Certificat SSL
La qualité de nos services est étroitement associée au degré de sécurité proposé par nos applications.
L’ensemble des services d’enRoute, IBOO compris, sont accessibles uniquement de manière sécurisé, c’est à dire uniquement via HTTPS. Ce dispositif garantit la confidentialité des données qui transitent entre nos serveurs et le navigateur ou les clients d’API de nos clients.
Nos services utilisent un unique certificat sécurisé, récent, délivré par une autorité de certification française.
Autorité de certification gandi.net
gandi.net est l'autorité de certification SSL choisie par enRoute.
Les certificats SSL fonctionnent sur un principe de chaîne de confiance, d’un certificat Racine détenu par une autorité de certification jusqu’au certificat installé sur les serveur. Dans ce cadre, Gandi nous fournit le certificat « racine » et les certificats à installer sur nos serveur en tant qu'Autorité de Certification.
Ainsi les visiteurs de nos sites (du moins leur navigateur) peuvent télécharger automatiquement et valider les certificats de toute la chaîne de confiance.
Audit externalisé par SSL Labs
SSL Labs permet d’auditer le certificat des serveurs d’enRoute. Les serveurs d'IBOO obtiennent le grade A.
Fin du support TLS 1.0 et TLS 1.1
Afin d’améliorer la sécurité des accès à nos plateformes, les protocoles obsolètes TLS 1.0 et TLS 1.1 ne sont plus acceptés par les serveurs d’IBOO et ce, depuis le Jun 12, 2020.
Principe de fonctionnement
Une application respectant les bonnes pratiques doit donc être consultable via une connexion HTTPS. Celle-ci est visible sur tous nos services notamment grâce à un cadenas s’affichant au sein de la barre d'adresse des navigateurs (Chrome, Firefox, etc.). Les utilisateurs sont informés par ce biais que le contenu du site provient d'une source sûre et non piratée.
La sécurité apportée par SSL repose sur 2 principes :
Le chiffrement des informations : Toutes les données véhiculées sont rendues inintelligibles sauf entre le visiteur établissant la connexion et le serveur sur lequel le site web se situe.
L'authentification : elle est réalisée entre un internaute et les serveurs d’enRoute, nécessaire à la sécurisation des transferts de données.
L'authentification d'un certificat génère la création d'une paire de clefs numériques pour chaque site Web : une privée et une publique.
La clef privée
Elle est installée sur le serveur d’enRoute. C'est cette clef qui crée le tampon de certification d’un site Web.
La clef publique
C'est l'autre partie du certificat SSL qui est également installé sur un site Web. Elle permet aux visiteurs de notre site de chiffrer leurs informations. Les données sont chiffrées avant d'être envoyées. La clef publique, est la clef miroir, elle seule pourra déchiffrer les informations.
Vérification de la clé publique
Dans des conditions normales, le navigateur (ou le client HTTP dans le cas d’une API) ont toutes les informations nécessaires pour vérifier les certificats utilisés par enRoute (comme tous les sites HTTPS).
En cas de défaillance du navigateur ou du client HTTP (généralement parce qu’il est utilisé sur un système d’exploitation non mis à jour), il est possible de télécharger manuellement les éléments de la chaîne.
C’est, par exemple, possible par l’exécution d’une simple ligne de commande :
$ openssl s_client -showcerts -connect iboo.enroute.mobi:443 -prexit
CONNECTED(00000003)
depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
verify return:1
depth=1 C = FR, ST = Paris, L = Paris, O = Gandi, CN = Gandi Standard SSL CA 2
verify return:1
depth=0 CN = *.enroute.mobi
verify return:1
---
Certificate chain
0 s:CN = *.enroute.mobi
i:C = FR, ST = Paris, L = Paris, O = Gandi, CN = Gandi Standard SSL CA 2
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
1 s:C = FR, ST = Paris, L = Paris, O = Gandi, CN = Gandi Standard SSL CA 2
i:C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=CN = *.enroute.mobi
issuer=C = FR, ST = Paris, L = Paris, O = Gandi, CN = Gandi Standard SSL CA 2
---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 3482 bytes and written 407 bytes
Verification: OK
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
Ce document est la propriété d'enRoute et ne peut être reproduit sans son accord écrit