Les certificats contiennent des informations permettant d'établir des identités sur un réseau. Ce processus d'identification est appelé authentification. Comme les méthodes d'identification traditionnelles, les certificats permettent aux utilisateurs et aux serveurs Web de s'authentifier mutuellement avant d'établir une connexion. Les certificats contiennent également des valeurs de cryptage, appelées clés, qui permettent d'établir une connexion SSL (Secure Sockets Layer) entre le client et le serveur. Les informations envoyées par l'intermédiaire de cette connexion (par exemple, un numéro de carte de crédit) sont cryptées et ne peuvent donc pas être interceptées et utilisées par des personnes non autorisées.
La méthode SSL utilise deux types de certificats, chacun ayant un format et une utilité propres. Les certificats clients contiennent des informations personnelles sur les clients demandant l'accès à votre site, ce qui vous permet d'identifier ces clients avant de leur accorder l'accès. Les certificats serveurs contiennent des informations sur le serveur, ce qui permet au client d'identifier le serveur avant de lui confier des informations sensibles.
Pour activer les fonctionnalités de sécurité SSL 3.0 de votre serveur Web, vous devez obtenir et installer un certificat serveur valide. Les certificats serveurs sont des identifications numériques contenant des informations sur votre serveur Web et sur l'organisation répondant du contenu Web du serveur. Un certificat serveur permet aux utilisateurs d'authentifier votre serveur, de vérifier la validité du site Web et d'établir une connexion sécurisée. Le certificat serveur contient également une clé publique utilisée pour établir une connexion sécurisée entre le client et le serveur.
Le succès du certificat serveur en tant que méthode d'identification dépend de la confiance que porte l'utilisateur à la validité des informations contenues dans le certificat. Par exemple, un utilisateur qui se connecte au site Web de votre société peut hésiter à fournir des informations sur sa carte de crédit, même après avoir pris connaissance du contenu du certificat serveur de votre société. Cela est particulièrement vrai si votre société est récente et encore peu connue.
Pour cette raison, les certificats sont parfois émis et validés par une organisation tierce approuvée d'un commun accord, appelée autorité de certification. Le rôle principal d'une autorité de certification est de confirmer l'identité des personnes demandant un certificat, garantissant ainsi la validité des informations d'authentification contenues dans le certificat.
Si les relations de confiance entre votre organisation et les utilisateurs de votre site Web le permettent, vous pouvez également émettre vos propres certificats serveurs. Par exemple, dans le cas d'un vaste intranet d'entreprise gérant les fiches de paie des employés et des informations financières, la direction peut décider d'utiliser un serveur de certificats, prenant ainsi la responsabilité de valider les informations d'identification et d'émettre des certificats serveurs. Pour plus d'informations, consultez Obtention d'un certificat serveur.
Server Gated Cryptography (SGC) apporte aux organismes financiers la solution en matière de transactions financières sécurisées au niveau mondial, ce à l'aide du cryptage 128 bits. SGC est une extension de SSL (Secure Sockets Layer) qui permet aux institutions financières possédant des versions de IIS destinées à l'exportation hors des États-Unis d'utiliser un cryptage puissant.
Server Gated Cryptography ne nécessite pas l'exécution d'une application sur le navigateur du client et peut être utilisé par des versions d'exportation de IIS standard, version 4.0 ou ultérieure. Un serveur configuré pour SGC peut permettre des sessions de cryptage 128 bits et 40 bits, de sorte qu'il n'est pas nécessaire d'avoir plusieurs versions de IIS. Bien que les fonctionnalités SGC soient intégrées à IIS 4.0 et les versions ultérieures, un certificat SGC spécial est requis pour utiliser SGC. Contactez votre autorité de certification pour avoir des informations de disponibilités. Pour plus d'informations sur SGC, consultez le site Server-Gated Cryptography (SGC) à l'adresse http://www.microsoft.com/security/tech/sgc.
Les certificats clients sont des documents électroniques contenant des informations sur les clients. Comme les certificats serveurs, ils contiennent également des clés de cryptage appartenant aux fonctionnalités de sécurité SSL 3.0 de IIS. Ces clés, ou codes de cryptage, incluses dans les certificats serveurs et clients forment une paire de clés qui facilite le cryptage et le décryptage des données transmises sur un réseau ouvert, comme Internet. Pour plus d'informations sur le cryptage, consultez À propos du cryptage.
Le certificat client classique contient les informations suivantes : l'identité de l'utilisateur, l'identité de l'autorité de certification, une clé publique utilisée pour l'établissement de communications sécurisées, ainsi que des informations de validation, telles qu'une date d'expiration et un numéro de série. Les autorités de certification offrent différents types de certificats clients, contenant différentes quantités d'informations, en fonction du niveau d'authentification requis. Pour plus d'informations, consultez Obtention d'un certificat client.
Vous pouvez obtenir un certificat client auprès d'une organisation commerciale approuvée, appelée autorité de certification. Avant l'émission d'un certificat, cette autorité vous demande de fournir des informations d'identification, telles que le nom, l'adresse et le nom de l'organisation. L'importance de ces informations peut varier selon les exigences d'assurance d'identification du certificat. Si vous avez besoin d'un certificat pour offrir une assurance absolue sur votre identité, l'autorité de certification vous demandera des informations substantielles sur vous ; la collecte de ces informations peut nécessiter un entretien personnel avec l'autorité ainsi que l'aval d'un notaire.
Pour obtenir une liste des autorités de certification, consultez Obtention d'un certificat de serveur.
Remarque En définitive, le succès de l'authentification par certificat dépend de la confiance que porte la personne recevant un certificat à l'autorité ayant délivré le certificat, et à la vérification correcte de l'identité du propriétaire du certificat par cette autorité. Outre cette confiance, les certificats ne prouvent pas de façon certaine l'identité, la loyauté ou les intentions de l'utilisateur ou du serveur.
En gérant une liste de certificats de confiance (CTL), les administrateurs de sites Web peuvent vérifier automatiquement les certificats clients par rapport à une liste prédéfinie d'autorités de certification fiables.
Par exemple, un administrateur intranet peut créer une liste des autorités de certification fiables différente pour chaque service du réseau. Pour un service donné, IIS n'accepte alors que les certificats clients fournis par une autorité de certification figurant dans la CTL. Pour plus d'informations, consultez Utilisation des listes de certificats de confiance.
La plupart des autorités de certification reconnues conservent une liste de révocation de certificat (CRL, Certificate Revocation List), c'est-à-dire une liste actuelle de certificats clients révoqués avant leurs dates d'expiration prévues.
Par exemple, si une autorité de certification émet un certificat client pour un utilisateur et détermine ensuite que l'utilisateur a fourni de fausses informations, l'autorité peut révoquer le certificat client de cet utilisateur. Toutefois, étant donné que l'autorité de certification ne peut physiquement révoquer un certificat client, l'autorité alerte les administrateurs Web en ajoutant à une CRL des informations sur le certificat client révoqué. Pour plus d'informations sur les fournisseurs de services de révocation, contactez votre autorité de certification.