Information et décisions sur les certificats

Cette section contient la description du mode d'utilisation des diverses fenêtres affichées à différents moments par le Gestionnaire de certificats. L'information supplémentaire fournie ci-après apparaît lorsque vous cliquez sur le bouton Aide dans l'une de ces fenêtres.

Visualiseur de certificat

Le visualiseur de certificat permet d'afficher l'information sur un certificat que vous avez sélectionné dans l'un des onglets du Gestionnaire de certificats. L'onglet Général résume l'information sur l'émetteur du certificat, son état de vérification, l'utilisation qui peut en être faite, etc. L'onglet Détails fournit les détails complets sur le contenu du certificat.

Si vous n'utilisez pas couramment le visualiseur de certificat, suivez les étapes ci-après :

1. Ouvrez le menu Outils, puis choisissez Options;
2. Sélectionnez le panneau Évolué, puis cliquez sur la catégorie Certificat;
3. Cliquez sur le bouton Gérer les certificats;
4. Cliquez sur l'onglet pour le type de certificat dont vous voulez voir les détails;
5. Sélectionnez le certificat dont vous voulez voir les détails;
6. Cliquez sur Afficher.

Dans cette section : Onglet Général Onglet Détails

Onglet Général

Lorsque vous ouvrez pour la première fois le visualiseur de certificat, l'onglet Général affiche plusieurs types d'information sur le certificat sélectionné :

• Ce certificat a été vérifié pour les utilisations suivantes - Voir Vérification de certificat pour une présentation du mode de vérification des certificats par le Gestionnaire de certificats. Les utilisations possibles sont :
• Certificat du client (SSL) - Certificat utilisé pour vous identifier auprès des sites Web.
• Certificat du serveur (SSL) - Certificat utilisé pour identifier un serveur de site Web pour les navigateurs.
• Certificat de l'entité qui signe (courriel) - Certificat utilisé pour vous identifier aux fins de la signature numérique des courriels.
• Certificat du destinataire (courriel) - Certificat utilisé pour identifier une autre personne, par exemple pour que vous puissiez lui envoyer un courriel chiffré.
• Certificat de l'entité appelée (état) - Certificat utilisé pour identifier l'état de l'entité appelée en ligne qui utilise le protocole de vérification de statut de certificat en ligne (OCSP) pour vérifier la validité des certificats; pour de plus amples renseignements sur le protocole OCSP, voir Paramètres de validation.
• Autorité de certification (SSL) - Certificat utilisé pour identifier une autorité de certification, c'est-à-dire un service qui émet des certificats pour l'identification sur les réseaux informatiques.
• Émis à - Résume l'information suivante sur le certificat :
• Nom courant - Le nom de la personne ou d'une autre entité que le certificat identifie.
• Organisation - Le nom de l'organisation à laquelle l'entité appartient (par exemple le nom d'une société).
• Unité structurelle - Le nom de l'objet à laquelle l'entité appartient (par exemple le Service de la compabilité).
• Numéro de série - Le numéro de série du certificat.
• Émetteur - Résume l'information (semblable à celle fournie sous Émis à, ci-dessus) sur l'autorité de certification (AC) qui a émis le certificat.
• Validité - Indique la période de validité du certificat.
• Empreintes - Liste les empreintes du certificat. Une empreinte est un nombre unique produit en appliquant une fonction mathématique au contenu du certificat. L'empreinte d'un certificat peut servir à assurer que le certificat n'a pas été altéré.

Onglet Détails

Cliquez sur l'onglet Détails au début du visualiseur de certificat pour voir des informations plus détaillées sur le certificat sélectionné. Pour examiner l'information pour tout certificat dans la zone Hiérarchie du certificat, sélectionnez son nom, le champ sous les champs du certificat que vous voulez examiner, et lisez la valeur du champ sous Valeur du champ :

• Hiérarchie du certificat - Affiche la chaîne de certificats, avec le certificat que vous avez sélectionné à l'origine à la partie inférieure. Une chaîne de certificats est une liste hiérarchique de certificats signés par des autorités de certification (AC) successives. Un certificat d'autorité de certification identifie une autorité de certification et sert à signer les certificats émis par cette autorité. Un certificat d'autorité de certification peut à son tour être signé par le certificat d'autorité de certification de l'AC parent, et ainsi de suite, jusqu'à l'autorité de certification racine.
• Champs du certificat - Affiche les champs du certificat sélectionné sous Hiérarchie du certificat.
• Valeur du champ - Affiche la valeur du champ sélectionné sous Champs du certificat.

