certificat de sécurité

Le
Patrice
Bonjour à tous,

une question qui me taraude depuis très longtemps, et à laquelle je n'ai
trouvé qu'une réponse partielle (précisément dans les archives de ce
newsgroup): lorsqu'une applet java me propose de valider un certificat de
sécurité me précisant un truc genre "RoToTo certifie que cette application
est sûre", est-ce que je dois forcément le croire? Qui me dit que RoToTo
n'est pas un gros margoulin, voire le créateur même de l'applet dans
laquelle il aura glissé un gros backdoor dedans?

En corollaire, où puis-je trouver une liste d'organismes sérieux de
certification, et qu'est-ce qui m'assure que le nom affiché dans le
certificat (par exemple Thawte) n'est pas un fake (c'est à dire: si je
vois d'écrit que Thawte a certifié cette applet, est-ce forcément vrai)?

Merci d'avance de vos réponses et bien à vous tous,

PC
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Philippe
Le #23091421
La sécurisation des applets suit les principes de base en matière de
signature électonique: à savoir que les algorithmes reposent sur 2 clés
auquel tu ajoutes un tiers de confiance (l'organisme de certification) ...
Le tiers de confiance à en charge la vérification de l'émetteur!

Le certificat contient la clé de chiffrement ainsi que les infos sur ton
émetteur...

Bref:
- tu peux faire confiance aux organismes de certification (par exemple
Thawte...)
- si tu fais confiance à l'émetteur... tu es sûr du contenu de ton applet !
- si tu ne connaîs pas l'émetteur tu ne peux te reposer que sur les
vérifications de l'organisme de certification !

Conclusion: toujours être prudent si tu ne connaîs pas RoToTo...
--
Philippe
"Patrice" news:iikk81$ri8$
Bonjour à tous,

une question qui me taraude depuis très longtemps, et à laquelle je n'ai
trouvé qu'une réponse partielle (précisément dans les archives de ce
newsgroup): lorsqu'une applet java me propose de valider un certificat de
sécurité me précisant un truc genre "RoToTo certifie que cette application
est sûre", est-ce que je dois forcément le croire? Qui me dit que RoToTo
n'est pas un gros margoulin, voire le créateur même de l'applet dans
laquelle il aura glissé un gros backdoor dedans?

En corollaire, où puis-je trouver une liste d'organismes sérieux de
certification, et qu'est-ce qui m'assure que le nom affiché dans le
certificat (par exemple Thawte...) n'est pas un fake (c'est à dire: si je
vois d'écrit que Thawte a certifié cette applet, est-ce forcément vrai)?

Merci d'avance de vos réponses et bien à vous tous,

PC


Testman
Le #23248391
On 05/02/2011 23:50, Patrice wrote:
Bonjour à tous,

une question qui me taraude depuis très longtemps, et à laquelle je n'ai
trouvé qu'une réponse partielle (précisément dans les archives de ce
newsgroup): lorsqu'une applet java me propose de valider un certificat
de sécurité me précisant un truc genre "RoToTo certifie que cette
application est sûre", est-ce que je dois forcément le croire? Qui me
dit que RoToTo n'est pas un gros margoulin, voire le créateur même de
l'applet dans laquelle il aura glissé un gros backdoor dedans?

En corollaire, où puis-je trouver une liste d'organismes sérieux de
certification, et qu'est-ce qui m'assure que le nom affiché dans le
certificat (par exemple Thawte...) n'est pas un fake (c'est à dire: si
je vois d'écrit que Thawte a certifié cette applet, est-ce forcément vrai)?

Merci d'avance de vos réponses et bien à vous tous,

PC




Bonjour Patrice,

Un certificat n'est généralement pas atomique, mais est une chaine de
certificat (de la racine à la plus petite entité représentée). Pour que
cette chaine soit de confiance, il faut généralement deux choses:
- que la racine soit de confiance et plus généralement que le chemin
formé par la chaine de certificat soit de confiance (voir
java.security.cert.CertPathValidator par exemple)
- que la profondeur de la chaine ne dépasse pas un seuil (pas vu de
tel parametre sur la JVM !?!)

Au passage, il faut rappeler que Java gère son propre contexte de sécu.
Certificat de clé racines de confiance, algorithmes appliqués, tout est
sous le contrôle de Java.

Exception à la règle: sous Windows et IE depuis la 6u10 avec son nouveau
plugin, Java utilise la MSCAPI par défaut au lieu de son propre fournisseur.

Pour Java, aller dans le panneau de configuration Java,
deux sections importantes :
- AC de signature : validation d'AC utilisé en mode signature
- AC de site sécurisé : validation d'AC utilisée pour HTTPS (mode
authentification)

Java se base ainsi directement sur ces listes des racines de confiances
configurées: Le certificat racine candidat est comparé à la liste des
racines de confiance, s'il y a un certificat valide qui correspond, il
est de confiance.

En reprenant votre exemple, si le certificat uutil Rototo est dans la
liste des AC de confiances, une boite sera affichée avec un message
positif, dans le cas contraire un avertissement sera effectué
(paramétrage possible sur ces points dans le paneau de contrôle)

Selon les configuration, la liste des racines de confiance se situe soit
coté Java soit dans la gestion spécifique au SE.

Bon, pour la version complète, il faudrait parler de CertPath, des
révocations, etc...

A+
TM
Publicité
Poster une réponse
Anonyme