Comment vérifier les certificats SSL et rester en sécurité

Au début de l'année 2025, l'internet continue d'étendre sa portée, avec environ 5,56 milliards d'utilisateurs. Cette croissance est stimulée par les progrès des technologies telles que la connectivité 5G, la prolifération des appareils mobiles et la disponibilité croissante de contenus en ligne diversifiés.

L'internet fait désormais partie intégrante de la vie quotidienne, offrant des services allant de la simple diffusion de contenu et du streaming vidéo à des espaces de travail complexes et des solutions financières. Les entreprises du monde entier subissent d'importantes transformations numériques, rendant les données plus accessibles en ligne que jamais.

Toutefois, la sensibilité et la confidentialité de ces données restent primordiales. Les informations personnelles et financières doivent être protégées par des pratiques de sécurité solides. C'est là que les protocoles Transport Layer SecurityTLS et Secure Sockets LayerSSL jouent un rôle crucial dans la sécurisation et le cryptage des communications sur l'internet.

TLS est la norme industrielle pour la sécurisation des sites web, des API et des services en ligne, les principaux organismes de normalisation ayant progressivement abandonné SSL en raison de ses vulnérabilités. Au fur et à mesure que les menaces évoluent, TLS continuera à s'adapter aux avancées telles que la cryptographie post-quantique, tandis que SSL restera obsolète. La meilleure pratique actuelle est TLS v1.3, un tremplin vers des certificats TLS à sécurité quantique.

Vous pouvez facilement vérifier si votre connexion est sécurisée en contrôlant le certificat TLS émis par le site web auquel vous accédez. La meilleure pratique consiste à n'interagir qu'avec des sites disposant d'un certificat TLS valide, car l'absence d'un tel certificat peut indiquer que le site est moins digne de confiance ou non sécurisé.

Alors, comment vérifier HTTPS? Il est simple de vérifier si un site est sécurisé par TLS . Tout site qui utilise le système de certificats TLS comporte le spécificateur de protocole HTTPS dans son adresse web. Alors que HTTP signifie HyperText Transfer Protocol, le S ajoute la partie sécurité fournie par TLS. Vérifiez donc ces deux éléments pour savoir si un site est protégé par TLS .

Le nom du site doit commencer par HTTPS, par exemple https://www.yoursitename.com.

Vous pouvez obtenir des informations détaillées sur la sécurité du site en cliquant sur l'icône d'information sur le site/verrouillage dans la barre d'adresse de votre navigateur.

Pour une explication approfondie et une meilleure compréhension de la TSL, de son fonctionnement et de son importance, poursuivons notre lecture.

Un certificat TLS est un certificat numérique qui vérifie l'authenticité d'un site web et permet une communication cryptée entre le navigateur de l'utilisateur et le serveur. TLS est l'abréviation de Transport Layer Security, le successeur moderne de SSL (Secure Sockets Layer), et constitue le protocole cryptographique standard de l'industrie pour la sécurisation des données en transit. TLS 1.3, la dernière version, offre une sécurité améliorée, une latence réduite et des algorithmes de cryptage plus puissants que les versions précédentes.

Un certificat TLS sert de clé publique au site web et est émis par une autorité de certification (AC) de confiance. Lorsqu'un utilisateur se connecte à un site web, son navigateur vérifie la validité du certificat pour s'assurer que le site est légitime et qu'il ne s'agit pas d'un imposteur. La clé privée, détenue en toute sécurité par le serveur, fonctionne avec la clé publique pour établir une session cryptée.

TLS 1.3 élimine les algorithmes cryptographiques obsolètes, améliore le secret de transmission et rationalise le processus d'échange, ce qui rend les connexions sécurisées plus rapides et plus résistantes aux attaques. Les navigateurs web et les serveurs modernes appliquent le cryptage TLS , de sorte que toutes les données échangées restent confidentielles et protégées contre les écoutes, les attaques de type "man-in-the-middle" et les accès non autorisés.

Les certificats SSL peuvent être classés selon deux critères principaux : le nombre de domaines qu'ils sécurisent et le niveau de validation effectué par l'autorité de certification.

Basé sur l'étendue du domaine

• Certificat de domaine unique : sécuriseun nom de domaine entièrement qualifié (FQDN), tel que www.example.com. Il ne couvre pas les sous-domaines ni les autres domaines.
• Certificat Wildcard : sécuriseun seul domaine et tous ses sous-domaines. Par exemple, un certificat Wildcard pour *.example.com couvre blog.example.com, mail.example.com, etc.
• Certificat multi-domaines (certificat SAN): permet de sécuriser plusieurs domaines non liés à l'aide d'un seul certificat. Par exemple, un seul certificat SAN peut sécuriser exemple.com, exemple.net et un autre domaine.org.