Le visualiseur de certificat affiche les types ANSI de base sous forme interprétable par une personne dans la mesure du possible. Pour les champs dont le contenu ne peut pas être interprété par le Gestionnaire de certificats, les valeurs réelles contenues dans le certificat sont affichées.

Choisir le périphérique de sécurité

Un périphérique de sécurité (qu'on appelle parfois un jeton) est un matériel ou un logiciel qui assure les services de cryptage et de décryptage et peut stocker des certificats et des clés. La fenêtre Choisir le périphérique de sécurité apparaît lorsque le Gestionnaire de certificats a besoin d'aide pour déterminer le périphérique de sécurité à utiliser dans l'importation d'un certificat ou l'exécution d'une opération de cryptage, comme la production de clés pour un nouveau certificat. Cette fenêtre vous permet de sélectionner un ou plusieurs périphériques de sécurité que le Gestionnaire de certificats a détectés dans votre machine.

Une carte à uce est un exemple de périphérique matériel de sécurité Par exemple, si un lecteur de cartes à puce raccordé à votre ordinateur intègre une carte à puce, le nom de celle-ci s'affiche dans le menu déroulant. Dans ce cas, vous devez choisir le nom de la carte à puce dans le menu pour que le Gestionnaire de certificats sache que vous voulez l'utiliser.

Le Gestionnaire de certificats contient son propre périphérique de sécurité par défaut, que des périphériques supplémentaires soient disponibles ou non.

Copie de clé de chiffrement

Les autorités de certification (AC)i qui émettent des certificats distincts de signature et de chiffrement des courriels font en général des copies de secours de votre clé de cryptage privée dans le processus d'inscription des certificats.

La boîte de dialogue Copie de clé de chiffrement vous permet d'approuver la création d'une telle copie de secours ou d'annuler la demande de certificat. Une AC qui a archivé une copie de secours de votre clé de chiffrement est capable de décrypter tout message que vous recevez et qui avait été chiffré à l'aide de votre clé publique correspondante..

Vous pouvez effectuer les opérations ci-après depuis la boîte de dialogue Copie de clé de chiffrement :

• Voir le certificat - Pour voir le certificat qui identifie l'AC demandeuse de la copie de secours, cliquez sur Voir le certificat.

• OK - Si vous vous fiez à l'AC identifiée par le certificat d'AC pour décrypter les messages cryptés que vous recevez, cliquez sur OK.

  Si vous n'êtes pas sûr de la fiabilité de l'AC qui demande la copie de secours, consultez votre administrateur système.

• Annuler - Si vous ne vous fiez pas à l'AC qui demande la copie de secours, ne lui demandez pas un certificat. Cliquez sur Annuler pour arrêter la procédure de secours et la demande de certificat.

Après que votre AC aura fait une copie de secours de la clé de chiffrement, vous pourrez utiliser cette clé pour accéder à votre courrier électronique crypté, même si vous perdez votre mot de passe ou votre propre copie de la clé. Si aucune copie de secours de votre clé de chiffrement n'existe, et que vous perdez votre mot de passe ou la clé, vous n'aurez aucun moyen de lire les courriels qui étaient chiffrés à l'aide de cette clé.

Certificat sauvegardé

Lorsque vous recevez un certificat, faites une copie de secours du certificat et de sa clé privée, puis stockez la copie en lieu sûr. Par exemple, vous pouvez sauvegarder la copie dans une disquette et la stocker avec d'autres articles de valeur en lieu sûr. De cette manière, même si vous avez des problèmes d'altération de disque dur ou de fichier, vous pouvez facilement reataurer le certificat.

Il peut s'avérer peu commode au mieux, et catastrophique dans certaines situations, de perdre votre certificat et la clé privée qui s'y rattache, selon l'utilisation que vous en faites. Par exemple :

• Si vous perdez un certificat qui vous identifie auprès de sites Web importants, vous ne pourrez pas accéder à ces sites Web tant que vous n'aurez pas obtenu un nouveau certificat.
• Si vous perdez un certificat utilisé pour chiffrer les courriels, vous ne pourrez lire aucun de vos courriels cryptés, y compris les messages chiffrés que vous avez envoyés et les messages chiffrés que vous avez reçus. Dans ce cas, si vous ne pouvez pas obtenir une copie de secours de la clé de chiffrement privée associée au certificat, vous ne pourrez jamais lire des messages cryptés à l'aide de cette clé

Comme toutes les autres données de valeur, vous devez faire une copie de secours des certificats pour éviter de futures difficultés et dépenses. Faites-le immédiatement pour que vous n'oubliiez pas.

