Video Screencast Help
Website Security Solutions

Certificats expirés, alertes dans les navigateurs et OCSP

Created: 16 Jul 2013 • Updated: 18 Jul 2013 • Translations available: English, Deutsch
Andrew Horbury's picture
0 0 Votes
Login to vote

i vous avez lu mon dernier billet, vous savez quel genre de mauvais conseils certains sites donnent à leurs visiteurs. À ce propos, j’ai pensé qu’il serait utile de s’arrêter un instant sur ces messages d’erreur et sur leur signification, avant de lever le voile sur les mesures que nous prenons en arrière-plan pour assurer votre sécurité.

Tout d’abord, en cas d’expiration d’un certificat, il arrive que des alertes de sécurité s’affichent dans les navigateurs Web. Pourquoi ces avertissements ? Prenons l’exemple d’un site où vous démarrez une session sécurisée (par exemple, lorsque vous vous connectez à votre messagerie Web). Au moment de votre connexion, le serveur hébergeant ce site présente à votre navigateur un certificat SSL qui permet de l'authentifier. Ce certificat contient différents types d'informations d'identification du site, notamment son URL, vérifiées au préalable par une autorité de certification tierce (comme Symantec) à laquelle votre navigateur fait confiance. En s’assurant que l’adresse du certificat correspond bien à celle du site et en vérifiant la validité de ce certificat, votre navigateur atteste de l’identité du site Web visité et de la sécurisation de vos communications. Ainsi, vous êtes protégé contre d’éventuels imposteurs et autres cybercriminels qui chercheraient à subtiliser vos informations de connexion. On comprend alors mieux pourquoi en cas d’affichage d’une image comme celle dans mon précédent billet, une seule solution s'impose : la fuite.

On rencontre également des écrans d’avertissement pour les certificats SSL en cours de validité. Là encore, il existe une explication simple. Le signataire de chaque certificat doit maintenir une liste de révocation généralement appelée Online Certificate Status Protocol (OCSP), anciennement Certificate Revocation List (vous trouverez ici des détails en anglais sur le protocole OSCP et la révocation SSL). Or, cette liste est absolument primordiale. Il y a quelques années, l'autorité de certification (AC) DigiNotar fut gravement compromise lorsqu'elle émit pour des hackers iraniens des certificats frauduleux couvrant plusieurs dizaines de domaines Internet, y compris des messageries Web publiques réputées et des services voix/de messagerie instantanée. En réaction, tous les principaux éditeurs de navigateurs Web retirèrent immédiatement leur confiance des certificats émis par les AC du groupe DigiNotar. Si les internautes étaient passés outre les avertissements des navigateurs, leurs identifiants et mots de passe auraient été volés et des personnes mal intentionnées auraient pu mettre la main sur des informations privées les concernant. Mise au ban par la communauté Internet, DigiNotar dut rapidement mettre la clé sous la porte. De son côté, l’autorité émettrice d’un certificat SSL a la possibilité de le révoquer en cas de compromission avérée. Il lui suffit pour cela d’ajouter le nom du domaine en question à la liste de révocation, enjoignant ainsi les navigateurs de ne plus faire confiance à ce certificat.

Cependant, nul besoin de maintenir les certificats expirés sur la liste de révocation (peut-être qu’un certificat valide équipait autrefois le site Web visité ?). Si un message informe un internaute de l'expiration du certificat, celui-ci ne devrait sous aucun prétexte se rendre sur le site. Pour ma part, j’irais même jusqu’à lui recommander de contacter l’entreprise en question par téléphone ou par e-mail pour l’informer de la situation. Après tout, l’internaute constitue lui aussi un maillon de la chaîne de confiance en ligne.

Bien entendu, il existe d’autres raisons pour lesquelles un message d’avertissement pourra s’afficher :

  • Mauvaise installation du certificat SSL
  • Défiance du navigateur Web vis-à-vis de l’autorité de certification émettrice (en anglais)
  • Certificats autosignés (dans ce cas, le navigateur ne fait pas confiance à la racine du certificat)
  • Placement sur liste noire d’un moteur de recherche à la suite de l’infection du site

Quant aux cyberentreprises, elles peuvent prendre diverses mesures pour éviter les avertissements de sécurité sur leur site :

  • Envisager l’utilisation du Qualys server checker tool (en anglais) pour vérifier la bonne installation de leur chaîne complète de certification, la désactivation des protocoles et algorithmes précédemment vulnérables, et la bonne implémentation de la technologie SSL sur leur site Web
  • Configurer des préavis d’expiration des certificats SSL, sachant que dans bien des cas, il est possible de renouveler jusqu’à 90 jours à l’avance, sans aucune pénalité – il s’agit en fait d’une bonne pratique
  • Sur les grands parcs de certificats, envisager une solution de type Symantec Certificate Intelligence Center, une console centralisée qui suit et automatise le renouvellement et la gestion des certificats Symantec SSL
  • Procéder régulièrement à des analyses anti-malware et à la détection des vulnérabilités sur leur site
  • En prime, les clients Symantec peuvent contacter notre équipe de support 24h/7j en cas de besoin

La confiance se trouve au cœur du commerce et de la communication en ligne. C’est pourquoi nous devons déployer tous les efforts possibles pour inspirer ce sentiment à nos clients.