Basé sur le niveau de validation

Si tous les certificats TLS offrent le même niveau de cryptage, le processus de validation effectué par l'autorité de certification diffère et a une incidence directe sur le niveau de confiance et les informations affichées dans le certificat.

• Certificat validé par domaine (DV) : l'autorité de certification vérifie que le demandeur possède ou contrôle le domaine. Il s'agit du type de validation le plus simple et le plus rapide, généralement délivré en quelques minutes. Aucune information sur l'organisation n'est vérifiée ou affichée, de sorte que les certificats DV conviennent mieux aux sites personnels ou internes qu'aux sites commerciaux ou aux sites d'entreprises tournés vers le public.
• Certificat validé par l'organisation (OV) : l'autorité de certification vérifie le domaine et l'existence légale de l'organisation. Les détails de l'organisation sont inclus dans le certificat, ce qui offre plus de crédibilité que le certificat DV. Les certificats OV sont recommandés pour les sites web commerciaux et les applications qui collectent des données sur les utilisateurs.
• Certificat à validation étendue (EV) : ils'agit du niveau le plus élevé de validation d'un certificat. L'AC procède à un examen approfondi de l'organisation, y compris la vérification de son existence juridique, physique et opérationnelle. La demande doit être initiée par l'organisation elle-même. Les certificats EV sont régis par les lignes directrices EV du CA/Browser Forum (CABF), établies en 2007. Les navigateurs affichent souvent des indicateurs visuels améliorés (tels que le nom de l'organisation) lorsque des certificats EV sont utilisés, ce qui indique aux utilisateurs un niveau de confiance plus élevé.

En comprenant à la fois l'étendue du domaine et le niveau de validation, vous pouvez choisir le bon certificat qui correspond à l'objectif de votre site, au profil de risque et aux exigences de confiance des utilisateurs. Des niveaux de validation plus élevés indiquent une plus grande crédibilité, ce qui peut être essentiel pour les entreprises qui traitent des données sensibles ou des transactions financières.

Tous les navigateurs modernes vous permettent de vérifier rapidement si un site est sécurisé par le cryptage SSL ou non. Le moyen le plus simple de savoir si un site est crypté SSL ou non est de vérifier son URL. L'URL du site doit commencer par HTTPS. 

Pour plus de détails sur les références de sécurité du site, vous pouvez cliquer sur l'icône du cadenas près de la barre d'adresse et obtenir plus d'informations sur les détails du certificat SSL du site. 

Donc, où trouver les certificats SSL sur le serveur? Pour afficher les informations détaillées de SSL sur les navigateurs populaires comme Chrome et Firefox, vous pouvez suivre les étapes ci-dessous :

• Cliquez sur l'icône du cadenas dans la barre d'adresse du navigateur. Par exemple, voici ce que cela donne pour keyfactor.com

• Cliquez sur la fenêtre contextuelle du certificat et vérifiez les détails du certificat tels que la date d'expiration et la durée de validité.

 

• Dans le cas des certificats à validation étendue, vous obtiendrez davantage d'informations, telles que les données d'identification de l'organisation. Pour les autres types de certificats, les coordonnées de l'autorité de certification ne s'affichent que dans la partie inférieure de la fenêtre contextuelle.
• Pour obtenir des informations plus détaillées sur le certificat SSL , telles que la hiérarchie des certificats, cliquez sur le(s) onglet(s) fourni(s), tel que "Détails".

Si vous êtes propriétaire d'un site et que vous souhaitez vérifier votre certificat SSL , le moyen le plus simple est de vérifier dans votre tableau de bord s'il existe un certificat approuvé émis par une autorité de certification. Si plusieurs certificats SSL sont installés pour votre site, vous pouvez les localiser en utilisant l'une des deux méthodes suivantes.

Vérificateurs ou scannersSSL , tels que celui fourni par Keyfactorsont utilisés pour analyser l'ensemble de votre réseau et localiser tous les certificats installés.

• Vous pouvez également utiliser l'outil Windows Certificate Manager si vous utilisez l'environnement Windows Server.
• Pour afficher les certificats stockés sur votre appareil local, lancez l'outil Gestionnaire de certificats.

Pour ce faire, ouvrez l'invite de Command , tapez certlm.msc et appuyez sur ENTRÉE.

• Vous pouvez afficher tous les certificats stockés sur votre ordinateur dans le volet de gauche et développer le répertoire pour obtenir des informations plus détaillées sur un certificat.
• Pour les certificats accessibles à l'utilisateur actuel, lancez l'outil Certificate Manager en tapant certmgr.msc dans une session de l'Invite de Command .

