[cmNOG] Complément sur la règlementation des certificats TLS

Ndanga brice ndangabrice at gmail.com
Dim 12 Avr 10:32:21 UTC 2020


1.       C’est quoi un certificat SSL / TLS ?

Les certificats TLS, anciennement connus sous le nom de SSL, sont les
certificats serveurs. Il en existe plusieurs types :

*         Certificats à validation de domaine

*         Certificats à validation d’organisation

*         Certificats à validation étendue

 

C’est ce certificat qui nous permet de basculer de http -> HTTPS sur nos
navigateurs.

 

Au Cameroun, ANTIC se charge d’émettre les certificats SSL pour les
organisations qui sollicitent et de signer les certificats pour les
entreprises qui ont la logistique nécessaire pour émettre par eux-mêmes les
certificats.

 

Si votre entreprise est capable de produire ses propres certificats SSL,
rapprocher vous de l’ANTIC afin que ces certificats aient la signature de
l’autorité racine du Cameroun et le certificat racine de votre entreprise
sera ajouté au sein de la pki nationale. Cela vous protège en cas de
contentieux auprès de la justice.

 

Mais seulement les certificats SSL de l’ANTIC ne sont pas encore reconnu pas
les navigateurs.

 

2.       Quel est la solution provisoire que propose ANTIC afin de permettre
les certificats SSL soient reconnu par les navigateurs ?

Actuellement si vous intégrer le certificat SSL de l’ANTIC dans vos
serveurs, si vous voulez que le navigateur reconnaisse cela, vous devez
installer ce certificat sur votre ordinateur en local dans la base de
données de Windows et Firefox. 

Prenez l’exemple du site http://www.minesup.gov.cm

 

Je précise que cela ne remet pas en cause la garantie sur la sécurité que
propose ces certificats et le respect des normes et standards

 

3.       Que faire pour que les navigateurs reconnaissent automatiquement
les certificats TLS de l’ANTIC ?

Afin que les certificats TLS émis de l’ANTIC ou ceux que l’ANTIC signe soit
reconnu dans tous navigateurs, ANTIC doit ajouter son certificat de
l’autorité racine dans la base de données des Géant telques ( GOOGLE,
MICROSOFT, MOZILLA, ANDROID, etc ).

 

Il faut savoir que c’est une bataille qui est vraiment difficile sur le plan
économique car les GEANTS qui font dans la production des certificats SSL
telque : Globalsign, RapidSSL, Comodo, Geotrust… font tout le possible pour
éviter que vous soyez indépendant, il préfère que vous soyez des revendeurs
de leurs certificats dans vos pays.

 

ANTIC a engagé des procédures pour obtenir la qualification ETSI 102 042
relative aux certificats serveurs (SSL/TLS). Cela permettra à ANTC que  tous
les certificats SSL sont reconnus automatiquement sur Internet Explorer et
sur Google Chrome sous Windows. 

 

La qualification ETSI 102 042 a déjà été obtenu en Tunusie par TunTrust.
Mais comme ils sont bloqués car les autres navigateurs ne reconnaissent, ils
ont choisi de revendre les certificats de ces GEANTS.
https://www.tuntrust.tn/fr/nos-produits/organisation-ssl, juste pour vous
démontrer à quel point la reconnaissance de votre certificat SSL de votre
pays à l’échelle international est compliqué. 

 

 

Security Engineer Information Systems
Tél : +237 699088538 / 678381047
Skype : ndanga.brice
My Public Key : PGPKey
My Fingerprint : 29BD ADD6 6527 91FF E531 CA4E 8684 D44C 2A81 6F4E

 

-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <https://lists.cmnog.cm/pipermail/cmnog/attachments/20200412/e1d4d30c/attachment.htm>


Plus d'informations sur la liste de diffusion cmNOG