Vous trouverez la liste actuelle des pays avec des restrictions d’exportation ici: swisssign.com/fr/support/exportbeschraenkungen

Certificats intermédiaires

Chaque certificat d’utilisateur final SwissSign est signé par un certificat intermédiaire SwissSign. Le certificat intermédiaire est à son tour signé par le certificat Root. Pour qu’un certificat paraisse fiable, il est important que la chaîne complète de certificats figure, par exemple, sur le serveur web. Les systèmes d’exploitation et les applications incluent pratiquement tous le certificat Root, mais le ou les certificats intermédiaires doivent être installés. Soit le certificat final est téléchargé sur swisssign.net (ancienne CA de SwissSign) ou ra.swisssign.ch (nouvelle CA de SwissSign) avec la chaîne complète de certificats, soit le certificat intermédiaire est installé ultérieurement. 

Certificats Root

Chaque certificat d’utilisateur final SwissSign est signé par un certificat intermédiaire SwissSign. Le certificat intermédiaire est à son tour signé par le certificat Root. Pour qu’un certificat paraisse fiable, il est important que la chaîne complète de certificats figure, par exemple, sur le serveur web. Les systèmes d’exploitation et les applications incluent pratiquement tous le certificat Root. Il peut cependant être nécessaire d’installer les certificats Root pour certaines applications particulières. Soit le certificat final est téléchargé sur swisssign.net ou ra.swisssign.ch avec la chaîne complète de certificats, soit le certificat Root est installé ultérieurement. 

Le certificat Root constitue la clé de voûte d’une PKI. L’utilisation d’un certificat Root implique que l’instance utilisateur accepte tous les certificats délivrés par la CA correspondante.

Pour plus d’informations sur l’utilisation de la CA, l’organisation, les fonctions, les méthodes et les processus, veuillez consulter la politique de certification (Certificate Policy – CP) et la déclaration des pratiques de certification (Certification Practice Statement – CPS) de SwissSign: Repository

Listes de révocation

Les certificats révoqués ou retirés sont publiés dans des listes de révocation ou conservés sur un service en ligne (OCSP) qui informe en ligne et en temps réel sur la validité d’un certificat.

L’un des services de validation les plus courants est la vérification de la validité d’un certificat via une liste de révocation de certificats (Certificate Revocation List – CRL) ou via un protocole de statut de certificat en ligne (Online Certificate Status Protocol – OCSP).

Comme dans le monde réel, il est également dangereux dans le monde numérique de perdre une clé ou de ne plus disposer d’une clé valable, par exemple à la suite du départ d’un collaborateur. C’est pourquoi il est régulièrement signalé que des clés/certificats doivent être révoqués afin d’éviter tout dommage. SwissSign – comme toute CA – publie ces clés/certificats dans ce que l’on appelle des «Certificate Revocation Lists» (CRL).

La CRL (liste de révocation ou liste de révocation de certificats) contient tous les numéros de série des certificats qui ont été invalidés avant l’expiration de leur durée de vie. Pour vérifier le statut de certificats, la liste est chargée à partir d’une URL publique et le numéro de série du certificat à vérifier est recherché dans cette liste: S’il figure dans la liste, le certificat est révoqué, sinon il est valide.

Les certificats révoqués ou invalidés restent inscrits dans la CRL même après la date d’expiration indiquée dans le certificat. Ceci est dû au fait qu’il est important de savoir quand un certificat a été révoqué pour la validation de la signature.

Les CRL sont généralement mises à jour à intervalles réguliers. Comme pour les certificats, la durée de vie des CRL est définie dans la CRL elle-même. Cette durée de vie est nettement plus longue que ne pourrait le suggérer la fréquence d’émission (au moins 2 fois par jour). Cela permet également de couvrir le risque de «défaut majeur». Les CRL peuvent être mises en cache localement et permettent de consulter hors ligne le statut d’un certificat. Ce faisant, le lien entre le titulaire du certificat et la Relying Party n’est pas révélé au CSP. Cependant, le degré d’imprécision de la consultation du statut d’un certificat est alors relativement élevé.