Si vous n'utilisez pas d'outil, vous pouvez rechercher et localiser manuellement les certificats installés dans les magasins de certificats. Les magasins de certificats sont des conteneurs dans l'environnement du serveur qui contiennent tous vos certificats. En fonction du type de certificats stockés, les magasins de certificats peuvent être classés comme suit :

• Personnel - Ces magasins contiennent des certificats avec des clés privées
• Autorités de certification racine de confiance - Tous les certificats de tiers et les certificats des organisations clientes seront stockés ici.
• Autorités de certification intermédiaires - Elles comprennent les certificats délivrés aux autorités de certification subordonnées.

Si vous utilisez un serveur Windows, vous pouvez accéder au magasin de certificats en suivant les étapes suivantes :

• Ouvrez la MMC (Microsoft Management Console) en entrant dans la MMC à partir d'une session de l'Invite de Command .
• Cliquez sur Fichier, puis sélectionnez Ajouter/Supprimer le Snap-in...
• Une liste de snap-ins s'affiche. Choisissez Certificats dans la liste, puis cliquez sur Ajouter >.

• Sélectionnez Compte de l'ordinateur, puis cliquez sur Suivant > Terminer. Si vous vouliez voir les certificats liés à votre identité, vous auriez sélectionné "Mon compte d'utilisateur".
• Cliquez ensuite sur OK, et vous serez redirigé vers la page des snap-ins.

Pour afficher un certificat particulier dans le snap-in MMC, double-cliquez sur Certificats (ordinateur local) dans le volet de gauche, puis développez un magasin de certificats pour afficher les certificats, par exemple Personnel > Certificats. Les certificats disponibles dans le magasin de certificats sélectionné s'affichent dans le volet central de la fenêtre.

Pour visualiser le certificat, double-cliquez dessus. Une fenêtre de certificat apparaît et affiche les différentes propriétés du certificat sélectionné, telles que la durée de validité, la date d'expiration, le chemin d'accès et tous les détails de la clé privée associée.

Tous les certificats SSL ont une durée de vie limitée et une date d'expiration déterminée. Lorsque la date d'expiration est atteinte, le certificat n'est plus considéré comme valide. 

Historiquement, la plupart des certificats SSL ont une durée de vie comprise entre un et trois ans. Aujourd'hui, la durée de vie la plus longue autorisée est de 397 jours. Cependant, le CA/Browser Forum, un rassemblement volontaire d'émetteurs de certificats et de fournisseurs de software navigation Internet et d'autres applications qui utilisent des certificats (consommateurs de certificats), a officiellement adopté un vote visant à modifier les exigences de base de TLS afin de réduire la durée de vie maximale à 47 jours seulement, ce qui reflète l'évolution générale du secteur vers une plus grande souplesse dans la gestion des certificats en tant qu'élément central des opérations quotidiennes de l'PKI .

Dans la plupart des cas, un certificat est remplacé à l'approche de sa date d'expiration. Mais certaines conditions, comme la vulnérabilité Heartbleed, la dépréciation de SHA-1, les fusions d'entreprises ou les changements de politique de sécurité, peuvent exiger que les certificats soient réémis plus tôt. La durée de vie des certificats continuant à diminuer, les entreprises devront adopter des approches plus automatisées et plus souples pour gérer l'PKI à grande échelle et éviter les interruptions de service. 

Pour vérifier si un certificat SSL est installévous pouvez utiliser l'outil Gestionnaire de certificats et vérifier sa période de validité. Une autre option consiste à utiliser l'outil sigcheck Windows Sysinternals pour vérifier la version TLS . Téléchargez l'utilitaire et exécutez-le à l'aide de la command switch sigcheck -tv. Il établira la liste de tous les certificats racine Microsoft approuvés.

Avant d'installer un certificat SSL , vous devez vous assurer que vous disposez de certificats valides émis par une autorité de certification. Pour ce faire, vous devez générer une CSR. CSR signifie Demande de signature de certificatC'est la façon dont vous faites une demande pour recevoir un certificat SSL de la part d'une autorité de certification.

Une RSC se compose d'une clé publique et d'autres détails nécessaires pour valider votre identité. Vous devrez fournir des informations telles que le nom distinctif (DN), le nom commun (CN) et le nom de domaine pleinement qualifié (FQDN) de votre site web qui a besoin du certificat. 

Création d'une CSR à l'aide d'Open SSL (multiplateforme) :

• Exécutez le fichier command ci-dessous dans votre terminal

openssl req -out testsite.csr -new -newkey rsa:2048 -nodes -keyout testsite.key

• Il se peut que l'on vous demande un mot de passe facultatif, et vous pouvez fournir un mot de passe pour protéger votre clé privée. Cette page command créera une CSR sous le nom testsite.csr et une clé privée de 2048 bits sous le nom testsite.key. 

