Sélectionner les options SSL

Cette section contient la descriptionm du mode de sélection de vos préférences SSL. Pour définir vos préférences :

1. Ouvrez le menu Outils, puis choisissez Options;
2. Cliquez sur la catégorie Évolué;
3. Dans le panneau Évolué, faites défiler le menu jusqu'à la section Sécurité. (Si aucune sous-catégorie n'est visible, cliquez sur pour élargir la liste.)
4. Sélectionnez les options convenables. Pour de plus amples renseignements sur ces paramètres, voir Versions du protocole SSL.

Versions du protocole SSL

Le protocole SSL (couche de sockets sécurisés) permet de définir les règles qui régissent l'authentification mutuelle entre un site Web et un logiciel du navigateur et le chiffrement de l'information qui circule entre eux. Le protocole TLS (sécurité de couche de transport) est une norme IETF fondée sur le protocole SSL. La protocole TLS 1.0 peut être considéré comme le protocole SSL 3.1.

Vous devez normalement laisser ces trois cases sélectionnées pour assurer que les serveurs Web anciens et plus récents sont compatibles avec le navigateur :

• Utiliser le protocole SSL 2.0 - Assure la compatibilité des anciens serveurs Web avec le navigateur;
• Utiliser le protocole SSL 3.0 - Assure la compatibilité des plus récents serveurs Web avec le navigateur;
• Utiliser le protocole TLS 1.0 - Permet aux serveurs Web qui prennent en charge la norme TLS d'en profiter.

Importante note sur la norme TLS - Certains serveurs qui ne mettent pas en œuvre le protocole SSL convenablement ne peuvent pas négocier l'établissement d'une liaison SSL avec un logiciel client (comme le navigateur) qui prend en charge le protocole TLS. De tels serveurs sont dits intolérants au TLS.

Lorsque vous sélectionnez l'option Activer le TLS dans le panneau des préférences SSL, le navigateur essaie d'utiliser le protocole TLS pour établir des connexions protégées avec un serveur. Si cette connexion échoue parce que le serveur est intolérant au TLS, le navigateur se replie sur l'utilisation du protocole SSL 3.0.

Contrôler la validation

Tel que discuté ci-dessus sous la rubrique Obtenir votre propre certificat, un certificat est une forme d'identification, tout comme un permis de conduire, que vous pouvez utiliser pour vous identifier sur le réseau Internet et d'autres réseaux. Cependant, également comme avec un permis de conduire, un certificat peut expirer ou devenir invalide pour une autre raison. C'est pourquoi votre navigateur doit confirmer la validité de tout certificat particulier d'une façon ou d'une autre avant de vous y fier aux fins d'identification.

Cette section contient la description de la manière dont le Gestionnaire de certificats valide les certificats et la manière de contrôler ce processus. Pour comprendre ce dernier, vous devez être quelque peu familiarisé avec la cryptographie à clé publique. Si vous ne connaissez pas bien l'emploi des certificats, vous devez consulter votre administrateur système avant d'essayer de changer n'importe quel paramètre de validation de certificat de votre navigateur.

Comment la validation fonctionne

Chaque fois que vous utilisez ou regardez un certificat sauvegardé par le Gestionnaire de certificats, plusieurs étapes sont nécessaires pour vérifier le certificat en question. À tout le moins, il confirme que la signature numérique de l'AC sur le certificat a été créée par une AC dont le propre certificat est (1) présent dans la liste du Gestionnaire de certificats d'AC disponibles, et (2) identifiée comme autorisée à émettre le type de certificat en cours de vérification.

Si le certificat d"AC n'est pas présent lui-même, la chaîne de certificats pour le certificat d'AC doit inclure un certificat d'AC de niveau supérieur, qui est présent et convenablement autorisé. Le Gestionnaire de certificats confirme aussi que le certificat en cours de vérification est activement identifié comme autorisé dans la mémoire de certificats. Si l'un de ces contrôles échoue, le Gestionnaire de certificats identifie le certificat comme non autorisé, et ne reconnaîtra pas l'identité qu'il certifie.

Un certificat peut franchir tous ces tests et demeurer compromis d'une certaine façon. Par exemple, le certificat peut être révoqué parce qu'une personne non autorisée a eu accès à la clé privée du certificat. Un certificat compromis peut permettre à une personne non autorisée (ou à un site Web) de se faire passer pour le propriétaire du certificat.

Une manière de lutter contre cette menace consiste à demander au Gestionnaire de certificats de vérifier une liste de certificats révoqués (LCR) dans le cadre du processus de vérification (voir Gérer les LCR ci-après). En général, vous téléchargez une LCR dans votre navigateur en cliquant sur un lien. Si une LCR est présente, le Gestionnaire de certificats compare tout certificat émis par la même AC à la liste dans le cadre du processus de vérification.

La fiabilité des LCR dépend de la fréquence à laquelle elles sont à la fois mises à jour par un serveur, et vérifiées par un client. Vous pouvez configurer vos Préférences des mises à jour automatiques des LCR pour qu'une LCR soit mise à jour automatiquement à intervalles périodiques au moyen de la version active dans le serveur.

Une autre manière de lutter contre la menace que représentent les certificats compromis consiste à utiliser un serveur spécial qui prend en charge le Protocole de vérification de statut de certificat en ligne (OCSP). Un tel serveur peut répondre aux questions des clients sur des certificats particuliers (voir Configurer le protocole OCSP, ci-après).

Le serveur (de réponse) OCSP reçoit périodiquement une LCR actualisée de l'AC qui émet les certificats à vérifier. Vous pouvez configurer le Gestionnaire de certificats pour présenter une demande d'état pour un certificat au serveur de réponse OCSP, et ce dernier confirme si le certificat est valide ou non.

Gérer les LCR

Une LCR est une liste de certificats révoqués. Une autorité de certification (AC) peut révoquer un certificat, par exemple, s'il a été compromis d'une certaine façon, tout comme une compagnie émettrice de cartes de crédit peut révoquer votre carte de crédit si vous en lui signalez la perte.

Cette section contient la description du mode d'importation et de gestion de la LCR.

Pour des données historiques, voir Comment la validation fonctionne.

Pour des descriptions détaillées des paramètres de LCR que vous pouvez contrôler, voir Paramètres de validation.

À propos de la date de prochaine mise à jour

Le navigateur utilise les LCR dont il dispose pour vérifier la validité des certificats émis par les AC correspondantes. Si un certificat figure dans une LCR, le navigateur ne l'accepte pas comme preuve d'identité.

Une AC publie en général une LCR mise à jour à intervalles périodiques. Chaque LCR inclut une date, indiquée dans le champ Prochaine mise à jour, avant laquelle l'AC publiera la prochaine mise à jour de la LCR en question. En général, si la date dans le champ Prochaine mise à jour est antérieure à la date courante, vous devez obtenir la version la plus récente de la LCR.

r l'information d'une LCR et établir la mise à jour automatique d'une LCR, voir Voir et gérer les LCR.

Les AC sont tenues de produire une nouvelle LCR avant la date Prochaine mise à jour. Toutefois, l'absence de la plus récente LCR n'invalide pas à elle seule un certificat. C'est pourquoi si la plus récente LCR n'est pas disponible, un certificat peut être validé même si la plus récente LCR indique qu'il a expiré. La mise à jour automatique de la LCR permet d'éviter cette situation.

Importer les LCR

Vous pouvez importer dans votre navigateur la dernière LCR depuis une AC. Pour importer une LCR, suivez les étapes ci-après :

1. Allez à la LCR indiquée par l'AC ou par votre administrateur système, puis cliquez sur le lien de la LCR que vous voulez importer.

   La boîte de dialogue État d'importation apparaît.

2. Confirmez que la LCR a été importée sans accroc, et que c'est bien celle que vous voulez. Dans la plupart des cas, vous devez aussi cliquer sur Oui, ce qui active la mise àjour automatique de la LCR que vous venez d'importer.
3. L'étape suivante est assujettie à votre réponse (Oui ou Non) fournie dans la boîte de dialogue État d'importation :

   Oui - La boîte de dialogue Préférences des mises à jour automatiques des LCR apparaît. Dans ce cas, passez à l'étape 4.

   Non - La boîte de dialogue État d'importation se ferme. Si vous changez d'idée et décidez d'activer après tout les mises à jour, voir Voir et gérer les LCR.

4. Sélectionnez l'option libellée Activer la mise à jour automatique de cette LCR.
5. Déterminez comment vous voulez programmer les mises à jour automatiques :
• Mettre à jour __ jours avant la date de la prochaine mise à jour - Sélectionnez cette option si vous voulez assujettir la fréquence de mise à jour à la fréquence à laquelle le diffuseur de la LCR en publie une nouvelle version;.
• Mettre à jour tous les __ jours - Sélectionnez cette option si vous voulez préciser un intervalle de mise à jour non assujetti à la date de la prochaine mise à jour de la LCR.
6. Cliquez sur OK pour confirmer vos choix.

Voir et gérer les LCR

Vous pouvez voir et gérer les LCR offertes au navigateur grâce aux préférences de validation du navigateur :

1. Depuis le menu Outils, sélectionnez Options.
2. Sous la catégorie Èvolué, cliquez sur Validation. (Si aucune sous-catégorie n'est visible, double cliquez sur + pour élargir la liste.)
3. Cliquez sur Gérer les LCR dans le panneau de validation pour voir une liste des LCR offerte au Gestionnaire de certificats.

Pour supprimer ou mettre à jour une LCR, sélectionnez-la et cliquez sur le bouton convenable.

Pour sélectionner des mises à jour automatiques d'une LCR, sélectionnez cette dernière, puis cliquez sur Paramètres. La boîte de dialogue Préférences des mises à jour automatiques des LCR s'affiche :

1. Sélectionnez l'option libellée Activer la mise à jour automatique de cette LCR.
2. Déterminez comment vous voulez programmer les mises à jour automatiques :
• Mettre à jour __ jours avant la date de la prochaine mise à jour - Sélectionnez cette option si vous voulez assujettir la fréquence de mise à jour à la fréquence à laquelle le diffuseur de la LCR en publie une nouvelle version;.
• Mettre à jour tous les __ jours - Sélectionnez cette option si vous voulez préciser un intervalle de mise à jour non assujetti à la date de la prochaine mise à jour de la LCR.
3. Cliquez sur OK pour confirmer vos choix.

Configurer le protocole OCSP

Les paramètres qui contrôlent le protocole OCSP font partie des préférences de validation. Pour voir les préférences de validation, suivez les étapes ci-après :

1. Depuis le menu Outils, sélectionnez Options.
2. Sous la catégorie Èvolué, cliquez sur Validation. (Si aucune sous-catégorie n'est visible, double cliquez sur + pour élargir la liste.)

Pour des renseignements sur les options de protocole OCSP offertes, voir Protocole OCSP.

Paramètres de validation

Cette section contient la description du mode de définition des préférences de validation et du mode de contrôle des paramètres de la liste de certificats révoqués (LCR).

Pour des descriptions détaillées des diverses tâches liées à la validation et aux LCR, voir Comment la validation de certificat fonctionne.

Préférences de validation

Cette section contient la description du mode d'utilisation du panneau Paramètres de validation.

1. Depuis le menu Outils, sélectionnez Options.
2. Sélectionnez le panneau Évolué, puis double cliquez sur la catégorie Validation pour l'ouvrir.
3. Cliquez sur Gérer les LCR pour voir une liste des LCR offerte au gestionnaire de certificats.
4. Choisissez un des paramètres convenables pour indiquer comment le Gestionnaire de certificats usilise le protocole OCSP.
   Le Protocole de vérification de statut de certificat en ligne (OCSP) permet au Gestionnaire de certificats de vérifier en ligne la validité d'un certificat chaque fois que ce dernier est regardé ou utilisé. Ce processus nécessite une comparaison du certificat à une liste de certificats révoqués (LCR) qui est tenue à jour dans un site Web particulier. Votre ordinateur doit être en ligne pour que le protocole OCSP fonctionne.

Lorsque vous choisissez un certificat de l'entité qui signe la réponse dans le menu incrusté, le Gestionnaire de certificats remplit l'adresse URL de service (si elle est disponible) de façon automatique pour cette entité. Si l'adresse URL de service n'est pas remplie automatiquement, vous devez la fournir vous-même; consultez votre administrateur système pour les détails.

Pour de plus amples renseignements sur ces champs, voir l'aide sur les fenêtres.

Pour des données historiques sur la validation de certificat, voir Comment la validation de certificat fonctionne.

Gérer les LCR

Cette section contient la description du mode d'utilisation de la boîte de dialogue Gérer les LCR. Pour la voir, suivez les étapes ci-après :

1. Depuis le menu Outils, sélectionnez Options.
2. Sélectionnez le panneau Évolué, puis double cliquez sur la catégorie Validation pour l'ouvrir.
3. Cliquez sur Gérer les LCR.

Cette boîte de dialogue affiche une liste des LCR que vous avez téléchargée en vue de son utilisation par votre navigateur. En général, vous téléchargez une LCR en cliquant sur une LCR. Pour des renseignements sur la manière dont les LCR fonctionnent, voir Gérer les LCR.

Pour sélectionner une LCR, cliquez dessus. Vous pouvez ensuite exécuter n'importe laquelle des opérations ci-après :

• Supprimer - Supprime la LCR de façon permanente dans votre unité de disque dur. Évitez cette opération à moins de ne pas être sûr que vous n'avez plus besoin de la LCR pour valider les certificats. En cas de doute, consultez votre administrateur système.
• Paramètres - Ouvre la boîte de dialogue Prférences des mises à jour automatiques des LCR, ce qui vous permet d'activer les mises à jour automatiques des LCR pour la LCR sélectionnée et de préciser la fréquence de leur exécution;
• Mettre à jour - Met à jour immédiatement la LCR sélectionnée (si cela est possible).