Le service de validation OCSP (Online Certificate Status Protocol), qui fonctionne en ligne, constitue une alternative plus précise. Il fournit des informations en temps réel sur la validité d’un certificat. Pour utiliser un OCSP, il est important que la CA soit très performante. La CA de SwissSign garantit cette haute performance et n’utilise également pour l’OCSP que son propre logiciel, développé en Suisse. Les vérifications de statut en ligne sont généralement utilisées lorsqu’il est important de vérifier la validité du certificat à un moment précis – p. ex. pour les transferts financiers.

Tous nos certificats CA Root et intermédiaires, ainsi que les listes de révocation (CRL) émises, peuvent être téléchargés sous le lien suivant: https://www.swisssign.com/fr/support/ca-prod.html.

Selon le CP/CPS, le fichier de liste de révocation de certificats (CRL) doit être mis à jour au moins toutes les 24 heures. Dans la pratique, SwissSign les met à jour plus fréquemment, et ce, sur une base horaire.

En principe, un fichier CRL est valable dix jours, c’est pourquoi il comporte la mention «Prochaine mise à jour ...» (date de création+dix jours). Cela est conditionné par la réglementation en cas de force majeure: dans ce cas, en cas de défaillance des systèmes, le fichier de liste de révocation devrait être à nouveau mis à jour au plus tard après dix jours.

Mon système d’exploitation ou mon application me signale des erreurs, et/ou je ne sais pas comment installer correctement le certificat.

SwissSign répertorie les problèmes connus et leurs solutions dans les FAQ et les documentations. Malheureusement, nous ne pouvons pas fournir d’assistance directe à ce sujet. La compétence principale de SwissSign AG est la création de certificats standardisés et fiables. Comme nous ne développons ni applications ni systèmes d’exploitation chez SwissSign, nous préférons nous abstenir de fournir une assistance pour les applications et les systèmes d’exploitation.

Toutefois, l’un de nos partenaires pourra peut-être vous aider avec son application: Partenaires SwissSign

Les certificats Root de SwissSign sont installés dans les navigateurs les plus courants. Mettez à jour votre navigateur avec la dernière version et installez les derniers certificats Root depuis la page de mise à jour de Windows. 

Vous trouverez des informations sur la compatibilité et la diffusion des certificats Root de SwissSign ici: Compatibilité | SwissSign

SwissSign vous permet de générer votre propre paire de clés – clé privée et clé publique – pour toutes les offres. La longueur minimale de la clé doit être de 2048 bits.

Il est également possible que votre serveur web n’envoie pas la chaîne de certificats complète aux clients. Pour résoudre ce problème, utilisez la fonction «SSLCertificateChainFile» dans la configuration d’Apache.

Avec les certificats SwissSign SSL, vous acquérez des licences de serveur illimitées. Contrairement à la plupart des autres certificats SSL, vous pouvez utiliser votre SwissSign SSL de manière illimitée.

Certificats avec clé privée (.p12, PKCS#12)*

*Cette méthode ne peut pas être utilisée pour les certificats SSL! 

Les formats .p12 ou PKCS#12 contiennent un certificat public et la clé privée (protégée par un mot de passe). Les fichiers .p12 ou PKCS#12 sont utilisés, par exemple, pour être installés dans des programmes de messagerie, des systèmes d’exploitation et des serveurs web.

Pour les serveurs web, la chaîne de certificats complète doit être installée. La CA qui délivre le certificat se fie généralement à une CA de niveau supérieur, qui se fie à son tour, par exemple, au certificat Root de SwissSign. Seul le certificat de la CA Root de SwissSign est reconnu par tous les navigateurs. Veuillez donc télécharger les certificats des CA intermédiaires sur la page de téléchargement et les installer également. Cela ne concerne que les personnes qui installent un serveur web et non les utilisateurs finaux.

