FLASH INFORMATIQUE FI



Les certificats SSL pour serveurs sont désormais signés par GlobalSign




Martin OUWEHAND


Jusqu’à maintenant, c’est l’autorité de certification de l’EPFL qui signait les certificats X509 utilisés par les serveurs Web de l’École pour permettre de s’y connecter de manière sûre et confidentielle avec le système SSL (Secure Socket Layer) utilisé par le protocole HTTPS (à vrai dire, rien n’aurait empêché une unité de notre École de se tourner vers une autorité extérieure pour obtenir un tel certificat, mais à ma connaissance ça n’a jamais été le cas).

Mais, après la mise en place sous l’égide de SWITCHpki (www.switch.ch/pki/) d’une Registration Authority locale qui vérifie la validité des requêtes, les certificats sont désormais signés par GlobalSign (www.globalsign.net/). Comme le certificat de cette autorité de certification est déjà chargé dans les browsers, les accès aux serveurs dont le certificat est signé par cette autorité se font sans messages d’avertissement de la part du browser (ce qui n’était le cas avec les certificats signés par l’autorité de l’EPFL que si l’utilisateur avait pris la peine de charger auparavant le certificat de notre autorité de certification dans son browser.) C’est là le but de ce changement.

Dans la pratique, il faut donc désormais soumettre les requêtes de certificats à l’aide de ce formulaire : https://tremplin.epfl.ch/servCertReq-SCS.cgi.
Ceci doit être fait par le responsable informatique (au sens de l’accréditation) de l’unité à laquelle est rattaché le serveur Web concerné par la requête.
Les requêtes doivent en outre satisfaire à ces conditions :

  • le(s) nom(s) de serveur(s) indiqué(s) dans la requête doivent être dans le domaine epfl.ch ;
  • l’algorithme utilisé doit être RSA ;
  • la taille de la clef doit être de 2048 bits ;
  • l’indication de pays C=CH doit figurer dans la requête
  • l’organisation O= doit figurer dans la requête, exactement comme suit (nom complet sans accents suivi de l’abréviation) : Ecole polytechnique federale de Lausanne (EPFL) ;
  • la mention du champ ST= (State/Province) est déconseillée, mais s’il figure dans la requête, il doit être écrit : Vaud ;
  • la mention du champ OU= (unité ou Organisational Unit ) est déconseillée, mais s’il figure dans la requête, ce doit être l’abréviation officielle de dernier ou avant-dernier niveau de l’unité à laquelle est rattaché le serveur (p.ex. pour l’unité EPFL/PL/PL-DIT/DIT-SB, seuls OU=PL-DIT ou OU=DIT-SB sont acceptables).

Les indications permettant de télécharger les certificats après signature par GlobalSign parviendront par e-mail à la personne de contact qui aura été indiquée dans le formulaire.
Pour de plus amples détails, en particulier concernant la soumission de requêtes pour des serveurs Web à noms multiples (alias pour serveurs virtuels), nous renverrons vers la page de cette nouvelle autorité d’enregistrement locale : http://rauth.epfl.ch



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.