La qualité de nos services est étroitement associée au degré de sécurité proposé par nos applications.
L’ensemble des services d’enRoute, IBOO compris, sont accessibles uniquement de manière sécurisé, c’est à dire uniquement via HTTPS. Ce dispositif garantit la confidentialité des données qui transitent entre nos serveurs et le navigateur ou les clients d’API de nos clients.
Nos services utilisent un unique certificat sécurisé, récent, délivré par une autorité de certification française.
gandi.net est l'autorité de certification SSL choisie par enRoute.
Les certificats SSL fonctionnent sur un principe de chaîne de confiance, d’un certificat Racine détenu par une autorité de certification jusqu’au certificat installé sur les serveur. Dans ce cadre, Gandi nous fournit le certificat « racine » et les certificats à installer sur nos serveur en tant qu'Autorité de Certification.
Ainsi les visiteurs de nos sites (du moins leur navigateur) peuvent télécharger automatiquement et valider les certificats de toute la chaîne de confiance.
SSL Labs permet d’auditer le certificat des serveurs d’enRoute. Les serveurs d'IBOO obtiennent le grade A.
Fin du support TLS 1.0 et TLS 1.1 Afin d’améliorer la sécurité des accès à nos plateformes, les protocoles obsolètes TLS 1.0 et TLS 1.1 ne sont plus acceptés par les serveurs d’IBOO et ce, depuis le . |
Une application respectant les bonnes pratiques doit donc être consultable via une connexion HTTPS. Celle-ci est visible sur tous nos services notamment grâce à un cadenas s’affichant au sein de la barre d'adresse des navigateurs (Chrome, Firefox, etc.). Les utilisateurs sont informés par ce biais que le contenu du site provient d'une source sûre et non piratée.
La sécurité apportée par SSL repose sur 2 principes :
Le chiffrement des informations : Toutes les données véhiculées sont rendues inintelligibles sauf entre le visiteur établissant la connexion et le serveur sur lequel le site web se situe.
L'authentification : elle est réalisée entre un internaute et les serveurs d’enRoute, nécessaire à la sécurisation des transferts de données.
L'authentification d'un certificat génère la création d'une paire de clefs numériques pour chaque site Web : une privée et une publique.
Elle est installée sur le serveur d’enRoute. C'est cette clef qui crée le tampon de certification d’un site Web.
C'est l'autre partie du certificat SSL qui est également installé sur un site Web. Elle permet aux visiteurs de notre site de chiffrer leurs informations. Les données sont chiffrées avant d'être envoyées. La clef publique, est la clef miroir, elle seule pourra déchiffrer les informations.
Dans des conditions normales, le navigateur (ou le client HTTP dans le cas d’une API) ont toutes les informations nécessaires pour vérifier les certificats utilisés par enRoute (comme tous les sites HTTPS).