Certificats sans clé privée

• .cer: codé en DER ou BASE64
• .crt: codé en DER ou BASE64
• .pem: Certificat codé en Base64, entouré des mentions «-----BEGIN CERTIFICATE-----» et «-----END CERTIFICATE-----»
• .p7b (chaîne de certificats): Certificats au format ASCII codé en Base64 (p. ex. pour les systèmes d’exploitation Windows, Java Tomcat)
• .p7c (chaîne de certificats): Structure de données signée PKCS#7 sans contenu de données, comprenant uniquement le(s) certificat(s), y compris la chaîne de certificats complète (p. ex. pour les systèmes d’exploitation Windows, Java Tomcat)
• .pem (chaîne de certificats): Certificat codé en Base64, y compris la chaîne de certificats complète (p. ex. pour Apache et les plateformes similaires)

Le format .pfx est équivalent au format .p12. Téléchargez le format .p12 et renommez l’extension du fichier en .pfx.

Si vous oubliez ou perdez le mot de passe de la clé privée, SwissSign ne peut malheureusement pas vous aider. Il est impossible de récupérer ou de réinitialiser le mot de passe. Il ne vous reste malheureusement pas d’autre choix que de demander un nouveau certificat et de bien conserver votre mot de passe.

• Créez une CSR – une demande de certificat – sur le système Synology, ce qui crée également la paire de clés sur le serveur Synology.

• Une fois le certificat délivré, téléchargez-le sur swisssign.net au format .pem. Tous les autres formats peuvent provoquer des messages d’erreur tels que: «L’encodage du fichier doit être enregistré en UTF-8».

• Téléchargez également le certificat intermédiaire (type G22) depuis la page de téléchargement 

• Vous pouvez maintenant charger sur le serveur Synology les fichiers «clé privée» (générés localement), ainsi que le certificat au format .pem et le certificat intermédiaire au format .perm.

Il existe deux raisons principales à cela:

• Lors de la mise en place d’un cryptage SSL ou également dans les systèmes de messagerie électronique, il a été oublié d’installer un certificat intermédiaire. Voir la FAQ «Mon certificat ne fonctionne pas sur mon système d’exploitation ou mon navigateur, bien que SwissSign le prenne en charge».

• Le client exploite dans son proxy ce que l’on appelle une «inspection SSL». Cette fonctionnalité brise la connexion cryptée et vérifie que la communication ne comporte pas de contenu non autorisé, voire de logiciels malveillants lors du téléchargement. L’inspection SSL fonctionne généralement avec des certificats propres non fiables. Ainsi, non seulement les sites avec des certificats SwissSign sont concernés, mais aussi d’autres sites. Pour y remédier, il suffit de reconfigurer le site en question dans le proxy.

Souvent, ces problèmes ne sont pas dus à des certificats Root manquants ou erronés dans les systèmes d’exploitation ou les navigateurs, mais au fait que l’installation d’un certificat intermédiaire a été oubliée lors de la configuration d’un cryptage SSL ou encore de systèmes de messagerie.

Les certificats sont classés de façon hiérarchique: Le certificat proprement dit se fie à un certificat intermédiaire, qui se fie éventuellement à un autre certificat intermédiaire, etc. Et enfin, les certificats intermédiaires se fient à leur tour aux certificats Root répertoriés dans les navigateurs et les systèmes d’exploitation. Comme les navigateurs et les systèmes d’exploitation ne contiennent que les certificats Racine, la chaîne de confiance est rompue en l’absence de certificats intermédiaires.

Dans l’environnement Windows, ces problèmes sont plus rares, car Microsoft Windows ou les navigateurs Windows tentent de mettre en cache les certificats intermédiaires dès qu’une page a été consultée une fois, p. ex. avec l’installation correcte d’un certificat SwissSign. Cette mise en cache est ensuite automatiquement utilisée si le certificat intermédiaire n’a pas été installé correctement, et l’utilisateur ne se rend alors pas compte de l’«erreur».