Demande d'identification de l'utilisateur

Certains sites Web exigent de vous identifier à l'aide d'un certificat au lieu d'utiliser un nom et un mot de passe, parce que les certificats constituent un moyen plus fiable d'identification. Cette méthode d'identification personnelle dans le réseau Internet s'appelle parfois authentification du client.

Toutefois, le Gestionnaire de certificats peut disposer de plusieurs certificats pouvant être utilisés pour vous identifier auprès d'un site Web. Dans ce cas, le Gestionnaire de certificats vous présente la boîte de dialogue Demande d'identification de l'utilisateur, qui affiche deux types d'information :

Ce site a demandé de vous identifier à l'aide d'un certificat - Cette section de la boîte de dialogue fournit l'information ci-après :

• Nom d'hôte - Le nom du serveur qui demande l'identification, utilisé dans le cadre de son adresse URL. Par exemple, le nom d'hôte du site Web de Netscape est home.netscape.com;
• Organization - Le nom de l'organisation qui exploite le site Web;
• Émis par - Le nom de l'autorité de certification (AC) qui a émis le certificat.

Choisir un certificat à présenter pour l'identification - Les certificats dont vous disposez pour vous identifier auprès d'un site Web apparaissent dans la liste déroulante de cette section de la boîte de dialogue. Choisissez le certificat qui semble le plus probablement reconnaissable par le site Web que vous voulez visiter.

Pour vous aider à prendre une décision, les détails ci-après sur le certificat sélectionné s'affichent :

• Émis à - Contient l'information sur la personne identifiée par le certificat (par exemple, votre nom et votre adresse électronique), ainsi que le numéro de série du certificat et ses dates de validité;
• Émetteur - Résume l'information sur l'AC qui a émis le certificat, comme son nom, son emplacement et son état.

Nouvelle autorité de certification

Le certificat dont dispose le Gestionnaire de certificats, qu'il soit stocké dans un périphérique de sécurité externe comme une carte à puce, sont ceux qui identifient les autorités de certification (AC). Pour pouvoir reconnaître tout autre certificat à sa disposition, le Gestionnaire de certificats doit avoir des certificats pour les AC qui ont émis ces certificats ou en ont autorisé l'émission.

Lorsque vous décidez de vous fier à une AC, le Gestionnaire de certificats télécharge un certificat d'AC et peut alors reconnaître les types de certificat que cette AC de confiance émettra.

Avant de télécharger un nouveau certificat d'AC, le Gestionnaire de certificats vous permet de préciser les fins pour lesquelles vous vous fiez au certificat, s'il y a lieu. Vous pouvez sélectionner l'une des options ci-après :

• Faire confiance à cette AC pour identifier des sites Web - Les certificats du serveur pour certains sites, comme ceux qui traitent des opérations financières, peuvent être extrêmement importants, et une identification incorrecte ou fausse peut avoir des conséquences négatives;
• Faire confiance à cette AC pour identifier des utilisateurs de courriel - Si vous avez l'intention d'envoyer à des utilisateurs de courriel des informations confidentielles sous forme chiffrée, ou si l'identification précise des utilisateurs de courriel est importante pour vous pour toute autre raison, vous devez examiner soigneusement les procédures de l'AC pour identifier les propriétaires de certificats possibles et déterminer s'ils conviennent à vos fins avant de sélectionner cette option.
• Faire confiance à cette AC pour identifier des développeurs de logiciel - La sélection de cette option veut dire que vous vous fiez à cette AC pour émettre des certificats qui identifient l'origine des applets Java et des scripts JavaScript demandant un accès spécial à votre ordinateur, comme la capacité de changer des fichiers. Comme ces privilèges d'accès peuvent l'objet d'une utilisation abusive, par exemple la destruction des données stockées dans votre disque dur, faites attention lorsque vous sélectionnez cette option à moins d'être certain que vous vous fiez à l'AC pour cette fin.

Avant de décider de vous fier à une nouvelle AC, assurez-vous de savoir qui l'exploite. Assurez-vous que les politiques et procédures de l'AC conviennent aux types de certificats qu'elle émet. Par exemple, si l'AC émet des certificats pour identifier des sites Web que vous utilisez pour des opérations bancaires, assurez-vous que vous êtes à l'aise avec le niveau d'assurance que l'AC offre.

• Afficher - Cliquez sur ce bouton pour voir le certificat d'AC que vous allez télécharger. Si vous décidez que vous ne voulez pas télécharger ce certificat, cliquez sur Annuler.