Création d'une CSR à l'aide de certreq sous Windows :

Si vous utilisez un environnement Windows, vous pouvez générer une CSR à l'aide de l'outil intégré certreq : 

• Créer un fichier INF avec le contenu suivant

[Version]

Signature="$Windows NT$"

 

[NewRequest]

Subject = "CN=www.yourdomain.com, O=Votre organisation, L=Ville, S=État, C=Pays"

KeySpec = 1

Longueur de clé = 2048

Exportable = VRAI

MachineKeySet = TRUE

SMIME = FAUX

PrivateKeyArchive = FALSE

Protégé par l'utilisateur = FAUX

UseExistingKeySet = FALSE

ProviderName = "Microsoft RSA SChannel Cryptographic Provider" (Fournisseur cryptographique RSA SChannel de Microsoft)

Type de fournisseur = 12

RequestType = PKCS10

CléUsage = 0xa0

 

[Extensions]

2.5.29.17 = "{texte}"

_continue_ = "dns"

_continue_ = "dns.com"

• Exécutez la command suivante dans une session de l'Invite de Command :

certreq -new request.inf request.csr

Cette opération génère le fichier request.csr. Vous pouvez maintenant soumettre cette CSR pour demander des fichiers de certificats signés à une autorité de certification valide. Après la validation nécessaire du domaine et de la société, l'autorité de certification vous fournira trois fichiers, la clé privée, le fichier de certificat et le fichier de certificat intermédiaire, qui peuvent être utilisés pour installer SSL sur votre serveur. Les fichiers peuvent également être consolidés en un seul fichier PKCS#12 .pfx dans lequel un mot de passe est fourni pour l'installation.

Bien que les certificats signés par l'autorité de certification soient la méthode recommandée et fiable pour mettre en œuvre SSL, vous pouvez également utiliser des certificats auto-signés si nécessaire. Cependant, les navigateurs afficheront des messages d'avertissement, car ils ne seront pas considérés comme provenant d'une source fiable. 

 

Utilisez des certificats auto-signés si vous ne traitez pas de données sensibles ou si votre public cible est un groupe fermé. Si vous gérez un site de commerce électronique ou si vous traitez un volume de trafic important, les certificats signés par une autorité de certification sont la meilleure solution.

• Pour créer un certificat auto-signé SSL , vous pouvez exécuter la procédure suivante command dans votre environnement serveur :

openssl x509 -signkey testsite.key -in testsite.csr -req -days 365 -out testsite.crt

• Cette page command génère un fichier de certificat nommé testsite.com.crt à partir du fichier CSR. 

Si vous utilisez un environnement de serveur Linux, l'installation d'un certificat SSL dépendra à la fois du système d'exploitation et du serveur que vous utilisez.

Serveur web Apache

Après avoir obtenu vos fichiers de certificat auprès de l'autorité de certification (AC), vous devez avoir :

• Un fichier de certificat (par exemple, ServerCertificate.crt)
• Un fichier de clé privée (par exemple, yoursite.key)
• Une chaîne de certificats ou un fichier bundle (par exemple, ChainBundle.crt)

L'emplacement des fichiers de configuration d'Apache peut varier en fonction de votre distribution :

• Ubuntu/Debian : 

/etc/apache2/apache2. conf ou ssl.conf

• Red Hat/Alma Linux/CentOS

/etc/httpd/conf/httpd.conf ou /etc/httpd/conf.ssl.conf

You can include your certificate entries in the relevant <VirtualHost*:443> block:

<VirtualHost *:443>

    DocumentRoot /var/www/html

    Nom du serveur testcertificates.com

    SSLEngine ON

    SSLCertificateFile /etc/apache/ssl.crt/ServerCertificate.crt

    SSLCertificateKeyFile /etc/apache/key.crt/yoursite.key

    SSLCertificateChainFile ssl.crt/ChainBundle.crt

</VirtualHost>

Pour vérifier la configuration :

sudo apachectl configtest

Redémarrez ensuite Apache :

Ubuntu : sudo systemctl restart apache2

RHEL/Alma Linux : sudo systemctl restart httpd

Pour le serveur web NGINX

Si vous utilisez NGINX (courant sur de nombreuses distributions Linux pour des raisons de performance), le processus diffère légèrement. NGINX exige que le certificat et la chaîne soient regroupés dans un seul fichier :

• Combinez votre certificat et la liasse de l'autorité de certification :

cat ServerCertificate.crt ChainBundle.crt > fullchain.pem

• Modifiez votre bloc serveur NGINX :

serveur {

    listen 443 ssl;

    nom_du_serveur testcertificates.com ;

    sslssl.pem ;

    sslssl.key ;

    root /var/www/html ;

}

• Tester la configuration :

sudo nginx -t

• Redémarrer NGINX :

sudo systemctl restart nginx

Vérification

Une fois le serveur redémarré, testez votre installation SSL en visitant votre site dans plusieurs navigateurs et en vérifiant la présence de l'icône du cadenas HTTPS. Si vous rencontrez des problèmes, vérifiez à nouveau que les fichiers du certificat correspondent à la clé privée et au domaine, et contactez votre autorité de certification si nécessaire.