En cas de défaillance du navigateur ou du client HTTP (généralement parce qu’il est utilisé sur un système d’exploitation non mis à jour), il est possible de télécharger manuellement les éléments de la chaîne.
C’est, par exemple, possible par l’exécution d’une simple ligne de commande :
$ openssl s_client -showcerts -connect iboo.enroute.mobi:443 -prexit CONNECTED(00000003) depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority verify return:1 depth=1 C = FR, ST = Paris, L = Paris, O = Gandi, CN = Gandi Standard SSL CA 2 verify return:1 depth=0 CN = *.enroute.mobi verify return:1 --- Certificate chain 0 s:CN = *.enroute.mobi i:C = FR, ST = Paris, L = Paris, O = Gandi, CN = Gandi Standard SSL CA 2 -----BEGIN CERTIFICATE----- MIIFujCCBKKgAwIBAgIQAbiNn5HSHthG38Xj6HyMbjANBgkqhkiG9w0BAQsFADBf MQswCQYDVQQGEwJGUjEOMAwGA1UECBMFUGFyaXMxDjAMBgNVBAcTBVBhcmlzMQ4w DAYDVQQKEwVHYW5kaTEgMB4GA1UEAxMXR2FuZGkgU3RhbmRhcmQgU1NMIENBIDIw HhcNMTkxMjEwMDAwMDAwWhcNMjAxMjEwMjM1OTU5WjAZMRcwFQYDVQQDDA4qLmVu cm91dGUubW9iaTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBANHYpRic yvWqvAHIiPCvAPGitLeU+i5/gKXLQMcX1JcJb0Wc8a2y7QZfyi8mXM9M+yYb67Y6 f5T7PjL26+MwyKQJ6v7bARSjTgEni9b0hh6An52iYwx0VZ0ZRT4hG+/Gb6iPT+au EDAghSy0fuM57esYnpLgb24BIYXc9VWWZHpUxBrVb1XUbugy8HecAO7COZrR2v44 oPPLzf8WZGYUbSjrf+riXf/ipcqvi6W2IAV414kDF3ZcVJLmKsmQdiVRnObaTwpw Sb6QYyYsuwj1dTXGX3GgFR0ftXRawOb9p6pnJeI9WYM5Doj2jmoQzVix0pqagYof Dhy1HHE0DoTKXxMCAwEAAaOCArYwggKyMB8GA1UdIwQYMBaAFLOQp9jJr07NYTyf fK1df0H9aTDqMB0GA1UdDgQWBBRbnYKmgqGgoWt4IVi6bVbwl8bynjAOBgNVHQ8B Af8EBAMCBaAwDAYDVR0TAQH/BAIwADAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYB BQUHAwIwSwYDVR0gBEQwQjA2BgsrBgEEAbIxAQICGjAnMCUGCCsGAQUFBwIBFhlo dHRwczovL2Nwcy51c2VydHJ1c3QuY29tMAgGBmeBDAECATBBBgNVHR8EOjA4MDag NKAyhjBodHRwOi8vY3JsLnVzZXJ0cnVzdC5jb20vR2FuZGlTdGFuZGFyZFNTTENB Mi5jcmwwcwYIKwYBBQUHAQEEZzBlMDwGCCsGAQUFBzAChjBodHRwOi8vY3J0LnVz ZXJ0cnVzdC5jb20vR2FuZGlTdGFuZGFyZFNTTENBMi5jcnQwJQYIKwYBBQUHMAGG GWh0dHA6Ly9vY3NwLnVzZXJ0cnVzdC5jb20wJwYDVR0RBCAwHoIOKi5lbnJvdXRl Lm1vYmmCDGVucm91dGUubW9iaTCCAQMGCisGAQQB1nkCBAIEgfQEgfEA7wB2AAe3 XBvlfWj/8bDGHSMVx7rmV3xXlLdq7rxhOhpp06IcAAABb35MJIUAAAQDAEcwRQIg Hwpca64uoUasNE89BMHXwM9sD9fPbpDIH7QcvtM7Y6YCIQDRMtwWXKyfSJ462mTz caTaIlyWjbLVDfqDRiw3K1QlsgB1AF6nc/nfVsDntTZIfdBJ4DJ6kZoMhKESEoQY dZaBcUVYAAABb35MJEYAAAQDAEYwRAIgJfOlOvoTZOyxYaEUNwW4hy3Li4sC4D4u iYxmBiABcCECIA4nJT0iawrDzJjVEGjh5o/p9rIjTUZVnY7t6VAwg1qSMA0GCSqG SIb3DQEBCwUAA4IBAQAfFGN3iroGROveHihSClY+wKQAljHyibCJZBeZrBc9xK12 wOR8mXo5HHaeVH/zoXKEYIDB41+zSKcuzjLN0lq0B/RfK2NF54D18ilZwsJKyjsh iZb30YNyS99Fj4SU1m54mhS8uIfoESSzXMhAKJzX0pHT1mGUoNHXSw+vtr+EfiRl LW7pqr+jTHVRzEqe/T/ZbBxjHfmhaRlAtN/eaN6hiH/FbH1w9E76JOcylXeQMvSn evBH7FGeLMW/wmbf/1w6s6bhkfOF0wRHO5Y2KKBzhgzxuv8vNJc5THY+S9WOVetg 2SfF/IuEv4qf/ePkR5x7mJeUJ+I+l911tzHNJB3H -----END CERTIFICATE----- 1 s:C = FR, ST = Paris, L = Paris, O = Gandi, CN = Gandi Standard SSL CA 2 i:C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority -----BEGIN CERTIFICATE----- MIIF6TCCA9GgAwIBAgIQBeTcO5Q4qzuFl8umoZhQ4zANBgkqhkiG9w0BAQwFADCB iDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCk5ldyBKZXJzZXkxFDASBgNVBAcTC0pl cnNleSBDaXR5MR4wHAYDVQQKExVUaGUgVVNFUlRSVVNUIE5ldHdvcmsxLjAsBgNV BAMTJVVTRVJUcnVzdCBSU0EgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMTQw OTEyMDAwMDAwWhcNMjQwOTExMjM1OTU5WjBfMQswCQYDVQQGEwJGUjEOMAwGA1UE CBMFUGFyaXMxDjAMBgNVBAcTBVBhcmlzMQ4wDAYDVQQKEwVHYW5kaTEgMB4GA1UE AxMXR2FuZGkgU3RhbmRhcmQgU1NMIENBIDIwggEiMA0GCSqGSIb3DQEBAQUAA4IB DwAwggEKAoIBAQCUBC2meZV0/9UAPPWu2JSxKXzAjwsLibmCg5duNyj1ohrP0pIL m6jTh5RzhBCf3DXLwi2SrCG5yzv8QMHBgyHwv/j2nPqcghDA0I5O5Q1MsJFckLSk QFEW2uSEEi0FXKEfFxkkUap66uEHG4aNAXLy59SDIzme4OFMH2sio7QQZrDtgpbX bmq08j+1QvzdirWrui0dOnWbMdw+naxb00ENbLAb9Tr1eeohovj0M1JLJC0epJmx bUi8uBL+cnB89/sCdfSN3tbawKAyGlLfOGsuRTg/PwSWAP2h9KK71RfWJ3wbWFmV XooS/ZyrgT5SKEhRhWvzkbKGPym1bgNi7tYFAgMBAAGjggF1MIIBcTAfBgNVHSME GDAWgBRTeb9aqitKz1SA4dibwJ3ysgNmyzAdBgNVHQ4EFgQUs5Cn2MmvTs1hPJ98 rV1/Qf1pMOowDgYDVR0PAQH/BAQDAgGGMBIGA1UdEwEB/wQIMAYBAf8CAQAwHQYD VR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCMCIGA1UdIAQbMBkwDQYLKwYBBAGy MQECAhowCAYGZ4EMAQIBMFAGA1UdHwRJMEcwRaBDoEGGP2h0dHA6Ly9jcmwudXNl cnRydXN0LmNvbS9VU0VSVHJ1c3RSU0FDZXJ0aWZpY2F0aW9uQXV0aG9yaXR5LmNy bDB2BggrBgEFBQcBAQRqMGgwPwYIKwYBBQUHMAKGM2h0dHA6Ly9jcnQudXNlcnRy dXN0LmNvbS9VU0VSVHJ1c3RSU0FBZGRUcnVzdENBLmNydDAlBggrBgEFBQcwAYYZ aHR0cDovL29jc3AudXNlcnRydXN0LmNvbTANBgkqhkiG9w0BAQwFAAOCAgEAWGf9 crJq13xhlhl+2UNG0SZ9yFP6ZrBrLafTqlb3OojQO3LJUP33WbKqaPWMcwO7lWUX zi8c3ZgTopHJ7qFAbjyY1lzzsiI8Le4bpOHeICQW8owRc5E69vrOJAKHypPstLbI FhfFcvwnQPYT/pOmnVHvPCvYd1ebjGU6NSU2t7WKY28HJ5OxYI2A25bUeo8tqxyI yW5+1mUfr13KFj8oRtygNeX56eXVlogMT8a3d2dIhCe2H7Bo26y/d7CQuKLJHDJd ArolQ4FCR7vY4Y8MDEZf7kYzawMUgtN+zY+vkNaOJH1AQrRqahfGlZfh8jjNp+20 J0CT33KpuMZmYzc4ZCIwojvxuch7yPspOqsactIGEk72gtQjbz7Dk+XYtsDe3CMW 1hMwt6CaDixVBgBwAc/qOR2A24j3pSC4W/0xJmmPLQphgzpHphNULB7j7UTKvGof KA5R2d4On3XNDgOVyvnFqSot/kGkoUeuDcL5OWYzSlvhhChZbH2UF3bkRYKtcCD9 0m9jqNf6oDP6N8v3smWe2lBvP+Sn845dWDKXcCMu5/3EFZucJ48y7RetWIExKREa m9T8bJUox04FB6b9HbwZ4ui3uRGKLXASUoWNjDNKD/yZkuBjcNqllEdjB+dYxzFf BT02Vf6Dsuimrdfp5gJ0iHRc2jTbkNJtUQoj1iM= -----END CERTIFICATE----- --- Server certificate subject=CN = *.enroute.mobi issuer=C = FR, ST = Paris, L = Paris, O = Gandi, CN = Gandi Standard SSL CA 2 --- No client certificate CA names sent Peer signing digest: SHA256 Peer signature type: RSA-PSS Server Temp Key: X25519, 253 bits --- SSL handshake has read 3482 bytes and written 407 bytes Verification: OK --- New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384 Server public key is 2048 bit Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated Early data was not sent Verify return code: 0 (ok) --- |