Certificats de site Web

Une des fenêtres présentées ici peut apparaître lorsque vous essayez d'aller dans un site Web qui prend en charge l'utilisation du protocole SSL pour l'authentification et le chiffrement.

Site Web certifié par une autorité inconnue

De nombreux sites Web utilisent des certificats pour s'identifier lorsque vous visitez le site. Si le Gestionnaire de certificats ne reconnaît pas l'autorité de certification (AC) qui a émis le certificat d'un site Web, il affiche une alerte qui vous permet d'examiner le nouveau certificat de site Web et d'arrêter votre plan d'action.

• Examiner le certificat - Cliquez sur ce bouton pour voir le certificat du site Web.

Vous pouvez choisir une de ces options dans cette alerte :

• Accepter ce certificat en permanence. Sélectionnez cette option pour accepter le certificat (en dépit du problème apparent) et vous raccorder au site Web. Le Gestionnaire de certificats reconnaît ce certificat comme preuve d'identification légitime tant que le certificat n'a pas expiré.
• Accepter ce certificat temporairement pour cette session. Sélectionnez cette option pour accepter le certificat à titre temporaire et vous raccorder au site Web. Le Gestionnaire de certificats ne reconnaît pas ce certificat comme preuve d'identification légitime aussi longtemps que vous n'aurez pas lancé le navigateur. Vous pouvez recevoir la même alerte la prochaine fois que vous essaierez de visiter le site Web.
• Ne pas accepter ce certificat et ne pas vous brancher à ce site Web. Sélectionnez cette option si vous décidez de ne pas visiter du tout le site Web. Cette option peut convenir par exemple si vous effectuez des opérations bancaires dans le site Web. Dans ce cas, peut-être devez-vous signaler le problème à la banque ou une autre organisation qui exploite le site, et confirmer que le certificat du site est valide avant de procéder.

Cliquez sur OK pour confirmer votre choix. Si vous cliquez sur Annuler, le Gestionnaire de certificats ne reconnaît pas le certificat comme preuve d'identification légitime et n'établira pas la connexion au site Web.

Note importante pour les administrateurs de serveur - Cette alerte peut être déclenchée par un serveur qui n'est pas configuré convenablement. Pour déterminer si cela est le cas, l'administrateur du serveur ou le webmestre du site que vous essayez de visiter doit vérifier l'état de toutes les AC intermédiaires requises et, au besoin, installer le certificat manquant dans le serveur.

Si vous décidez de communiquer avec le webmestre du site au sujet de cette question, vous pouvez inclure l'information ci-après :

• L'administrateur du serveur peut obtenir de plus amples renseignements sur les AC intermédiaires dans le site ci-après dont l'adresse URL est :
  
  http://kb.verisign.com/esupport/esupport/consumer/esupport.asp?id=vs2119
• Si le serveur utilise un certificat VeriSign, l'administrateur du serveuir peut télécharger le certificat convenable depuis le site ci-après dont l'adresse URL est :
  
  http://www.verisign.com/support/install/index.html

Pour les utilisateurs avertis - Pour assurer que le Gestionnaire de certificats se fie à tous les certificats émis par une AC particulière, vous pouvez éditer la configuration de confiance du certificat d'AC correspondant. Pour cela, suivez les étapes ci-après :

1. Ouvrez le menu Outils, puis choisissez Options;
2. Sélectionnez le panneau Évolué, puis cliquez sur la catégorie Certificats;
3. Cliquez sur Gérer les certificats;
4. Cliquez sur l'onglet Autorités;
5. Sélectionnez le certificat d'AC dont vous voulez éditer la configuration de confiance;
6. Cliquez sur le bouton Éditer, puis sélectionnez la configuration de confiance convenable.

Expiration de certificat de serveur

Comme pour une carte de crédit, un permis de conduire et beaucoup d'autres documents d'identification, un certificat est valide pour une période déterminée. Lorsqu'un certificat expire, son propriétaire a besoin de s'en procurer un nouveau.

Le Gestionnaire de certificats vous met en garde lorsque vous essayez de visiter un site Web dont le certificat de serveur a expiré. La première chose que vous devez faire est de vous assurer que la date et l'heure affichées par votre ordinateur sont correctes. Si l'horloge de votre ordnateur est réglée sur une date postérieure à la date d'expiration, le Gestionnaire de certificats considère que le certificat de site Web a expiré.