Les étapes de l'installation des certificats SSL dans un serveur Windows 2022 utilisant Microsoft IIS 10 sont indiquées ci-dessous.

• Préparez votre certificat, votre clé privée et votre chaîne de certificats ou votre paquet de fichiers. Vous pouvez les obtenir auprès de l'autorité de certification de votre domaine. Si possible, obtenez-les sous la forme d'un seul fichier PKCS#12 .pfx pour faciliter l'importation. Assurez-vous simplement que vous disposez du mot de passe correspondant pour l'installation. Si nécessaire, vous pouvez utiliser OpenSSL pour combiner les fichiers dans ce format avec la command suivante :

openssl pkcs12 -export -out combined.pfx -inkey yoursite.key -in ServerCertificate.crt -certfile ChainBundle.crt

• Lancez le gestionnaire IIS en cliquant sur le bouton Démarrer, en tapant iis et en sélectionnant Internet Information Services (IIS) Manager. Vous pouvez également appuyer sur la touche Windows + R, taper inetmgr et cliquer sur OK. Dans l'arborescence du menu Connexions du volet gauche, double-cliquez sur le nom du serveur sous Page de démarrage.
• Sur la page d'accueil du nom du serveur, dans le volet central, sous la section IIS , double-cliquez sur Certificats de serveur.

• Sous la rubrique Actions dans le volet de droite, cliquez sur Importer....

• Parcourez et téléchargez le fichier .pfx de votre certificat. Saisissez le mot de passe et modifiez le Certificate Store de Personal à Web Hosting si vous prévoyez de charger plus de 30 certificats différents. Décochez la case si vous ne voulez pas que le certificat soit exporté du magasin de certificats avec la clé privée. Cliquez sur OK pour enregistrer le certificat SSL . Il doit maintenant être disponible dans la liste des certificats du serveur.
• Pour lier le certificat installé à votre site web, dans l'arborescence du menu Connexions , double-cliquez sur Sites sous le nom du serveur. Dans le volet central de la page d'accueil Sites, double-cliquez sur le site auquel vous souhaitez lier le certificat SSL .
• Dans le volet de droite, sous le menu Actions, cliquez sur Liaisons... puis sélectionnez le bouton Ajouter... dans la fenêtre Liaisons de site.
• Définir les éléments suivants: :
  • Type - HTTPS
  • Adresse IP - Toutes les adresses non attribuées ou sélectionner parmi les adresses IP disponibles celle qui s'applique correctement au site.
  • Le port est 443 (par défaut) ou le port sur lequel votre trafic SSL est écouté.
  • Certificats SSL - le nom convivial du certificat SSL qui vient d'être installé
•  Cliquez sur Afficher pour consulter les détails, puis sur OK pour terminer la liaison.

Comme indiqué précédemment, chaque certificat SSL est assorti d'une date d'expiration, après laquelle les navigateurs commenceront à afficher des messages d'avertissement lors de l'accès au site. Un certificat SSL expiré est une faille de sécurité à laquelle vous devez remédier au bon moment. Pour éviter les complications de sécurité et une éventuelle baisse de la cote de confiance liée à un certificat SSL expiré, vous devez le renouveler à temps.

La procédure est assez similaire à l'obtention d'un nouveau certificat SSL . 

• Générer une CSR (Certificate Signing Request)
• Sélectionnez votre certificat SSL et entrez les détails requis, comme la période de validité dont vous avez besoin et d'autres détails, puis soumettez-le à l'autorité de certification. 
• Vous obtiendrez des fichiers de certificats renouvelés que vous pourrez utiliser sur votre serveur. 
• Pour renouveler les certificats SSL , vous devez suivre les mêmes procédures que pour obtenir un nouveau certificat SSL . Il peut s'agir de la validation du domaine, de la validation de l'organisation et d'autres vérifications nécessaires pour le niveau de certificat que vous demandez à l'autorité de certification.

• Lancez le gestionnaire IIS en cliquant sur le bouton Démarrer, en tapant iis et en sélectionnant Internet Information Services (IIS) Manager. Vous pouvez également appuyer sur la touche Windows + R, taper inetmgr et cliquer sur OK.
• Dans l'arborescence du menu Connexions du volet gauche, double-cliquez sur le nom du serveur sous Page de démarrage.
• Sur la page d'accueil du nom du serveur, dans le volet central, sous la section IIS , double-cliquez sur Certificats de serveur.

