Https, expiration de certificat et CAS: quelques questions

Salut,

Le certificat du site de l’ENS vient d’être renouvelé. Pendant quelques heures, je n’ai pas pu me connecter à certains services et le CAS ne permettait plus de s’identifier sur ce forum. Quelques questions:

  • Pourquoi cette impossibilité de se connecter sur FORUM avec un certificat expiré ?
  • Plus généralement, pourquoi exactement est-il risqué de se connecter sur un site avec un certificat invalide ou expiré ?
  • Et encore plus généralement, en gros comment ça marche la certification (et le https du coup) ?

Matthias

Alors, je vais essayer un début de réponse, mais la question de HTTPS est très large.

Comment marche HTTPS, pour les non spécialistes

Pour se connecter à un site internet, il y a plusieurs étapes nécessaires :

  • On renseigne une adresse dans la barre d’adresse : exemple.com
  • Notre ordinateur demande au DNS, quelle est l’adresse IP du serveur responsable de ce site. DNS répond alors par exemple 1.2.3.4
  • Notre ordinateur envoie à 1.2.3.4 un message disant « montre moi la page de ton site »
  • Le site internet répond avec la page (en .html par exemple).

Ce processus a plusieurs problèmes d’un point de vue sécurité :

  • Nos messages peuvent être interceptés, donc si on envoie un mot de passe, il sera visible par tout les intermédiaires (ton FAI par exemple)
  • On n’est pas certain que ce soit bien exemple.com qui nous réponde : nos messages peuvent être modifiés, ou peut être que quelqu’un s’est fait passé pour DNS et nous a donné une fausse IP.

HTTPS est donc un protocole qui permet de combler ces deux problèmes. Il ajoute deux modifications, pour traiter les deux problèmes de HTTP :

  • Chiffrer la communication : lorsqu’on envoie notre premier message à 1.2.3.4, on commence par échanger des clefs de chiffrement, pour que personne d’autre que le serveur et l’utilisateur ne puisse lire les messages. (pour en savoir plus, ce protocole s’appelle TLS )
  • Authentifier le serveur : 1.2.3.4 doit nous prouver qu’il est bien le vrai exemple.com. Pour cela, on utilise des certificats. Le serveur signe cryptographiquement ses messages, et l’utilisateur peut vérifier que c’est bien example.com qui répond. (pour en savoir plus, jette un oeil aux autorités de certifications )

Pourquoi est-il risqué de se connecter sur un site avec un certificat invalide ou expiré, ou sans HTTPS

Les certificats (là pour prouver l’identité du serveur) ont une certaine durée de vie, on les change régulièrement, au cas où un attaquant arrive à trouver la clef permettant de signer (en piratant le serveur, ou en interceptant un message et en cassant la clef). Donc tous les certificats ont une « date de péremption ».

Quand un certificat est invalide ou expiré, c’est qu’il a dépassé cette date, et qu’il n’est donc plus valide. Donc on ne peut plus faire confiance à ce certificat, on retrouve donc le problème initial : impossible de savoir si c’est bien exemple.com qui nous parle et à qui on envoie nos identifiants.

Cela arrive parfois de façon involontaire, quand un site oublie de les renouveler. Mais par mesure de précaution, le navigateur nous met en garde que le serveur n’a pas bien prouvé son identité, et donc qu’on ne peut pas lui faire confiance. Donc par défaut, pour nous protéger, ton navigateur ne te laisse pas te connecter, et il te met en garde. Il te laisse quand même la possibilité de « faire quand même confiance », mais c’est dangereux.

Pourquoi on ne peut pas se connecter avec un certificat expiré

Pour t’identifier sur ce forum, le site forum.aliens-lyon.fr demande au CAS de l’ENS. Et il est très probable que si le CAS n’arrive pas à prouver son identité, les autres services ne lui fassent pas confiance, et donc ne te laisse pas t’authentifier avec lui.

J’espère que j’ai été assez clair et pas trop technique…

1 J'aime

Coucou,

En plus de ce qu’écrit Simon, le système d’authentification centralisée de l’association (AliENS Auth) permet de déléguer les identifications au CAS, mais, normalement, quand on se créer un compte la première fois, on définit un mot de passe (qui devrait être différent de celui du CAS) qui peut permettre de se connecter sans passer par le système CAS de l’ENS de Lyon. L’avantage, c’est que lorsque l’on perd son compte ENS de Lyon, on peut toujours accéder à ses ressources.

Rémy

ps: un annuaire global des certificats valides est disponible sur le site web crt.sh, qui permet, entre autres, de lister les sous-domaines intéressants lorsque des wildcard (qui permettent de couvrir n’importe quel domaine, symbolisé par une étoile *) ne sont pas utilisés.

Ok, merci de vos réponses !