Description du processus d'authentification Server pendant la négociation SSL

Traductions disponibles Traductions disponibles
Numéro d'article: 257587 - Voir les produits auxquels s'applique cet article
Nous vous recommandons de tous les utilisateurs d'effectuer la mise à niveau à Microsoft Internet Information Services (IIS) version 7.0 s'exécutant sur Microsoft Windows Server 2008. IIS 7.0 augmente considérablement la sécurité de l'infrastructure Web. Pour plus d'informations sur les questions liées à la sécurité IIS, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Pour plus d'informations sur IIS 7.0, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.iis.net/default.aspx?tabid=1
Agrandir tout | Réduire tout

Résumé

Cet article décrit le processus d'authentification de serveur pendant la négociation SSL (Secure Sockets Layer).

Plus d'informations

Pendant la négociation SSL, le serveur envoie au client un certificat pour s'authentifier lui-même. Le client utilise le certificat pour authentifier l'identité du certificat prétend représenter.

Un client SSL traverse les étapes suivantes pour authentifier l'identité du serveur :
  1. Est la date du jour dans la période de validité ? Le client vérifie la période de validité du certificat de serveur. Si la date du jour et l'heure sont en dehors de cette plage, le processus d'authentification ne va pas les autres. Si la date et l'heure actuelles se trouvent dans la période de validité du certificat, le client passe à l'étape 2.

  2. Est l'autorité de certification émettrice (CA) une autorité de certification de confiance ? Chaque client SSL gère une liste de certificats d'autorité de certification approuvées. Cette liste détermine quels le client accepte les certificats de serveur. Si le nom unique (DN) de l'autorité de certification émettrice correspond le DN d'une autorité de certification sur liste des autorités de certification de confiance du client, la réponse à cette question est Oui et le client passe à l'étape 3. Si l'autorité de certification émettrice ne figure pas dans la liste, le serveur n'est pas authentifié à moins que le client peut vérifier une chaîne de certificat se terminant par une autorité de certification qui figure dans la liste.

  3. Clé publique de le l'autorité de certification émettrice valide la signature numérique de l'émetteur ? Le client utilise la clé publique provenant du certificat de l'autorité de certification (qui elle figure dans sa liste d'autorités de certification de confiance dans l'étape 2) pour valider de signature numérique l'autorité de certification du certificat de serveur qui est présenté. Si les informations contenues dans le certificat de serveur a été modifié depuis qu'il a été signé par l'autorité de certification, ou si la clé publique du certificat d'autorité de certification ne correspond pas à la clé privée qui a été utilisée par l'autorité de certification pour signer le certificat de serveur, le client n'authentifie pas l'identité du serveur. Si de signature numérique l'autorité de certification peut être validé, le client traite le certificat du serveur comme une valide «lettre d'introduction» de cette autorité de certification et se poursuit. À ce stade, le client a déterminé que le certificat de serveur est valide. Il incombe du client d'effectuer l'étape 4 avant nécessaire étape 5.

  4. Le nom de domaine dans le certificat du serveur correspond au nom de domaine du serveur lui-même ? Cette étape confirme que le serveur est en fait situé à la même adresse réseau spécifiée par le nom de domaine dans le certificat de serveur. Bien que l'étape 4 ne soit pas techniquement une partie du protocole SSL, il fournit la protection seule contre une forme d'attaque de sécurité appelée «Attaque de Man en milieu». Clients doivent effectuer cette étape et doivent refuser d'authentifier le serveur ou si les noms de domaine ne correspondent pas à établir une connexion. Si le nom du serveur réel domaine correspond au nom de domaine dans le certificat de serveur, le client passe à l'étape 5.

  5. Le serveur est authentifié. Le client procède à la négociation SSL. Si le client n'obtient pas à l'étape 5 pour une raison quelconque, le serveur est identifié par le certificat ne peut pas être authentifié et l'utilisateur est averti du problème et informé qu'il est impossible d'établir une connexion cryptée et authentifiée.

Références

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
257591Description de la négociation de Layer (SSL) Secure Sockets

Propriétés

Numéro d'article: 257587 - Dernière mise à jour: jeudi 3 juillet 2008 - Version: 5.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 7.0
Mots-clés : 
kbmt kbinfo KB257587 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 257587
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com