Il y a eu dernièrement une controverse au sujet d’une mise à jour récente qui a discrètement ajouté 17 nouveaux certificats racine à Windows (et supprimé 1) sans alerter les utilisateurs sur le fait, conduisant certains à appeler l’ensemble du système ‘cassé‘.

Nous avons donc pensé que c’était le bon moment pour expliquer ce que sont les certificats racines, et si les lecteurs doivent s’inquiéter…

Table des matières hide
1 Qu’est-ce qu’un certificat racine ?
2 Problèmes avec le système CA
3 Alors pourquoi tout ce tapage autour de l’ajout « sournois » de certificats racine par Microsoft ?
4 Comment supprimer un certificat racine

Qu’est-ce qu’un certificat racine ?

Lorsque vous visitez un site Web, comment savez-vous que c’est le site Web que vous pensez visiter ? La réponse d’Internet à ce problème est les certificats SSL (également appelés certificats HTTPS).

Lorsque vous visitez un site Web sécurisé SSL (https://), en plus de la connexion sécurisée à l’aide de Cryptage SSL/TSL, le site Web présentera à votre navigateur un certificat SSL indiquant qu’il (ou plus précisément la propriété de la clé publique du site Web) a été authentifié par un Autorité de certification (CALIFORNIE). Il y a quelques 1200 ces CA existent.

Si un navigateur reçoit un certificat valide, il supposera qu’un site Web est authentique, initiera une connexion sécurisée et affichera un cadenas verrouillé dans sa barre d’URL pour alerter les utilisateurs qu’il considère le site Web authentique et sécurisé.

Publicité

Une Capture D'Écran D'Un Site Web Proprivacy.com Dans La Barre D'Url Du Navigateur Firefox

Ce système, qui est la pierre angulaire de la sécurité sur Internet, et est utilisé à peu près sur tous les sites Web sécurisés qui traitent des informations sensibles (y compris les banques, les services de messagerie Web, les processeurs de paiement, etc.) repose donc sur la confiance des AC.

Les autorités de certification émettent des certificats sur la base d’une chaîne de confiance, émettant plusieurs certificats sous la forme d’un arborescence aux AC moins autorisées. Une autorité de certification racine est donc la ancre de confiance sur laquelle repose la confiance dans toutes les autorités de certification moins autoritaires. Un certificat racine est utilisé pour authentifier une autorité de certification racine.

Alors, qui délivre les certificats racine ?Certificat Racine

D’une manière générale, les certificats racine sont distribués par les développeurs d’OS tels que Microsoft et Pomme. La plupart des applications et navigateurs tiers (tels que Chrome) utilisent les certificats racine du système, mais certains développeurs utilisent les leurs, notamment Mozilla (Firefox), Adobe, Opera et Oracle, qui sont utilisés par leurs produits.

Problèmes avec le système CA

L’ensemble du système CA repose donc sur la confiance, alors comment savez-vous que ces certificats sont dignes de confiance ? Eh bien, à la fin de la journée, vous devez faire confiance Quelqu’un, et si vous faites confiance aux développeurs du logiciel que vous utilisez, vous devez en quelque sorte faire confiance à leurs certificats.

C’est du moins la théorie. Comme le montre un récent avertissement de Google concernant les faux certificats SSL, une seule autorité de certification « voyouse » émettant des certificats peu fiables peut causer des ravages et, malheureusement, les autorités de certification peuvent (et ont été connu à) émettre faux certificats . Le coupable habituel pour cela est sans scrupules Gouvernements exerçant une pression sur les sociétés d’autorités de certification, mais les criminels peuvent également renforcer les autorités de certification et les pirates informatiques peuvent compromettre leurs systèmes.

L’Electronic Frontier Foundation (EFF) a lancé une Observatoire SSL dans le but d’enquêter sur tous les certificats utilisés pour sécuriser l’internet, en invitant le public à lui envoyer des certificats pour analyse. Pour autant que nous le sachions, cependant, ce projet n’a jamais vraiment décollé et est resté en sommeil pendant des années.

Alors pourquoi tout ce tapage autour de l’ajout « sournois » de certificats racine par Microsoft ?

Certains commentateurs se sont mis dans un tizz sur l’ajout de nouveaux certificats racine par Microsoft sans alerter les utilisateurs ni leur demander leur autorisation. Nous devons cependant noter que la grande majorité des utilisateurs (y compris nous) n’ont aucun moyen fiable de déterminer si une autorité de certification racine donnée est digne de confiance ou non, ce qui rend tout ce différend plutôt inutile à notre avis…

Si vous ne faites pas confiance à Microsoft, n’utilisez pas Windows. Bien sûr, si vous êtes sérieux au sujet de la sécurité, vous ne devriez de toute façon pas faire confiance à Microsoft, et il est très probable que certains des certificats racine déjà fournis avec Windows permettent à la NSA d’effectuer MitM attaques sur votre ordinateur s’ils le souhaitent. Ceux-ci pourraient en théorie vous diriger vers de faux sites Web qui semblent authentiques pour votre navigateur grâce à de faux certificats SSL.

