Ce document provenant de Mozilla est uniquement pour votre information. Il peut vous aider à prendre quelques précautions pour protéger la confidentialité et la sécurité de vos informations personnelles sur Internet. Ce document n'est en aucun cas une documentation exhaustive de toutes les préférences de sécurité en ligne, ni une recommandation de Mozilla à propos de ce qui constitue une bonne sécurité sur Internet.

Informations et décisions concernant les certificats

Cette section décrit comment utiliser les différentes fenêtres affichées par le gestionnaire de certificats. Les informations complémentaires fournies ici sont accessibles en cliquant sur le bouton d'aide dans l'une de ses fenêtres.

Dans cette section :

Détails du certificat

La fenêtre Détails du certificat affiche des informations au sujet du certificat que vous avez choisi dans l'un des onglets du gestionnaire de certificats. L'onglet Général résume les informations relatives à un certificat, telles que l'émetteur du certificat, son statut de vérification, les applications pour lesquelles le certificat peut être utilisé, etc. L'onglet Détails fournit des informations complètes sur le contenu du certificat.

Si le gestionnaire de certificats n'est pas visible actuellement, suivez ces étapes :

  1. Ouvrez le menu Édition (Mozilla sous Mac OS) et choisissez Préférences.
  2. Dans la catégorie Confidentialité et Sécurité, cliquez sur Certificats. Si aucune sous-catégorie n'est visible, double-cliquez sur Confidentialité et Sécurité pour développer la liste.
  3. Cliquez sur Gestion des certificats.
  4. Cliquez sur l'onglet correspondant au type de certificat dont vous voulez voir les détails.
  5. Sélectionnez le certificat dont vous voulez voir les détails.
  6. Cliquez sur Voir.

Dans cette section :

Onglet Général

Quand vous ouvrez la fenêtre Détails du certificat, l'onglet Général affiche diverses informations sur le certificat sélectionné :

Ce certificat a été vérifié pour les utilisations suivantes :
Voir la définition vérification de certificat pour une explication sur la façon dont le gestionnaire de certificats vérifie les certificats. Les utilisations possibles sont les suivantes :
Certificat de client SSL :
Certificat utilisé pour vous identifier auprès des sites Web.
Certificat de serveur SSL :
Certificat utilisé pour identifier un serveur Web auprès des navigateurs.
Certificat de signataire du courrier :
Certificat utilisé pour vous identifier afin de signer numériquement le courrier que vous envoyez.
Certificat de destinataire du courrier :
Certificat utilisé pour identifier une autre personne (par exemple, afin de lui envoyer un message chiffré).
Certificat de répondeur de statut :
Certificat utilisé pour identifier un répondeur de statut en ligne qui utilise le PLSC (ou OCSP en anglais) pour vérifier la validité des certificats. Pour plus d'informations sur le PLSC, voir la section Préférences de validation.
Autorité de certification SSL :
Certificat utilisé pour identifier une autorité de certification, c'est-à-dire un service qui émet des certificats servant à l'identification sur les réseaux informatiques.
Émis à :
Récapitule les informations suivantes concernant le certificat :
Nom commun :
Le nom de la personne ou de l'entité que le certificat identifie.
Organisation :
Le nom de l'organisation à laquelle l'entité appartient (par exemple, le nom de la compagnie).
Unité organisationnelle :
Le nom de l'unité organisationnelle à laquelle appartient l'entité (par exemple, le service de comptabilité).
Numéro de série :
Le numéro de série du certificat.
Émis par :
Récapitule les mêmes informations que celles décrites sous Émis à, mais à propos de l'autorité de certification (AC) qui a émis ce certificat.
Validité :
Indique la période durant laquelle le certificat est valide.
Empreintes numériques :
Liste les empreintes numériques du certificat. Une empreinte numérique est un nombre unique produit en appliquant une fonction mathématique au contenu d'un certificat. L'empreinte numérique d'un certificat peut être employée pour vérifier que le certificat n'a pas été altéré.

