Le certificat SSL de boum.org : pourquoi, comment ?

Tu dois souvent t'authentifier par mot de passe sur boum.org, que ce soit pour lire tes mails, pour utiliser le wiki, pour administrer ton SPIP, etc. Tu veux être sûr-e que ton mot de passe, tu le donnes bien à boum.org, et pas à quelque autre ordinateur mal intentionné tentant de se déguiser. Pour cela, boum.org s'est doté de certificats, validés par une autorité de certification "alternative" : cacert.org.

Si tu ne comprends rien à ce charabia, cette page est là pour expliquer ces notions, et la marche à suivre pour sécuriser les connexions entre les machines que tu utilises et boum.org.

Qu'est-ce qu'un certificat ?

Un certificat permet de vérifier l'identité d'un ordinateur sur Internet, de façon à permettre des échanges "sécurisés". C'est comme qui dirait une carte d'identité infalsifiable. Sans certificat, vous ne pouvez vous assurer que l'ordinateur avec lequel vous dialoguez est celui que vous souhaitez, et courrez le risque de vous adresser à une autre machine, sans le savoir. Vos échanges numériques peuvent ainsi être interceptés, et leurs contenus espionnés.

Qu'est-ce qu'une autorité de certification ?

Un certificat est l'équivalent d'une carte d'identité. Contrairement à cette dernière, un certificat est normalement délivré par une entreprise privée, qu'on appelle autorité de certification (CA, pour Certification Authority). boum.org ne voulant pas donner de sous à une autorité de certification commerciale, nous utilisons plutôt les services de CAcert, une autorité de certification plus sympa... et gratuite.

Chaque autorité de certification dispose d'un certificat racine (root certificate), sur lequel les logiciels se basent pour faire confiance aux certificats qu'elle a délivrés. Les certificats racine des autorités de certification commerciales sont intégré dans la plupart des logiciels... mais ce n'est malheureusement pas le cas pour CAcert.

Il te donc installer ce certificat toi-même, dans chaque logiciel que tu utilises pour te connecter sur boum.org (navigateur internet, logiciel de mails...).

Spécial cadeau bonus : la plupart des serveurs "camarades" et/ou "alternatifs" (riseup.net, boum.org, no-log.org, squat.net, etc.) utilisent l'autorité de certification CAcert. Ainsi, il te suffit d'importer le root certificate de CAcert une seule fois, pour bénéficier de connexions "sécurisées" avec les serveurs susmentionnés.

Comment puis-je installer le _root certificate ?

Il n'y a pas de méthode universelle pour installer un root certificate. Cependant, pour la plupart des navigateurs, il suffit de cliquer sur le lien suivant: installer le root certificate de cacert.org.

Pour ce qui est des logiciels de messagerie, et pour certains navigateurs, tu devras télécharger le fichier contenant le certificat de CAcert sur ton ordinateur, puis l'importer dans ton logiciel.

Les choses se compliquent avec les logiciels Microsoft (Internet Explorer, Outlook...). De toute façon, les services de boum.org n'étant pas testés sous ces logiciels, c'est pas gagné qu'ils fonctionnent, tout simplement. Alors laisse tomber, et utilise plutôt ces logiciels "libres" et gratuits, qui fonctionnent sous GNU/Linux, sous Windows et sous MacOS :

• le navigateur web Firefox ;
• le logiciel de mail Thunderbird.

Voici des guides d'installation (en anglais), explicant, pas à pas, pour quelques logiciels précis:

Navigateurs web :

• Firefox
• Safari & Internet Explorer (Macintosh)
• Internet Explorer (Windows) en Français

Logiciels de mail :

• Thunderbird
• Apple Mail & Outlook (Macintosh)
• Outlook (Windows) en Français

NB : si tu utilises le logiciel de cryptage GnuPG, tu as tout intérêt à vérifier l'intégrité du certificat précedemment téléchargé, en utilisant la signature cryptographique et les clefs GPG disponibles dans la section Root Certificate du site de CAcert.

Que se passe-t-il si je n'installe pas le root certificate?

Sans le root certificate de CAcert, il y aura une alerte de sécurité lorsque tu tenteras d'établir une connexion sécurisée vers boum.org. Tu peux choisir d'ignorer cette alerte, temporairement, ou même de manière permanente. Si tu fais ça... rien ne dit que c'est bien à boum.org que tu donnes ton mot de passe, et il ne sert plus à grand-chose d'utiliser une connexion cryptée.

Quelle est l'empreinte (fingerprint) des certificats de boum.org ?

Certains programmes ne peuvent utiliser d'autorité de certification pour s'assurer de la validité d'un certificat, dans quel cas il faut la vérifier et la confirmer manuellement. Au cas ou vous vous trouveriez dans une telle situation, tu peux aller vérifier l'empreinte des certificats de boum.org sur la page FingerprintSSL.

Généalogie de cette documentation

Cette page est grandement inspirée de celle de poivron.org, qui fût elle-même largement pompée sur celle de riseup.net. Ouais, un jour, on essaiera de mettre en commun ces docs...