Certificats

La politique de sécurité de l'Université est de chiffrer tous les flux des serveurs en particulier ceux des serveurs web. La DSI délivre les certificats X509 nécessaires pour pouvoir le faire.

  1. certificats serveurs
  2. Certificats de personnes (signature de messagerie, chiffrement de conteneur)
  3. Certificats de signature de code

certificats serveurs

Le réseau national, RENATER, propose à la communauté Enseignement Supérieur / Recherche un service de certificat pour des serveurs et des personnes.
Ces certificats sont appelés certificats TCS (Terena Certificate Service) car le service est la déclinaison française du contrat signé entre TERENA et DigiCert, au bénéfice d'une vingtaine de réseaux de la recherche en Europe, dont Renater.

Les certificats serveurs sont reconnus par défaut dans les navigateurs Internet (Internet Explorer, Firefox/Mozilla/Netscape, Safari) : ces certificats ne provoquent pas l’apparition de fenêtre d‘avertissement et ne nécessitent pas d‘installer au préalable sur les postes clients des certificats d‘autorité de certification. Les autorités de certifications sont documentées sur la page https://services.renater.fr/tcs/autorites_de_certification . Vous pouvez faire la demande d'un certificat serveur vis la catégorie ad hoc de l'outil d'assistance.

 

Certificats de personnes (signature de messagerie, chiffrement de conteneur)

Renater propose également, depuis le 15 novembre 2010, la mise à disposition de certificats TCS standards de personne aux établissements titulaires d’un agrément Renater

A quoi servent et ne servent pas ces certificats ?

Ces certificats de personne permettent de :

  1. signer des courriers électroniques,
  2. prouver son identité lors d’une authentification (nécessite la gestion des listes de révocation de certificats du côté fournisseur de services).

Les certificats standards de personne ne peuvent pas être utilisés pour sécuriser des transactions de cartes bancaires, des paiements en ligne ou autres transactions financières. Ils ne peuvent pas être utilisés pour chiffrer des données, sauf dispositif de recouvrement des données qui ne se baserait pas sur le recouvrement du certificat, celui-ci n'étant pas possible. Ils ne permettent pas la signature de documents administratifs dématérialisés car ils ne sont pas conformes aux exigences du RGS.

Qui peut en demander et comment ?

Toute personne faisant partie du personnel de l'université, c'est-à-dire faisant partie de la base des personnels, SIHAM et pour laquelle un compte informatique est actif.

Validité du certificat

Le certificat est valide pour une durée de 3 ans maximum.
Ce certificat peut également être révoqué par le RSSI de l'université, par Terena ou le GIP Renater selon les modalités prévues dans la CPS (Certificate Pratice Statement), en particulier si un doute sérieux existe sur la compromission de sa clée privée..

Précaution d'usage

Le demandeur s'engage :

  • à prendre les mesures nécessaires afin de prévenir la compromission, la perte, la révélation, la modification ou autre usage non autorisé de la clé privée correspondant à une clé publique d’un certificat. Dans le cas d’un événement affectant la confidentialité de la clé privée d’un certificat, le souscripteur doit demander la révocation du certificat concerné,
  • à respecter la législation française relative à l’utilisation des certificats,
  • ATTENTION ! Le certificat permet de signer le contenu du message, mais PAS les en-têtes ; il faut donc mettre dans le contenu tous les éléments relatifs au message comme les destinaires par exemple. En fait il faut rédiger son message comme un courrier papier qui pourrait se retrouver sur le mauvais bureau.

Comment obtenir et installer votre certificat ?

Les certificats personnels sont utilisés le plus souvent pour de la signature de message. Pour obtenir un certificat de personne, appliquer la procédure de la section 2  du mode d'installation d'un certificat dans Thunderbird. Vous pouvez aussi consulter la documentation en ligne fournie par Renater.

Si vous avez des difficultés, expliquez votre problème dans le ticket de suivi de votre demande.

Certificats de signature de code

Certains services (essentiellement en mode web) fonctionnent en envoyant au navigateur un programme qui est exécuté sur le poste client (le plus souvent du code java). Bien entendu, être certain de la provenance de ce code est essentiel pour la sécurité de votre poste de travail. C'est pourquoi,  les systèmes modernes n'exécutent les programmes provenant  d'un serveur que si le code de ce programme est signé.
Certains processus d'installation ou de mise à jour de programme vérifient eux aussi l'origine des programmes au moyen de leur signature.

La DSI de l'université dispose d'un certificat de signature de code accepté par les navigateurs usuels. Si vous avez besoin de signer un programme produit dans votre service, contactez la DSI.

Mise à jour : 08/27/2019 - 10:11