Onglet Détails

Cliquez sur l'onglet Détails en haut de la fenêtre Détails du certificat pour avoir des informations plus détaillées sur le certificat choisi. Pour examiner les informations concernant un certificat présent dans la zone Hiérarchie des certificats, sélectionnez son nom, sélectionnez le champ que vous souhaitez consulter parmi les champs du certificat, et lisez la valeur de ce champ dans Valeur du champ :

Hiérarchie des certificats :
Affiche la chaîne de certificats, le certificat que vous avez sélectionné étant en bas. Une chaîne de certificats est une suite hiérarchique de certificats signés par des autorités de certification (AC) successives. Un certificat d'AC identifie une autorité de certification et sert à signer les certificats émis par cette autorité. Un certificat d'AC peut à son tour être signé par le certificat d'AC d'une AC parente, et ainsi de suite jusqu'à une AC racine.
Champs du certificat :
Affiche les champs du certificat choisi dans la hiérarchie des certificats.
Valeur du champ :
Affiche la valeur du champ choisi dans Champs de certificat.

La fenêtre Détails du certificat utilise pour l'affichage les types ANSI de base, en format lisible, à chaque fois que possible. Quand le gestionnaire de certificats ne sait pas interpréter la valeur de certains champs de certificats, il en affiche directement la valeur.

Choisir un périphérique de sécurité

Un périphérique de sécurité (parfois appelé jeton) est un périphérique matériel ou logiciel qui fournit des services cryptographiques, tels que le chiffrement et le déchiffrement, et qui stocke des certificats et des clés. La fenêtre Choix du périphérique de sécurité apparaît lorsque le gestionnaire de certificats ne peut décider tout seul quel périphérique de sécurité utiliser pour importer un certificat ou pour réaliser une opération cryptographique, comme la génération de clés pour un nouveau certificat. Cette fenêtre vous permet alors de choisir l'un des périphériques de sécurité que le gestionnaire de certificats a détecté sur votre machine.

La carte à puce est un exemple de périphérique de sécurité. Si vous avez un lecteur de carte à puce connecté à votre ordinateur et qu'une carte y est insérée, le nom de cette carte à puce apparaîtra dans la liste déroulante. Dans ce cas, vous devez sélectionner son nom dans cette liste pour informer le gestionnaire de certificats que vous souhaitez utiliser cette carte.

Le gestionnaire de certificats contient également son propre périphérique (logiciel) de sécurité intégré par défaut, qui reste toujours utilisable indépendamment de l'ajout d'autres périphériques.

Copier une clé de chiffrement

Les autorités de certification (AC) qui émettent des certificats séparés de signature et de chiffrement du courrier réalisent généralement des copies de sauvegarde de vos clés privées de chiffrement durant le processus d'inscription.

La boîte de dialogue Copie de clé de chiffrement vous permet d'approuver la création d'une telle sauvegarde ou d'annuler la demande de certificat. Il est important de comprendre qu'une AC qui a archivé une copie de sauvegarde de votre clé de chiffrement a la capacité potentielle de déchiffrer tout message chiffré avec votre clé publique correspondante.

Vous pouvez entreprendre les actions suivantes à partir de cette boîte de dialogue :

Voir le certificat :
Pour voir le certificat identifiant l'AC qui demande une copie de sauvegarde, cliquez sur Voir le certificat.
OK :
Si vous avez confiance en l'AC identifiée par le certificat d'AC, cliquez OK.

Si vous n'êtes pas sûr de pouvoir faire confiance à l'AC qui vous demande une copie de sauvegarde, demandez à votre administrateur système.

Annuler :
Si vous n'avez pas confiance en l'AC qui demande la copie de sauvegarde, ne lui demandez pas de certificat. Cliquez Annuler pour interrompre à la fois la procédure de sauvegarde et la demande de certificat.

Une fois que votre AC a fait une copie de sauvegarde de votre clé de chiffrement, vous avez la possibilité d'utiliser cette clé pour accéder à vos messages chiffrés, même si vous oubliez votre mot de passe ou si vous perdez votre propre copie de la clé. S'il n'existe aucune copie de sauvegarde de votre clé de chiffrement et que vous perdez votre mot de passe ou la clé, vous n'aurez aucun moyen de lire le moindre de vos messages chiffrés à l'aide de celle-ci.

Sauvegarder des certificats

Quand vous recevez un certificat, faites une copie de sauvegarde du certificat et de sa clé privée, puis rangez la copie dans un endroit sûr. Vous pouvez par exemple mettre la copie sur une disquette et la conserver avec d'autres objets de valeur sous clé. De cette façon, même en cas de problème de disque dur ou de fichier corrompu, vous pourrez facilement retrouver votre certificat.

