poivron.org - passé/futur

1. Qu'est-ce qu'un certificat?
2. Qu'est-ce qu'une autorité de certification?
3. Comment puis-je installer le root certificate?
4. Que se passe-t-il si je n'installe pas le root certificate?
5. Je croyais que vous étiez contre l'autorité!
6. Quelle est l'empreinte (fingerprint) du certificat de poivron.org?

Qu'est-ce qu'un certificat?

Un certificat permet de vérifier l'identité d'ordinateurs sur Internet, de façon à permettre des échanges sécurisés. Sans certificat, vous ne pouvez vous assurer que l'ordinateur avec lequel vous dialoguez est celui que vous souhaitez, et courrez le risque de vous adresser à une autre machine, sans le savoir. Vos échanges numériques peuvent ainsi être interceptés, et leurs contenus espionnés.

En conséquence, les divers services de poivron.org (imap, pop3, smtp, http, etc.) ne fonctionnent qu'au travers de connexions sécurisées. Parce qu'il n'est pas toujours évident de configurer son logiciel de navigation ou de gestion du courrier pour intégrer le certificat de poivron.org, et ainsi garantir la sécurité de ses échanges, le présent document vous guidera à travers les quelques étapes nécessaires, à l'aide d'illustrations.

Qu'est-ce qu'une autorité de certification?

Un certificat est l'équivalent d'une carte d'identité. Contrairement à cette dernière, un certificat est normalement délivré par une entreprise privée, qu'on appelle autorité de certification (CA, pour Certification Authority). Poivron.org a cependant fait le choix de ne pas céder au raquet imposé par les autorités de certifications commerciales, et d'utiliser les services de CA Cert (cacert.org), une autorité de certification indépendante, gratuite et non-profit.

Ce choix requiert néanmoins des utilisateurs et utilisatrices qu'illes configurent leurs logiciels pour que ceux-ci utilisent CA Cert comme autorité de certification. Chaque autorité de certification dispose d'un root certificate (certificat racine), qui atteste de sa qualité de CA. Or le root certificate des autorités de certification commerciales est intégré dans la plupart des logiciels et systèmes d'exploitation. Ce n'est malheureusement pas (encore) le cas pour CA Cert, et il vous faut donc installer ce certificat vous-même.

Comment puis-je installer le root certificate?

Il n'y a pas de méthode universelle pour installer un 'root certificate'. Cependant, pour la plupart des navigateurs, il suffit de cliquer sur le lien suivant:

• installer le 'root certificate' de cacert.org

Bien entendu, les choses se compliquent avec Microsoft Internet Explorer, sur Mac en particulier. Si vous utilisez pareil logiciel, nous vous recommandons fortement de l'abandonner sur le champ, et de le remplacer par Mozilla Firefox, logiciel libre et téléchargeable gratuitement. Si pour quelque raison, vous souhaiter persister à utiliser ce programme puant (qui s'avère incapable - entre autres nombreuses choses bien plus graves - d'afficher la page web de poivron.org correctement), cliquez sur le lien suivant:

• installer le 'root certificate' avec IE sous Mac

Pour ce qui est des logiciels de messagerie, vous devrez télécharger le certificat sur votre ordinateur, puis importer le fichier dans le logiciel:

• télécharger le certificat de cacert.org

Bien sûr, vous pouvez également vous rendre directement sur le site de CA Cert et lire leurs documentations:

• www.cacert.org

Voici des guides d'installation pas à pas pour quelques logiciels précis:

Navigateurs:

• Firefox & Mozilla
• Internet Explorer (Windows) [uniquement si vous n'avez vraiment pas le choix - installez Mozilla Firefox!]
• Internet Explorer (Mac) [uniquement si vous n'avez vraiment pas le choix - installez Mozilla Firefox!]

Logiciels de messagerie:

• Thunderbird & Mozilla Mail
• Outlook (Windows) [uniquement si vous n'avez vraiment pas le choix - installez Mozilla Thunderbird!]

Les heureux-ses utilisateurs et utilisatrices de Debian GNU/Linux, quant à elleux, pourront se contenter de copier le root certificate de cacert.org dans leur répertoire '/etc/ssl/certs', puis d'exécuter la commande 'c_rehash', le tout en tant que 'root'.

À noter que celles et ceux utilisant le logiciel de cryptage GnuPG ont également tout intérêt à vérifier l'intégrité du certificat précedemment téléchargé, en utilisant la signature cryptographique et les clefs GPG disponibles dans la section Root Certificate du site de CA Cert.

Que se passe-t-il si je n'installe pas le root certificate?

Sans le root certificate de CA Cert, votre logiciel ne pourra vérifier l'identité du serveur quand vous tenterez d'établir une connexion sécurisée vers poivron.org, et vous serez confronté-e-s à une alerte de sécurité. Vous pouvez choisir d'ignorer cette alerte, et accepter le certificat que vous propose alors le serveur, temporairement, ou même de manière permanente.

Vous vous dites peut-être que "ça n'a pas l'air si grave". Malheureusement, c'est effectivement ce que quantité de gens font tout le temps. Ce qui entraîne un très gros problème:

• Si tout le monde prend l'habitude d'accepter un certificat sans broncher à chaque fois qu'une alerte de sécurité apparaît, ça ne sert tout simplement à rien d'avoir des certificats. Des lors, rien ne permet de dire que le serveur est bien celui qu'il prétend être, et le soucis de sécurité devient complètement illusoire.

De plus:

• La plupart des serveurs alternatifs permettent et encouragent l'utilisation de connexions sécurisées. Nombre d'entre eux (riseup.net, boum.org, squat.net, entre autres) utilisent l'autorité de certification CA Cert. Ainsi, il vous suffit d'importer le root certificate de cacert.org une seule fois, pour bénéficier de connexions sécurisées sur les divers serveurs précités par la suite.
• Poivron.org tient à encourager l'utilisation de l'autorité de certification non-profit CA Cert, contre la domination des autorités de certifications commerciales. Son utilisation croissante par les serveurs et utilisatrices/utilisateurs peut contribuer à renverser la balance.

Je croyais que vous étiez contre l'autorité!

Nous le sommes! L'internet a cependant été conçu autour d'autorités de certification, et n'avons guère les moyens de proposer autre chose à l'heure actuelle. Il existe cependant d'autres modèles de communication cryptée, comme les "réseaux de confiance" déployés autour de PGP ou GnuPG. Malheureusement, personne n'ayant encore écrit de navigateur ou logiciel de messagerie utilisant PGP ou GnuPG pour établir des connexions sécurisées, nous demeurons dépendant-e-s d'autorités de certification. Nous espérons pouvoir un jour collaborer avec d'autres collectifs tech alternatifs, afin de créer une (anti) autorité de certification ;)

Quelle est l'empreinte (fingerprint) du certificat de poivron.org?

Certains programmes ne peuvent utiliser d'autorité de certification pour s'assurer de la validité d'un certificat, dans quel cas il faut la vérifier et la confirmer manuellement. Au cas ou vous vous trouveriez dans une telle situation, voici l'empreinte du certificat de poivron.org:

poivron.org
SHA1 Fingerprint = 57:04:FF:18:2B:D0:F0:7D:D3:D0:80:C7:53:94:C9:D0:B8:F6:E0:E9
MD5 Fingerprint = 89:E0:04:C3:C1:5C:1D:AB:B5:BA:BE:2F:BB:C9:DC:0A