Dans le menu Actions du volet de droite, cliquez sur Créer un certificat auto-signé...

• Définissez un nom convivial et changez le magasin de certificats de Personnel à Hébergement Web si vous prévoyez de charger plus de 30 certificats différents. Cliquez sur OK.
• Ces étapes créent un certificat auto-signé valable pendant un an, que vous trouverez dans la liste Certificats de serveur. À ce stade, vous pouvez lier le certificat à votre site web comme indiqué dans les étapes précédentes.
• La dernière étape consiste à ajouter votre certificat auto-signé à votre fichier Autorités de certification racine de confiance.
  • Ouvrez la MMC (Microsoft Management Console) en entrant dans la MMC à partir d'une session de l'Invite de Command .
  • Cliquez sur Fichier, puis sélectionnez Ajouter/Supprimer le Snap-in...
  • Une liste de snap-ins s'affiche. Choisissez Certificats dans la liste, puis cliquez sur Ajouter >.
  • Sélectionnez Compte de l'ordinateur, puis cliquez sur Suivant > Terminer.
  • Cliquez sur OK, et vous serez redirigé vers la page des snap-ins.
  • Double-cliquez sur Certificats (Ordinateur local) dans le volet de gauche. Double-cliquez et développez le magasin de certificats pour afficher le certificat auto-signé qui vient d'être créé via Personnel > Certificats. Copiez le certificat auto-signé dans le dossier Autorités de certification racine de confiance > Certificats .

Comme nous l'avons déjà mentionné, tous les certificats SSL sont assortis d'une date d'expiration, après laquelle ils seront considérés comme non valables et les navigateurs commenceront à afficher des avertissements de sécurité. Vous pouvez choisir de renouveler vos certificats SSL ou de les supprimer et d'exploiter votre site comme un site HTTP normal sans la couche de sécurité supplémentaire.

Voici les étapes à suivre pour supprimer un certificat numérique expiré dans les systèmes Windows :

• Lancez l'application MMC en allant dans Démarrer > Exécuter > MMC, puis sélectionnez le snap-in > Certificats.
• Sélectionnez l'ordinateur local et développez le dossier Certificats sous le répertoire personnel.
• Vous obtiendrez une liste de certificats dans le volet de droite. Cliquez avec le bouton droit de la souris sur le certificat que vous souhaitez supprimer et sélectionnez supprimer.

Dans les systèmes Linux Ubuntu, vous pouvez suivre ces étapes ou utiliser un outil tel que cPanel pour gérer les certificats de votre serveur.

• Ouvrez le terminal et exécutez la command suivante

sudo dpkg-reconfigure ca-certificates

• La liste de tous les certificats s'affiche, dans laquelle vous pouvez désélectionner les autorités de certification.
• Vous pouvez également modifier les listes de fichiers de l'autorité de certification stockées dans le fichier /etc/ca-certificates.cong et exécuter la commande command ci-dessous pour mettre à jour les modifications.

sudo update-ca-certificates

L'exécution de dpkg-reconfigure réinitialisera également automatiquement les certificats.

Un certificat SSL est un titre de créance numérique émis par une autorité de certification de confiance, qui signale que le site web est légitime et sécurisé. Il permet une communication cryptée entre votre navigateur et le serveur, protégeant ainsi les données sensibles - telles que les mots de passe, les informations personnelles et les détails de paiement - contre l'interception et la falsification.

Communication TLS traditionnelle

Lorsque vous visitez un site web, votre navigateur envoie une demande au serveur web. Le serveur traite cette demande et renvoie la réponse appropriée. Bien que cette interaction puisse sembler simple, elle est vulnérable aux attaques de type "man-in-the-middle" (MITM) si elle n'est pas correctement sécurisée. Un acteur malveillant pourrait intercepter les données en transit et extraire des informations confidentielles.

Par exemple, si vous vous connectez à votre portail bancaire en ligne et que quelqu'un intercepte ce trafic, vos informations d'identification peuvent être exposées, ce qui peut entraîner un vol d'identité ou une perte financière.

TLS empêche cela en chiffrant les données. Même si un pirate intercepte le trafic, le contenu crypté apparaîtra comme un charabia inintelligible à moins qu'il ne possède la bonne clé de décryptage.

SSL utilise un cryptage asymétrique lors de la connexion initiale impliquant une paire de clés publique-privée :

• Le serveur détient la clé privée.
• Le client (navigateur) reçoit la clé publique, qu'il utilise pour crypter les données.
• Seul le serveur peut décrypter les données à l'aide de sa clé privée.