Perdre son certificat et la clé privée associée peut se révéler désagréable, dans le meilleur des cas, et catastrophique, dans certaines situations, selon l'utilisation que vous en faites. Par exemple :

Comme pour toute autre donnée précieuse, vous devriez faire des copies de sauvegarde de vos certificats pour éviter des ennuis et des dépenses futures. Faites-le dès maintenant pour ne pas oublier par la suite.

Requête d'identification d'un utilisateur

Certains sites Web requièrent que vous vous identifiiez avec un certificat, plutôt qu'avec un nom d'utilisateur et un mot de passe, parce qu'un certificat procure une forme d'identification plus sûre. Cette méthode d'identification sur Internet est parfois appelée authentification de client.

Cependant, le gestionnaire de certificats peut avoir plus d'un certificat capable de vous identifier auprès d'un site Web. Dans ce cas, le gestionnaire de certificats ouvre la fenêtre de requête d'identification d'utilisateur qui vous présente deux sortes d'informations :

Ce site a demandé que vous vous identifiiez à l'aide d'un certificat : Cette section de la fenêtre détaille les informations suivantes :

Nom d'hôte :
Le nom du serveur qui fait la requête d'identification, utilisé dans son URL. Par exemple, le nom d'hôte du site Web Mozilla est www.mozilla.org.
Organisation :
Le nom de l'organisation qui exploite le site Web.
Émis par :
Le nom de l'autorité de certification (AC) qui a émis le certificat.

Choisissez un certificat à présenter pour l'identification : les certificats qui sont disponibles dans le but de vous identifier à un site Web sont énumérés dans la liste déroulante dans cette section de la boîte de dialogue. Choisissez le certificat qui semble le plus probable d'être reconnu par le site Web que vous souhaitez visiter.

Pour vous aider à choisir, les détails suivants des certificats sélectionnés sont affichés :

Émis à :
Détaille les informations sur la personne identifiée par le certificat (par exemple, vos nom et adresse électronique), le numéro de série du certificat et ses dates de validité.
Émis par :
Résume les informations à propos de l'AC qui a émis le certificat, tel que ses nom et adresse.

Nouvelle autorité de certification

Parmi les certificats que le gestionnaire de certificats détient, rangés sur votre ordinateur ou bien sur un périphérique de sécurité externe tel qu'une carte à puce, se trouvent des certificats qui identifient des autorités de certification (AC). Pour être capable de reconnaître tout certificat qu'il détient, le gestionnaire de certificats doit avoir des certificats pour les AC qui ont émis ou autorisé l'émission de ces certificats.

Quand vous décidez de faire confiance à une AC, le gestionnaire de certificats enregistre le certificat de cette AC et peut alors reconnaître les différents types de certificats pour lesquels vous faites confiance à cette AC.

Avant d'accepter un nouveau certificat d'AC, le gestionnaire de certificats affiche une fenêtre qui vous permet de spécifier dans quelle mesure vous voulez faire confiance à ce certificat. Vous pouvez choisir une ou plusieurs des options suivantes :

Faire confiance à cette AC pour identifier des sites Web :
Les certificats de sites Web peuvent être extrêmement importants, notamment pour ceux qui gèrent des transactions financières. Dans ce cas, une identification douteuse peut avoir des conséquences préjudiciables.
Faire confiance à cette AC pour identifier des utilisateurs de courrier électronique :
Si vous avez l'intention d'envoyer par courrier des informations confidentielles sous forme chiffrée, ou bien si l'identification précise de l'expéditeur d'un message est importante pour vous pour toute autre raison, vous devriez étudier soigneusement les procédures qu'utilise l'AC pour identifier les demandeurs de certificats, et si ces procédures vous conviennent avant d'accepter cette option.
Faire confiance à cette AC pour identifier des développeurs de logiciel :
Choisir cette option signifie que vous faites confiance à l'AC pour émettre des certificats identifiant l'origine d'applets Java et de scripts JavaScript (pour ceux qui demandent un accès spécial aux ressources de l'ordinateur, comme la possibilité de modifier des fichiers). Comme de tels privilèges d'accès peuvent être utilisés de façon malicieuse, par exemple pour détruire des données contenues sur votre disque dur, soyez très prudents avant de choisir cette option et refusez-la à moins d'avoir complètement confiance en l'AC.

Avant d'accepter de faire confiance à une nouvelle AC, soyez sûr de savoir qui la gère. Soyez sûr que la politique et les procédures de l'AC sont en adéquation avec les certificats qu'elle émet. Par exemple, si une AC émet des certificats identifiant des sites Web que vous utilisez pour effectuer des transactions financières, assurez-vous que les garanties fournies par l'AC vous conviennent.

