CAcert, mais CAcert est gratuit et Australien. Cependant dans les deux cas cela pose le même problème : "comment vérifier la validité de l'AC, et plus particulièrement de son certificat racine ?".
Réponse (ChamberSign):
Pour CS (ChamberSign), cet organisme de certification est agréé par le Ministère de l'économie des finances et de l'industrie (MINEFI) qui est le seul organisme Français capable d'agréer une autorité de certification destinée à produire des certificats pour crypter ou signer des documents destines à l'administration électronique (TVA en ligne par exemple)
On peut trouver la liste des AC agréés pas le MINEFI sur leur site Internet (http://www.minefi.gouv.fr/) dans la rubrique "Accueil > Vie des entreprises > Nouvelles technologies > Référencement de familles de certificats externes".
Pour vérifier la validité d'un certificat racine d'une AC agréée par le MINEFI, il suffit de vérifier que cette AC est agréée et que le certificat n'est pas révoqué.
Question :
Ok, ça c'est pour les AC agréées pas le MINEFI dans le but de signer des activités comme la paie de la TVA en ligne et les activités administratives officielles, mais existe t'il d'autres organismes gouvernementaux pour les AC qui produisent par exemple des certificats pour de la vente en ligne classique ou toute autre service qui nécessite un cryptage ou une authentication ?
Réponse :
Les AC qui distribuent des certificats pour la vente en ligne sont le plus souvent des banques et ont donc l'agrément MINEFI pour les télé procédures administratives. De cet agrément peut découler une confiance pour leur certificat racine, quels que soient le types de certificats qu'ils émettent. Certaines entreprise s'auto-certifient, il ne tient qu'a vous dans ces cas de faire confiance à ces entreprises et il est alors particulièrement important de lire leur politique de certification et de se renseigner sur leur infrastructure de conservation des clés.
Question :
Comment peut on s'assurer que les certificats racines qui sont disponibles sur les sites Internet des AC généralement n'ont pas été détournés ou le site Web piraté ?
Réponse :
Ce qui est mis à disposition du public sur les sites Internet est uniquement la clé publique.
Les AC possèdent la clé privée correspondante et qui sert à générer les certificats pour les entreprises. Cette clef privée est liée mathématiquement à la clé publique et permet de vérifier la validité de cette dernière. De plus les sites proposant des certificats racines sont sous haute surveillance par leur propriétaires, mais aussi par leurs les organismes qui les agréent (le MINEFI contrôle les certificats de ChamberSign par exemple). Il n'est pas impossible qu'ils soient piratés, mais il existe des procédures automatiques de vérification de la validité des certificats racines en utilisant la clé privée. Si un certificat se trouvait altéré, il serait automatiquement restauré voir régénéré après révocation pour éliminer tout risque de mauvaise utilisation. C'est ensuite à l'utilisateur de tenir à jour la liste des révocations de son navigateur. Cela peut se faire automatiquement et les listes sont disponibles chez les AC.
Question :
Qu'en est il pour les certificats délivrés par une AC autre que l'une de celles qui sont agrées par le MINEFI ? Peut on par exemple faire confiance à un certificat racine VeriSign puisque c'est une entreprise privée étrangère ?
Réponse :
Non, si on pousse le raisonnement à bout il n'est pas possible de vérifier cela. Cependant, une CA est aussi digne d'une confiance proportionnelle au nombre d'utilisateurs qui utilisent ses certificats. Ainsi, VeriSign délivre énormément de certificats qu'elle s'est imposée, de fait, comme autorité de certification de confiance. De grosses entreprises comme Microsoft incluent les racines dans leurs navigateurs, et des clients comme le gouvernement Américain utilisent leurs certificats. Cependant, cela n'entraîne pas obligatoirement une confiance dans les certificats que cette entreprise émet. Il faut pour cela lire la PC-Type (Politique de Certification-Type, ex : http://www.minefi.gouv.fr/demateri [...] fi_dsi.pdf ) de l'organisme pour voir si les certificats délivrés sont dignes de confiances. Selon la procédure utilisé pour les délivrer, un certificat se retrouvera classé par niveaux de confiance (classes), on trouve ainsi des classe I, classe II ou classe III ainsi que des certificats délivrés uniquement en ligne appartenant à des classes correspondant à un niveau de confiance très faible.
Voilà, en gros ce que j'ai eu comme infos, si j'en apprends plus un jour je complèterai ça
Si j'ai dit des bêtises, n'hésitez pas à me corriger
En plus :
Une bonne collection d'articles (US) sur les certificats :
http://www.itsecurity.com/asktecs/may2301.htm
Quelques infos juridiques :
http://www.premier-ministre.gouv.fr/fr/p.cfm?ref=22008
Vérifier la révocation d'un certificat par le MINEFI :
http://www.icp.minefi.gouv.fr/
Un exemple d'endroit où télécharger un certificat racine par exemple ici pour VeriSign : https://www.verisign.com/support/site/rootDoc.html
Message édité par nima le 20-08-2004 à 15:45:49
