Importer un certificat racine

De Cliss XXI
Révision datée du 11 avril 2011 à 13:49 par imported>XavierBéguin (Comment importer un certificat racine sous Firefox ou sous Thunderbird)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Sauter à la navigation Sauter à la recherche

Cette page décrit les étapes à suivre pour importer le certificat racine d'une autorité de certification sous le navigateur Firefox et le lecteur de mail Thunderbird.

On prend ici l'exemple de l'autorité de certification CACert (page wikipédia en anglais), une autorité à but non lucrative, notamment utilisée par Cliss XXI.

Pourquoi importer un certificat racine

L'importation d'un certificat racine dans le magasin de votre logiciel est nécessaire lorsque vous souhaitez vous connecter à un serveur en utilisant une connexion sécurisée (que ce soit pour accéder à un site web ou pour lire votre courriel), mais que ce serveur présente un certificat qui a été signé par un tiers de confiance dont le certificat racine ne figure pas dans le magasin de votre logiciel.

Dans ce cas, votre logiciel va vous prévenir (par une page ou une fenêtre d'alerte) que le certificat n'a pas été reconnu, et, par conséquent, que l'identité du serveur auquel vous souhaitez vous connecter ne peut être établie.

La plupart des logiciels vous propose d'accepter un certificat non reconnu de façon permanente, éliminant ainsi l'apparition du message d'alerte lorsque vous vous connectez au serveur utilisant ce certificat. Cette solution ne devrait jamais être utilisée sans savoir exactement ce que vous faites. Si le serveur auquel vous voulez vous connecter utilise un certificat non reconnu par votre logiciel, préférez toujours l'importation du certificat racine de l'autorité de confiance qui l'a signé (s'il y en a une; certains certificats ne sont pas signés par un tiers, et cette solution ne s'applique donc pas.)

Pour savoir pourquoi il est très important d'importer un certificat racine d'une autorité de confiance plutôt que d'accepter de se connecter avec le certificat non reconnu d'un serveur, lisez notre page Connexion_Sécurisée qui présente le fonctionnement des certificats permettant de sécuriser les connexions.

Pour résumer, l'importation du certificat racine d'une autorité de certification revient à déléguer la vérification de l'identité du site web à un tiers qui est sensé le faire correctement. Vous ne vous en remettez alors plus uniquement à la personne ayant mis en place le serveur pour en garantir l'identité, mais à une organisation tierce qui présentera des garanties de sérieux nécessaires pour exercer cette fonction.

Pratiquement, cela a aussi l'avantage de permettre à votre logiciel de continuer à reconnaître le certificat du serveur lorsqu'il sera renouvellé (un certificat doit être périodiquement renouvelé), ainsi que de reconnaître également les certificats des autres serveurs dont le certificat a été signé par le même tiers.

Importer un certificat racine sous Firefox

Pour importer le certificat racine d'une autorité de certification, suivez ces étapes:

1. téléchargez le certificat racine: en cliquant sur un lien vers le certificat, le navigateur vous proposera automatiquement de l'importer dans votre magasin. Pour CACert, suivez ce lien: http://www.cacert.org/certs/root.crt

2. une petite fenêtre de dialogue s'ouvre alors, vous proposant de confirmer votre volonté de faire confiance en l'autorité de certification représentée par le certificat racine:

Moz import certificat.png

3. cliquez sur le bouton « voir » pour vous assurer que le contenu du certificat est bien celui que vous voulez importer

Moz detail certificat.png
Il est important de vérifier que les empreintes numériques sont bien correctes pour vous assurer que le certificat n'a pas été modifié à votre insu. Ces empreintes sont publiées sur le site web de l'autorité de certification. Pour CA Cert, vous pouvez les trouver sur la page http://www.cacert.org/index.php?id=3, les voici reproduites ici:
Fingerprint SHA1: 13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
Fingerprint MD5: A6:1B:37:5E:39:0D:9C:36:54:EE:BD:20:31:46:1F:6B

4. une fois les empreintes vérifiées, cochez les trois cases pour confirmer que vous faites confiance en cette aurorité de certification, et cliquez sur le bouton « OK » pour valider

5. le certificat est maintenant importé, il doit apparaître dans le magasin des certificats d'autorités. Celui de CA Cert apparaît dans la section « Root CA », sous le nom « CA Cert Signing Authority ».

Moz magasin certificats CACert.png

Importer un certificat racine sous Thunderbird