Voir :
Cliquez sur ce bouton pour voir le certificat d'AC que vous vous apprêtez à obtenir. Si vous ne désirez plus obtenir ce certificat, cliquez sur Annuler.

Certificats de site Web

Les fenêtres suivantes peuvent apparaître lorsque vous tentez d'accéder à un site Web qui utilise SSL pour l'authentification et le chiffrement.

Dans cette section :

Site Web certifié par une autorité inconnue

De nombreux sites Web utilisent des certificats pour s'identifier lorsque vous les consultez. Si le gestionnaire de certificats ne reconnaît pas l'autorité de certification (AC) qui a émis le certificat de ce site Web, il affiche une fenêtre qui vous permet d'examiner le nouveau certificat de site Web et de décider quoi faire.

Examiner le certificat :
Cliquez sur ce bouton pour voir le certificat du site Web.

Dans la fenêtre qui apparaît, vous pouvez choisir l'une de ces options :

Se rappeler de ce certificat de façon permanente :
Cochez cette option pour accepter le certificat (malgré les problèmes apparents) et se connecter au site Web. Le gestionnaire de certificats reconnaîtra ce certificat comme légitimement identifié jusqu'à ce que le certificat expire.
Se rappeler temporairement de ce certificat pour la session :
Cochez cette option pour accepter le certificat temporairement et se connecter au site Web. Le gestionnaire de certificats reconnaîtra ce certificat comme légitimement identifié uniquement jusqu'à la fermeture du navigateur. La même alerte apparaîtra la prochaine fois que vous voudrez accéder à ce site.
Ne pas accepter ce certificat et ne pas se connecter à ce site :
Cochez cette option si vous décidez finalement de ne pas visiter le site Web. Cette option est appropriée, par exemple, si vous faites des transactions financières sur le site Web. Dans ce cas, vous devriez reporter le problème à la banque ou une autre organisation qui administre le site, et confirmer que le certificat du site est valide avant de faire quoi que ce soit.

Cliquez sur OK pour confirmer votre choix. Si vous cliquez sur Annuler, le gestionnaire de certificats ne reconnaîtra pas le certificat comme légitimement identifié et la connexion au site ne se fera pas.

Note importante pour les administrateurs de serveur : Cette alerte peut être envoyée par un serveur mal configuré. Pour voir si c'est le cas, l'administrateur du serveur ou le webmestre du site que vous souhaitez visiter devrait vérifier le statut des AC intermédiaires requises et si nécessaire, installer le certificat absent sur le serveur.

Si vous décidez de contacter le webmestre du site à propos de ce problème, vous pouvez inclure les informations suivantes :

Pour les utilisateurs avancés : Pour vous assurer que le gestionnaire de certificats accepte tous les certificats issus d'une AC donnée, vous pouvez éditer les préférences de confiance du certificat d'AC. Pour faire cela, suivez ces étapes :

  1. Ouvrez le menu Édition (Mozilla sous Mac OS) et choisissez Préférences.
  2. Dans la catégorie Confidentialité et Sécurité, cliquez sur Certificats. Si aucune sous-catégorie n'est visible, double-cliquez sur Confidentialité et Sécurité pour développer la liste.
  3. Cliquez sur Gestion des certificats.
  4. Cliquez sur l'onglet Autorités.
  5. Sélectionnez le certificat d'AC dont vous voulez modifier les paramètres de confiance.
  6. Cliquez sur le bouton Modifier et choisissez les paramètres de confiance appropriés.

Expiration du certificat d'un site Web

Comme une carte de crédit, un permis de conduire et de nombreuses autres formes d'identification, un certificat est valide pour une durée spécifiée. Quand un certificat expire, le propriétaire du certificat a besoin d'en obtenir un nouveau.

Le gestionnaire de certificats affiche la fenêtre Expiration du certificat de site Web lorsque vous essayez de vous rendre sur un site Web dont le certificat a expiré. Comme la fenêtre l'indique, la première chose que vous devez faire est de vous assurer que la date et l'heure affichées par votre ordinateur sont correctes. Si l'horloge de votre ordinateur indique une date postérieure à la date d'expiration, le gestionnaire de certificats considère que le certificat a expiré.

