Accueil CRIC >> Utilisateurs >> Certificats >> Serveur

Comment authentifier un serveur

Comment authentifier un serveur :

Lorsqu'un navigateur se connecte à un serveur http sécurisé (https) il cherche à l'authentifier, c'est-à-dire s'assurer qu'il est bien le serveur qu'il prétend être. Cette authentification est réalisée par un certificat (numérique) délivré par une tierce partie. Ce "tiers de confiance" doit être reconnu par le serveur et par le client. Votre navigateur client s'étonnera donc -légitimement, si le serveur sécurisé auquel vous lui demandez de se connecter, lui présente un certificat connu de lui seul.

Le CNRS en "tiers de confiance" :

Pour éviter de recourir à une société externe, le CNRS a mis en place une sa propre autorité de certification.
Nous avons demandé à ce tiers de confiance un certificat pour notre serveur https.

Mais pour que ce Certificat soit reconnu de votre navigateur, il faut que celui-ci reconnaisse l'autorité qui l'a signé. Si vous ne savez pas activer cette autorité, cliquez ici.

Authentification réciproque avec HTTPS

Avec HTTPS le client authentifie le serveur grâce au certificat qu'il présente, le serveur authentifie l'utilisateur par login/mot de passe (cet échange ne circulera pas en clair sur le réseau).

Scénario de fonctionnement :

Le client (navigateur WEB) se connecte sur le serveur HTTPS.

le serveur HTTPS présente son certificat au client
le client voit que ce certificat a été délivré par le CNRS
cette autorité de certification est-elle reconnue par le client ? (présente dans sa liste des CA).
Si non, le navigateur remonte le problème à l'utlisateur qui devra :
- soit renoncer à sa connexion,
- soit accepter cette autorité pour la session,
- soit l'ajouter à la liste de celles qu'il reconnait.
grâce à la clé publique du CA le client vérifie l'intégrité du certificat (signature)
dans le certificat reconnu valide, le client récupère la clé publique du serveur
avec le serveur, le client va élaborer une clé de session afin de crypter les échanges qui vont suivre.
Note :
Le client pourrait décrypter avec la clé publique du serveur ce que ce dernier lui envoie crypté avec sa clé privée. Mais ce serait trop lourd, c'est pourquoi ils conviennent d'une clé provisoire commune, dite de session.

CNRS / Centre Réseau et Informatique Commun (CRIC) - Dernière modification : 02/07/2009.