Ceux qui sont sérieux au sujet de la sécurité devraient utiliser Linux (et de préférence une distribution renforcée). Il faut aussi souligner qu’aucun OS mobile ne peut être considéré le moins du monde comme sécurisé.

Pour ce que ça vaut, la liste des nouvelles autorités de certification récemment ajouté à la Liste de confiance des certificats Microsoft nous semble assez inoffensif (beaucoup sont simplement des mises à niveau vers des certificats plus anciens), mais qui sait ?

Comment supprimer un certificat racine

Si vous n’aimez vraiment pas une autorité de certification racine particulière, vous pouvez supprimer son certificat racine. Soyez averti que cela rend tous les certificats émis par cette autorité de certification non fiables, ainsi que tous ceux de l’une des « moins nombreuses » AC qu’elle a autorisées. Les supprimer peut avoir un impact très négatif sur votre expérience Internet.

À la suite du récent fiasco des faux certificats de Google, certaines personnes recommandent de supprimer les autorités de certification chinoises. Nous soulignons, cependant, que le faire est entièrement à vos risques et périls.

les fenêtres

Nous utilisons Windows 8.1, mais le processus devrait être à peu près le même sur toutes les versions de Windows.

1. Cliquez avec le bouton droit sur l’icône Internet Explorer -> Exécuter en tant qu’administrateur

2. Allez dans Outils (icône d’engrenage en haut à droite) -> Options Internet -> onglet Contenu -> Certificats -> Autorités de certification racines de confiance

3. Sélectionnez le certificat que vous souhaitez supprimer et appuyez sur « Supprimer ». Notez que c’est probablement une très bonne idée d' »exporter » un certificat pour la sauvegarde d’abord afin de pouvoir le « restaurer » plus tard si nécessaire.Certificats Racine Ie

Firefox (versions de bureau uniquement)

1. Ouvrez Firefox et allez dans le menu Ouvrir -> Options -> Avancé -> Certificats -> Afficher les certificats

2. Dans la fenêtre du gestionnaire de certificats, cliquez sur l’onglet « Autorités » et vous verrez la liste des autorités de certification racine autorisées, ainsi que le ou les certificats qu’elles ont autorisés en dessous d’elles.

3. Cliquez sur un certificat que vous n’aimez pas et appuyez sur « Supprimer ou ne pas faire confiance »Certificats Racine Firefox 1

Appuyez sur OK si vous êtes sûrCertificats Racine Firefox 2

Pour supprimer complètement une autorité de certification racine donnée, vous devez « Supprimer ou ne pas faire confiance » à tous les certificats qu’elle a autorisés. Comme pour la suppression des certificats racine Windows, nous vous conseillons fortement de sauvegarder d’abord les certificats supprimés.

Mac OS X

Je ne suis pas un utilisateur Mac, mais si j’ai bien compris, Apple n’autorise pas les utilisateurs à supprimer les certificats racine, même lorsqu’ils utilisent racine privilèges. Les certificats non racine peuvent être supprimés à l’aide de Keychain Access.

Android (5.1 Lollipop, mais similaire sur toutes les versions)

1. Allez dans Paramètres -> Sécurité -> Identifiants de confiance -> onglet Système. Appuyez sur la coche verte à côté du certificat que vous n’aimez pas

2. Faites défiler les détails du certificat jusqu’en bas et sélectionnez « Désactiver »Certificats Racine Android 1

iOSCertificats Racine Android 2

Les certificats racine ne peuvent pas être supprimés dans iOS (les certificats personnels peuvent être supprimé à l’aide de l’utilitaire de configuration iPhone).

Ubuntu (sera similaire pour la plupart des versions de Linux)

Le moyen le plus simple de désélectionner les CA est d’ouvrir Terminal et d’exécuter :

sudo dpkg-reconfigure ca-certificats

Appuyez sur espace pour désélectionner un certificat.Certificats Racine Ubuntu 3

La liste des CA est stockée dans le fichier /etc/ca-certificates.conf. Celui-ci peut être modifié manuellement en saisissant :

nano /etc/ca-certificates.conf

Si vous modifiez ce fichier manuellement, vous devez exécuter la commande suivante pour mettre à jour les certificats réels dans /etc/ssl/certs/ :Certificats Racine Ubuntu 4

sudo update-ca-certificats

(Si vous utilisez dpkg-reconfigure, cela se fait automatiquement).

5/5 - (1 vote)
Publicité
Article précédentCrypto-monnaie en Australie 2021
Article suivantJourney’s End arrive sur Nintendo Switch • Fr.techtribune
Papillion Linville
Papillion Linville

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici