Certificats x509

Certificats x509
Introduction
Authentification - Yoann Dieudonné
1
Certificat x509
- Un certificat est un document qui comprend essentiellement une clé publique et des
renseignements sur le propriétaire de cette clé, le tout signé avec la clé privée d’un
organisme reconnu, un CA (Certification Authority).
- Un certificat permet de dialoguer de
manière sûre (chiffrée) avec la personne ou la société qu’il décrit. Si l’on possède le
certificat du signataire (du CA) et que l’on a confiance en lui, on a l’assurance de
l’identité du propriétaire de la clé.
- Le navigateur Firefox contient plusieurs certificats de CA, dont celui
de la société Verisign.
Authentification - Yoann Dieudonné
2
Certificat x509
Authentification - Yoann Dieudonné
3
Certificat x509
Les certificats x509 ont été utilisés au début pour la sécurisation du courrier
électronique.
Dorénavant, ils sont utilisés aussi bien dans la sécurisation du Web (via SSL/TLS) que
dans bien d’autres domaines.
- Signature et chiffrement de mail (S/MIME)
- Chiffrement de fichier (PKCS#7/CMS) et de disque (EFS)
- Authentification applicative: HTTPS, IMAPS,...
- Authentification réseau: VPN,...
Authentification - Yoann Dieudonné
4
Les principaux champs x509
Les principaux champs d'un certificat x509 :
• Version : la version x509 utilisé.
• Serial Number : un numéro de série unique pour un CA.
• Issuer : le CA qui a émis le certificat.
• Period of Validity
- Not Before Date
- Not After Date
Authentification - Yoann Dieudonné
5
Champs x509 (suite)
• Subject : la personne ou la société identifiée par le certificat.
• Subject’s Public Key : la clé publique.
- Algorithm : l’algorithme utilisé (RSA, DSA...).
- Public Key : la clé publique elle-même.
• Signature : la signature du CA
- Algorithm : l’algorithme utilisé (SHA-RSA...).
- Signature : la signature elle-même.
Authentification - Yoann Dieudonné
6
Champs x509 (suite)
La version 3 des certificat x509 présentent plusieurs extensions :
• Emplacement (URL) de la CRL (certificate revocation list). Une CRL est une liste
de certificats (ou plus précisément une liste de numéros de séries de certificats) qui
ont été révoqués.
• L'usage : permet de spécifier les opérations qui peuvent être effectuées en utilisant
la clé publique du certificat. Par exemple ce champs pourrait indiquer que la clé peut
être utilisé pour signer d'autres certificats mais pas pour faire du chiffrement (e.g.,
digitalSignature, keyEncipherment).
Authentification - Yoann Dieudonné
7
Hierarchie des CA
- Un certificat d’un CA intermédiaire peut signer d’autres certificats. Mais il est luimême signé par un CA hiérarchiquement supérieur, et ainsi de suite.
- Au sommet de cette pyramide, il y a les certificats des CA racines qui sont autosignés : le sujet et le signataire sont les mêmes.
- Un serveur Apache par exemple doit envoyer au client non seulement son certificat,
mais également les certificats des CA intermédiaires. Le client, lui, n’a besoin de
posséder que le certificat racine.
Authentification - Yoann Dieudonné
8