Si l'horloge de votre ordinateur est convenablement réglée, vous devez décider si vous vous fiez au site ou non. Cette décision dépend de ce que vous comptez faire dans le site et de ce que vous en savez par ailleurs. La plupart des sites commerciaux s'assureront de remplacer leurs certificats avant leur expiration.

Vous pouvez prendre les mesures ci-après depuis la boîte de dialogue Expiration de certificat de serveur :

• Voir le certificat - Pour examiner l'information sur le certificat, y compris sa période de validité, cliquez sur Voir le certificat.

• OK - Si vous avez une raison de croire que l'expiration du certificat est une erreur d'inadvertance, vous pouvez choisir de cliquer sur OK pour accepter le certificat malgré tout pour cette session, et signaler le problème au webmestre de ce site.

  Faites attention aux opérations que vous effectuez pendant que vous visitez le site.

• Annuler - Si vous soupçonnez qu'il existe peut-être un grave problème, et que vous ne voulez pas vous risquer du tout à visiter le site, cliquez sur Annuler (dans ce cas, le Gestionnaire de certificats ne vous connectera pas au site).

Certificat de serveur non encore valide

Comme pour une carte de crédit, un permis de conduire et beaucoup d'autres documents d'identification, un certificat est valide pour une période déterminée..

Le Gestionnaire de certificats vous met en garde lorsque vous essayez de visiter un site Web dont la période de validité du certificat de serveur n'a pas encore débuté. La première chose que vous devez faire est de vous assurer que la date et l'heure affichées par votre ordinateur sont correctes. Si l'horloge de votre ordnateur est réglée sur la mauvaise date, le Gestionnaire de certificats peut considérer que le certificat de serveur n'est pas encore valide, même si cela n'est pas le cas.

Si l'horloge de votre ordinateur est convenablement réglée, vous devez décider si vous vous fiez au site ou non. Cette décision dépend de ce que vous comptez faire dans le site et de ce que vous en savez par ailleurs. La plupart des sites commerciaux s'assureront que la période de validité de leurs certificats a débuté avant de commencer à les utiliser.

Vous pouvez prendre les mesures ci-après depuis la boîte de dialogue Certificat de serveur non encore valide :

• Voir le certificat - Pour examiner l'information sur le certificat, y compris sa période de validité, cliquez sur Voir le certificat.

• OK - Si vous avez une raison de croire que le problème est une erreur d'inadvertance, vous pouvez choisir de cliquer sur OK pour accepter le certificat malgré tout pour cette session, et signaler le problème au webmestre de ce site.

  Faites attention aux opérations que vous effectuez pendant que vous visitez le site.

• Annuler - Si vous soupçonnez qu'il existe peut-être un grave problème, et que vous ne voulez pas vous risquer du tout à visiter le site, cliquez sur Annuler (dans ce cas, le Gestionnaire de certificats ne vous connectera pas au site).

Discordance de nom de domaine

Un certificat de serveur précise le nom du serveur sous la forme du nom de domaine du site. Par exemple, le nom de domaine du site Web de Netscape est home.netscape.com. Si le nom de domaine dans le certificat d'un serveur ne concorde pas avec le nom de domaine réel du site Web, c'est peut-être un signe que quelqu'un essaie d'intercepter votre communication avec le site Web.

La décision de savoir s'il convient de se fier ou non au site dépend de ce que vous comptez faire dans le site et de ce que vous en savez par ailleurs. La plupart des sites commerciaux s'assureront que le nom d'hôte d'un certificat de site Web concorde avec le nom d'hôte réel du site Web.

Vous pouvez prendre les mesures ci-après depuis la boîte de dialogue Discordance de nom de domaine :

• Voir le certificat - Pour examiner l'information sur le certificat, cliquez sur Voir le certificat.

• OK - Si vous avez une raison de croire que le problème est une erreur d'inadvertance, vous pouvez choisir de cliquer sur OK pour accepter le certificat malgré tout pour cette session, et signaler le problème au webmestre de ce site.

  Faites attention aux opérations que vous effectuez pendant que vous visitez le site, et traitez toute information que vous y trouvez comme si elle peut être suspecte.

• Annuler - Si vous soupçonnez qu'il existe peut-être un grave problème, et que vous ne voulez pas vous risquer du tout à visiter le site, cliquez sur Annuler (dans ce cas, le Gestionnaire de certificats ne vous connectera pas au site).

Si vous décidez d'accepter le certificat malgré tout pour cette session, vous devez faire attention à ce que vous faites dans le site Web, et vous devez traiter toute information que vous y trouvez comme si elle peut être suspecte.

© 1994-2005 Netscape Communications Corporation