accueilSécuritéIdentification et contrôle d’accèsCertificats électroniques
 

FAQ certificats TCS


- Qui peut bénéficier de ce service auprès du CNRS ?

Ce service est ouvert pour toutes les unités du CNRS.

- Mon unité n’a pas d’agrément RENATER en propre, peut elle toutefois bénéficier de ce service TCS ?

Oui. Il n’est pas nécessaire d’avoir un agrément en propre pour l’unité. L’essentiel est de prouver que la demande est faite au nom d’unité connue du CNRS, de prouver la propriété des noms de domaine ou des zones du domaine cnrs.fr.

- Les serveurs de mon unité CNRS ne sont pas hébergés en interne ; mon unité peut elle toutefois bénéficier de service ?

Oui. L’essentiel est de prouver que la demande est faite au nom d’unité connue du CNRS, de prouver la propriété des noms de domaine de second niveau.

- Mon unité du CNRS utilise un sous domaine de type labo.universite.fr ; peut elle toutefois bénéficier de ce service ?

Oui, mais le propriétaire du nom de domaine universite.fr n’étant pas le CNRS. Il faut vous retourner vers l’université qui en est le propriétaire pour la gestion local.

- Mon unité du CNRS utilise un sous domaine de type labo.cnrs.fr ; peut elle toutefois bénéficier de ce service ?

Oui. A condition que le propriétaire du nom de domaine cnrs.fr soit le CNRS ou un laboratoire du CNRS.

- Mon unité du CNRS utilise un sous domaine de type projet.org ; peut elle toutefois bénéficier de ce service ? Oui. A condition que le propriétaire du nom de domaine projet.org soit le CNRS ou un laboratoire du CNRS qui ai fait la demande.

- A quels types de serveur sont destinés ces certificats ?

Ces certificats sont destinés à tout type de serveurs. Les principaux usages peuvent être HTTPS, POPS, IMAPS, STMP/TLS, LDAPS.

- Combien de certificats un souscripteur peut-il demander ?

Une unité peut demander autant de certificats serveur qu’elle le souhaite, y compris pour des certificats qui n’ont pas besoin d’être reconnus dans les navigateurs (par exemple, il est possible de demander un tel certificat pour du LDAPS).

- Peut-on utiliser ces certificats pour sécuriser des applications avec paiement ?

Oui. Depuis 1er juillet 2012, les transactions financières sont autorisées avec les certificats serveurs TCS. Cette évolution du service est conforme à la CPS Version 1.6 (Certification Practice Statement) qui est en ligne depuis le 1er juillet 2012 sur http://www.terena.org/activities/tc....

Nous attirons votre attention sur l’absence d’assurance souscrite par TERENA, le GIP RENATER et le CNRS pour couvrir les risques inhérents aux usages bancaires des certificats TCS. En effet, il existe des obligations liées aux transactions par cartes bancaires. Notamment il faut respecter les standards PCI DSS.

Le RSSI du CNRS préconise de ne pas réaliser de transactions par carte bancaires dans les SI du CNRS. Si cela s’avérait nécessaire, il est conseillé d’externaliser la prestation auprès d’une banque par exemple. De plus, il est rappelé qu’en aucun cas un numéro de CB ne doit être stocké dans un SI du CNRS et que si des transactions financières (vente de services par exemple) sont réalisées, une étude de risque doit être réalisée au préalable.

- Est-il possible de demander un certificat pour *.mon-domaine.fr ?

Oui. Il possible d’obtenir des wildcard certificates. L’avantage de ces certificats est évident : un seul certificat permet de configurer autant de serveurs SSL que l’on souhaite.

Cependant, il ne faut pas négliger les inconvénients de ces certificats :

  • Du point de vue du client, la preuve du nom du serveur avec lequel la communication est établie est une preuve partielle (seul le nom de domaine est prouvé).
  • La compromission de la clé privée associée à ce certificat a beaucoup plus de conséquences car il est alors possible pour le pirate de créer des sites avec des noms de sous-domaines librement choisis.
  • L’expiration ou la révocation de ce certificat entraîne un arrêt de tous les services concernés.
  • Les wildcard certificates sont utilisables pour Shibboleth (Janus), (cf. information RENATER)
  • Pour tempérer les inconvénients liés aux wildcard certificates, sachez qu’il est possible de demander plusieurs certificats avec cn=*.mondomaine.fr.
  • Pour limiter les risques liés à l’utilisation des wildcard certificats, n’utilisez pas un seul certificat wildcard sur plusieurs machines physiques distinctes. Si vous avez besoin de wildcard certificates pour plusieurs machines physiques distinctes, demandez autant de wildcard certificates que de machines. Ceci s’accompagne également d’une gestion minutieuse du numéro de série du certificat en fonction de la machine physique.
  • Pour obtenir un wildcard certificate il suffit de faire une demande pour *.mon-domaine.fr comme si c’était un vrai nom de machine. La procédure est la même que pour un certificat normal.

- Que se passe-t-il si l’on demande un certificat pour un nom de domaine pour lequel un certificat a déjà été émis ?

Il est possible de demander un certificat pour un nom de domaine, même si un certificat a déjà émis pour ce nom de domaine. Le certificat est généré normalement, sans conséquence sur la validité du premier certificat existant.

- Quelle sera la durée de validité de ces certificats ?

Le demandeur du certificat pourra choisir une durée de validité de un, deux ou trois ans. Cette durée est choisie par le demandeur du certificat.

- Quelles informations contiennent ces certificats ?

Le certificat contient principalement les informations suivantes : le nom CNRS, éventuellement le code Labintel de l’unité, son code pays et le nom du serveur.

- Quel est le coût d’un tel certificat ?

Ces certificats ne sont pas facturés aux unités qui souscrivent à ce service, ils sont mis à disposition gratuitement.

- Comment faire pour obtenir un certificat utilisateur TCS ?

Pour le moment, les certificats utilisateurs TCS pour les unités du CNRS ne sont pas disponibles. Pour obtenir un certificat utilisateur, vous devez effectuez votre demande sur l’IGC du CNRS

Autres FAQ TCS

- La FAQ de RENATER



- Retour à la rubrique Certificats électroniques



ARESU
Direction des Systèmes d'Information du CNRS

358 rue P.-G. de Gennes
31676 LABEGE Cedex

Bâtiment 1,
1 Place Aristide Briand
92195 MEUDON Cedex



 

 

Direction des Systèmes d'Information

Pôle ARESU

Accueil Imprimer Plan du site Credits