Si l'horloge de votre ordinateur est réglée correctement, vous devrez décider si vous continuez à faire confiance ou non au site Web. La décision de faire confiance au site malgré tout dépend de ce que vous souhaitez faire sur ce site et de ce que vous en savez. La plupart des sites commerciaux s'assureront de remplacer leurs certificats avant leur expiration.

Vous pouvez entreprendre les actions suivantes à partie de la boîte de dialogue Expiration du certificat de site Web :

Voir le certificat :
Pour examiner les informations concernant le certificat, notamment sa période de validité, cliquez sur le bouton Voir le certificat.
OK :
Si vous avez des raisons de croire que l'expiration du certificat est une simple erreur, vous devriez cliquer sur OK pour accepter le certificat malgré tout pour cette session, et informer le webmestre du site de ce problème.

Prenez bien garde à toutes les actions que vous ferez sur ce site.

Annuler :
Si vous soupçonnez qu'il pourrait y avoir un problème plus grave et que vous ne voulez pas prendre le risque de visiter le site, cliquez sur Annuler (auquel cas le gestionnaire de certificats ne se connectera pas sur le site).

Certificat de site Web pas encore valide

Comme une carte de crédit, un permis de conduire et de nombreuses autres formes d'identification, un certificat est valide pour une durée spécifiée.

Le gestionnaire de certificats vous avertit lorsque vous essayez de vous rendre sur un site Web dont la période de validité du certificat n'a pas encore commencé. La première chose que vous devez faire est de vous assurer que la date et l'heure affichées par votre ordinateur sont correctes. Si l'horloge de votre ordinateur indique une date incorrecte, le gestionnaire de certificats pourrait considérer que le certificat du site Web n'est pas encore valide, même si ce n'est pas le cas.

Si l'horloge de votre ordinateur est réglée correctement, vous devrez décider si vous voulez faire confiance ou non au site Web. La décision de faire confiance au site malgré tout dépend de ce que vous souhaitez faire sur ce site et de ce que vous en savez. La plupart des sites commerciaux s'assureront que la période de validité de leurs certificats a commencé avant de commencer à les utiliser.

Vous pouvez entreprendre les actions suivantes à partie de la boîte de dialogue Certificat de site Web pas encore valide :

Voir le certificat :
Pour examiner les informations concernant le certificat, notamment sa période de validité, cliquez sur le bouton Voir le certificat.
OK :
Si vous avez des raisons de croire que le problème est une simple erreur, vous devriez cliquer sur OK pour accepter le certificat malgré tout pour cette session, et informer le webmestre du site de ce problème.

Prenez bien garde à toutes les actions que vous ferez sur ce site.

Annuler :
Si vous soupçonnez qu'il pourrait y avoir un problème plus grave et que vous ne voulez pas prendre le risque de visiter le site, cliquez sur Annuler (auquel cas le gestionnaire de certificats ne se connectera pas sur le site).

Nom de domaine non correspondant

Un certificat de site Web spécifie le nom du site sous la forme du nom de domaine. Par exemple, le nom de domaine du site Web de Mozilla est www.mozilla.org. Si le nom de domaine contenu dans le certificat d'un site Web ne coïncide pas avec le nom de domaine réel du site, cela peut être un signe que quelqu'un cherche à intercepter votre communication avec celui-ci.

La décision de faire confiance au site malgré tout dépend de ce que vous souhaitez y faire et de ce que vous en savez. La plupart des sites commerciaux s'assureront que le nom de domaine d'un certificat coïncide avec le nom de domaine réel du site Web.

Vous pouvez entreprendre les actions suivantes à partir de la boîte de dialogue Nom de domaine non correspondant :

Voir le certificat :
Pour examiner les informations concernant le certificat, cliquez sur le bouton Voir le certificat.
OK :
Si vous avez des raisons de croire que le problème est une simple erreur, vous devriez cliquer sur OK pour accepter le certificat malgré tout pour cette session, et informer le webmestre du site de ce problème.

Prenez bien garde à toutes les actions que vous ferez sur ce site, et considérez toute information que vous y trouverez comme potentiellement suspecte.

Annuler :
Si vous soupçonnez qu'il pourrait y avoir un problème plus grave et que vous ne voulez pas prendre le risque de visiter le site, cliquez Annuler (auquel cas le gestionnaire de certificats ne se connectera pas sur le site).

Si vous acceptez le certificat malgré tout pour cette session, vous devriez faire bien attention à ce que vous faites sur ce site Web, et considérez toute information que vous y trouverez comme potentiellement suspecte.