Ce processus est connu sous le nom de "poignée de main TLS " :

• Accord et échange de clés (établissement de clés de session pour le cryptage symétrique)
• Cryptage des données (à l'aide de clés de session)
• Authentification du serveur (vérification de l'identité du serveur et de l'intégrité des données)

L'avenir du cryptage : Se préparer à l'après-quantique

Si les protocoles TLS actuels sont sécurisés contre les ordinateurs classiques, ils ne sont pas conçus pour résister aux attaques des ordinateurs quantiques. Un ordinateur quantique suffisamment puissant pourrait casser les algorithmes de chiffrement traditionnels, en particulier ceux utilisés dans l'échange de clés lors de la poignée de main TLS .

Cette situation a suscité une inquiétude croissante concernant les attaques de type "harvest now, decrypt later" (HNDL), dans lesquelles les adversaires enregistrent aujourd'hui le trafic crypté dans l'intention de le décrypter à l'avenir, une fois que les capacités quantiques seront disponibles, laissant les données actuelles vulnérables à l'avancée de la technologie.

Pour se défendre contre cette menace, l'industrie s'oriente vers la cryptographie post-quantique (PQC). Dans les prochaines versions de TLS, le processus de poignée de main remplacera les algorithmes traditionnels d'échange de clés tels que RSA par des mécanismes d'encapsulation de clés (KEM). Les KEM sont des primitives cryptographiques conçues pour être résistantes au quantum dans le cadre des nouvelles normes en cours de développement par des organisations telles que le NIST et l'IETF.

La migration vers des certificats et une infrastructure compatibles avec la PQC est essentielle pour assurer la confidentialité des données à long terme. À mesure que les algorithmes à sécurité quantique sont finalisés et intégrés dans des protocoles tels que TLS 1.3 et au-delà, les organisations doivent être proactives dans la mise à jour de leurs systèmes pour inclure la PQC aux côtés des algorithmes classiques dans un modèle hybride - offrant à la fois une protection immédiate et une résilience future.

Transport Layer SecurityTLS est la norme moderne pour sécuriser les transferts de données sur l'internet. Bien qu'il soit souvent mentionné aux côtés de SSL, TLS n'est pas simplement une nouvelle version : c'est un protocole plus sûr, plus efficace et activement entretenu qui a entièrement remplacé SSL dans la pratique.

Développé à l'origine par Netscape en 1994, le SSL a jeté les bases de la communication cryptée sur le web. Cependant, en raison de graves vulnérabilités et limitations, SSL a été abandonné. La dernière version, SSL 3.0, a été officiellement retirée et TLS a été introduit en 1999 pour lui succéder. Depuis lors, TLS a connu de nombreuses améliorations, la dernière versionTLS 1.3) ayant été publiée en 2018.

Bien que les termes SSL et TLS soient encore utilisés de manière interchangeable dans les conversations et les noms de produits, TLS est le protocole réellement utilisé aujourd'hui.

Principales différences entre SSL et TLS

Bien que les deux protocoles visent à fournir une communication sécurisée et authentifiée, TLS améliore SSL sur plusieurs points importants :

• TLS de chiffrement - TLSprend en charge des algorithmes de chiffrement plus puissants et plus modernes tels que AES et ChaCha20, ce qui améliore la sécurité et les performances.
• Messages d'alerte -TLS offre des messages d'erreur plus détaillés et plus spécifiques, ce qui améliore le dépannage et la clarté par rapport aux alertes génériques de SSL
• Protocole d'TLS utilise HMAC (Hash-Based Message Authentication Code) pour l'intégrité des données, ce qui est plus sûr que le format MAC de base utilisé par SSL
• TLS de prise de contact - TLSaffine le mécanisme de prise de contact afin d'améliorer la vitesse et la sécurité. Contrairement à SSL, TLS calcule des hachages sur les messages de la poignée de main eux-mêmes, ce qui permet une meilleure authentification.
• Authentification des messages -TLS repose sur l'authentification par hachage à l'aide de HMAC, tandis que SSL utilise des techniques moins robustes impliquant des données clés.

L'importance de TLS aujourd'hui

Tous les navigateurs, API et services Internet modernes reposent sur TLS, et non SSL. Les principaux organismes de normalisation et les fournisseurs de navigateurs ont complètement abandonné la prise en charge du SSL en raison de ses vulnérabilités.

Si vous mettez en place une communication sécurisée, que ce soit pour un site web, un serveur de messagerie ou un service en nuage, vous devez toujours utiliser TLS. Le fait de continuer à faire référence à SSL est en grande partie une question de dénomination héritée, et non de meilleure pratique.