La boîte de dialogue Gérer les LCR fournit l'information ci-après sur chaque LCR :

• Organisation (O) - Le nom de l'organisation qui a émis la LCR;
• Unité organisationnelle (UO) - Le nom de l'unité organisationnelle qui a émis la LCR (comme l'Autorité de certification racine pour un type particulier de certificat);
• Dernière mise à jour - La date à laquelle la copie de cette LCR pour le navigateur a été mise à jour pour la dernière fois;
• Mise à jour suivante - La prochaine date à laquelle une version à jour de cette LCR sera publiée par l'émetteur de LCR;
• Mise à jour automatique - Indique si la mise à jour automatique a été activée pour cette LCR; pour voir les paramètres qui contrôlent la mise à jour automatique, sélectionnez la LCR, puis cliquez sur Paramètres;.
• État de la mise à jour automatique :
  • Si la mise à jour automatique n'a pas été activée; ou si elle a été activée, mais la prochaine mise à jour prévue n'a pas été encore exécutée, ce champ doit être vierge;
  • Après au moins l'exécution d'une mise à jour automatique, ce champ indique Échec si la plus récente mise à jour automatique a échoué, ou OK si elle a réussi.

État d'importation de la LCR

Cette section contient la description du mode d'utilisation de la boîte de dialogue État d'importation de la LCR, qui apparaît lorsque vous essayez pour la première fois d'importer une LCR, ou que votre mise à jour manuelle est fructueuse.

Cette boîte de dialogue vous indique

• si votre tentative d'importer ou de mettre à jour la LCR a réussi;
• l'organisation qui a émis la LCR;
• quand la prochaine mise à jour de cette LCR sera publiée;
• si la mise à jour automatique est activée pour cette LCR.

Si la mise à jour automatique n'est pas activée, vous pouvez le faire d'ici :

• Oui - Cliquez sur Oui pour activer la mise à jour automatique de cette UCR. Si vous cliquez sur ce bouton, la boîte de dialogue Prférences des mises à jour automatiques des LCR apparaît. La prochaine section contient la description du mode de définition de ces préférences.
• Non - Cliquez sur Non si vous souhaitez laisser inactive la mise à jour automatique.

Préférences des mises à jour automatiques des LCR

Cette section contient la description du mode d'utilisation de la boîte de dialogue Préférences des mises à jour automatiques des LCR. Si vous ne la voyez pas déjà, suivez les étapes ci-après :

1. Depuis le menu Outils, sélectionnez Options.
2. Sélectionnez le panneau Évolué, puis double cliquez sur la catégorie Validation pour l'ouvrir.
3. Cliquez sur Gérer les LCR, puis sélectionnez la LCR dont vous voulez voir ou changer les préférences des mises à jour automatiques.
4. Cliquez sur Paramètres.

Cette boîte de dialogue affiche les informations et options ci-après :

• Activer la mise à jour automatique de cette LCR - Sélectionnez cette option si vous voulez que la LCR de votre choix soit mise à jour automatiquement selon le calendrier que vous définissez ici. (Notez que vous ne pouvez pas sélectionner cette option si la LCR n'indique pas une date de prochaine mise à jour.)

  Si vous activez la mise à jour automatique, vous devez sélectionner un de ces boutons radio :

  • Mettre à jour X jours avant la date de la prochaine mise à jour - Sélectionnez cette option si vous voulez assujettir la fréquence de mise à jour à la fréquence à laquelle le diffuseur de la LCR en publie une nouvelle version;.
  • Mettre à jour tous les X jours - Sélectionnez cette option si vous voulez préciser un intervalle de mise à jour non assujetti à la date de la prochaine mise à jour de la LCR.
• La LCR doit être importée de - Indique l'adresse URL d'où le navigateur a initialement importé la LCR. Ce paramètre ne peut pas être modifié. Pour indiquer un endroit différent, supprimez la LCR et réimportez-la du nouvel endroit.
• Échecs de mise à jour antérieurs consécutifs - Indique le nombre de fois où des tentatives de mise à jour de cette LCR ont échoué de manière consécutive, y compris le plus récent échec :
  • Si la plus récente tentative a réussi, cela indique Aucun, même s'il y a eu de vaines tentatives antérieurement;
  • Si la plus récente tentative a été vaine, cela indique le nombre d'échecs consécutifs, et le message d'erreur pour le plus récent échec.

Cliquez sur OK pour confirmer vos choix..

© 1994-2005 Netscape Communications Corporation