Au fur et à mesure que l'internet évolue pour faire face à de nouvelles menaces, y compris l'informatique quantique, TLS continuera à s'adapter, en incorporant la cryptographie post-quantique et des mécanismes d'échange plus efficaces. Comme indiqué ci-dessus, les principaux organismes de normalisation et les fournisseurs de navigateurs ont complètement abandonné le protocole SSL, qui appartient désormais au passé.

Les protocoles TLS sont constamment améliorés afin d'éliminer les vulnérabilités connues et de renforcer la sécurité globale. TLS 1.3, la version la plus récente et la plus sûre, supprime non seulement les algorithmes cryptographiques obsolètes, mais prépare également le terrain pour l'intégration de la cryptographie post-quantique dans un avenir proche. Continuer à utiliser des versions plus anciennes comme SSL 2.0, SSL 3.0 ou même TLS 1.0 et 1.1 pose de sérieux risques de sécurité, car ces protocoles ne sont plus considérés comme sûrs contre les menaces modernes.

Pour maintenir un cryptage fort et une protection des données à long terme, désactivez toutes les anciennes versions SSL et TLS et adoptez TLS 1.3 dans la mesure du possible :

Désactivation des anciennes versions de SSL dans le serveur Apache

Modifiez les paramètres de configuration de votre serveur Apache. Le fichier de configuration peut se trouver à différents endroits, comme indiqué ci-dessous. Localiser :

• Ubuntu/Debian : /etc/apache2/apache2.conf
• Dans les systèmes d'hôtes virtuels debian/Ubuntu :/etc/apache2/sites-enabled/
• Dans l'hôte virtuel Red Hat/CentOS : /etc/httpd/sites-enabled/
• Systèmes CentOS/Redhat : /etc/httpd/conf/httpd.conf

Une fois le fichier localisé, recherchez l'entrée "SSLProtocol" et modifiez-la en

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

• Redémarrer le serveur Apache
• service httpd restart ou
• service apache2 restart

De même, pour les serveurs Nginx ou Tomcat, modifiez le fichier de configuration. Changez l'entrée ssl_protocols pour la dernière version de TLS et redémarrez le serveur.

Pour désactiver les anciennes versions de SSL dans Windows, vous pouvez utiliser un outil comme l'outil cryptographique IIS pour modifier les versions de SSL par le biais d'une application GUI. Pour faire la même chose manuellement, suivez les étapes suivantes

Ouvrez l'éditeur de registre par Démarrer > Exécuter > regedit

Recherchez la clé/le dossier de registre suivant(e) :

• Si SSL 2.0 est listé, faites un clic droit dessus et sélectionnez Nouveau-> Clé et créez un nouveau dossier appelé Serveur.
• Sous le dossier Serveur, cliquez sur Édition > Nouveau > DWORD (valeur de 32 bits)
• Saisissez Enabled et appuyez sur la touche Entrée. La colonne de données doit avoir la valeur 0. Si ce n'est pas le cas, cliquez avec le bouton droit de la souris et mettez-la à zéro.

De même, répétez les étapes pour désactiver SSL3.0 et redémarrez votre ordinateur pour que les changements soient pris en compte.

L'automatisation de la gestion des certificats TLS est essentielle pour maintenir une présence en ligne sûre et fiable. Tirez parti de l'automatisation pour contrôler et mettre à jour efficacement tous vos certificats numériques :

• Réduire les erreurs manuelles et la charge de travail, en diminuant la probabilité d'erreurs et en libérant des ressources informatiques précieuses.
• Prévenez les accidents coûteux liés aux certificats TLS et évitez les pièges des temps d'arrêt.
• Adhérer sans difficulté aux protocoles de sécurité les plus récents et se tenir au courant des normes en vigueur.

Le protocole ACME (Automated Certificate Management Environment) est un élément clé de l'automatisation efficace des certificats. ACME facilite l'émission, le renouvellement et la révocation automatiques des certificats en rationalisant les interactions entre votre serveur web et les autorités de certification (AC). Développé à l'origine pour Let's Encrypt, ACME est aujourd'hui largement pris en charge par diverses autorités de certification et fournisseurs d'PKI . La mise en œuvre d'ACME peut considérablement améliorer la capacité de votre organisation à gérer les certificats de manière efficace et sécurisée. Pour en savoir plus sur l'ACME, consultez notre guide étape par étape ici.

Comme vous pouvez le constater, il est essentiel de vérifier un certificat TLS , de s'assurer qu'il est vérifié et de le supprimer lorsqu'il a dépassé la date d'expiration. Toutefois, ce processus est fastidieux et nécessite des connaissances techniques. Ce n'est plus le cas aujourd'hui. Les solutions de gestion et d'automatisation des certificats de Keyfactorsont là pour vous aider.

Contactez-nous pour en savoir plus et découvrir les fonctionnalités utiles de Keyfactor.