Sous Linux, en revanche, ce manque de configuration se remarque immédiatement. Pour y remédier, il suffit de télécharger la chaîne de certificats complète et de l’installer, avec les certificats intermédiaires:

Instructions pour l’ancienne CA (swisssign.net):

• Pour ce faire, ouvrez le lien que vous avez reçu lors de la délivrance du certificat afin de télécharger les certificats. Vous pouvez également rechercher votre certificat sur swisssign.net et cliquer sur le bouton «Télécharger».
• Dans les formats de téléchargement proposés, choisissez le fichier avec l’extension .p7c ou .pem (chaîne de certificats complète). Tous les autres téléchargements – y compris le fichier .p12 – ne contiennent pas les certificats intermédiaires.

Instructions pour la nouvelle CA (ra.swisssign.ch):

• Pour ce faire, ouvrez le lien que vous avez reçu lors de la délivrance du certificat afin de télécharger les certificats. Vous pouvez également rechercher votre certificat sur ra.swisssign.ch, menu «Commandes et certificats».
• Vous avez alors la possibilité de télécharger le certificat:
  • Au format PEM ou base64
  • Directement au format DER
  • En tant que chaîne de certificats (format PKCS#7)

Avant qu’un certificat SSL puisse être délivré, une paire de clés et une requête technique de certificat (Certificate Signing Request – CSR) doivent être créées.   

• (Java) KeyStore Explorer

Il existe différents outils pour convertir un format. Par exemple, le visualiseur de certificats de Windows permet d’enregistrer un certificat dans les formats suivants:

• Directement au format binaire (DER – «Distinguished Encoding Rules»)
• Au format de fichier texte encodé (Base64 ou PEM – «Privacy Enhanced Mail»)
• Au format PKCS#7 (p7b ou CMS – «Cryptographic Message Syntax»)

En principe, il est possible d’acheter un certificat e-mail pour un compte d’équipe. Cependant, cela reste un certificat personnel et nécessite la désignation d’un responsable de clé.

Les règles du CP et du CPS s’appliquent ici. Ces règles sont les suivantes:

• Si le certificat a été acheté en tant que certificat Gold, la désignation "pseudo:" doit être utilisée à la place du prénom et du nom (certificat pseudonyme). Exemple: pseudo: Sales Team

• Pour les certificats Silver, qui ne sont validés que par e-mail, n’importe quelle adresse e-mail peut être certifiée, à condition qu’il soit vérifié que cette adresse e-mail existe.

Le cryptage de l’e-mail est effectué à l’aide du certificat du destinataire. Il est donc nécessaire que l’expéditeur obtienne le certificat du destinataire. Cela peut se faire manuellement ou en utilisant une passerelle de messagerie sécurisée (Secure Mail Gateway) qui collecte les certificats des e-mails entrants.

Les e-mails sont cryptés avec la clé publique (Public Key) du destinataire et décryptés avec la clé privée (Private Key) du destinataire. La signature est effectuée avec le certificat.

• Il peut arriver qu’un certificat ou le mot de passe de la clé privée soit perdu. Les e-mails cryptés avec ce certificat ne peuvent alors plus jamais être lus par qui que ce soit.

• Il arrive aussi que des certificats soient renouvelés, mais que l’on oublie d’installer aussi l’ancien certificat qui a expiré. Tous les anciens e-mails conservés ne peuvent alors plus être lus. Accès après l’expiration du certificat

• Un collaborateur quitte l’entreprise ou est absent pendant une période prolongée. Ses e-mails ne peuvent plus être lus par quelqu’un d’autre.

• Un virus ou un cheval de Troie est envoyé avec un e-mail crypté. Aucun programme antivirus n’est en mesure d’analyser un e-mail crypté, le virus ou le cheval de Troie peut donc s’infiltrer en toute impunité. Ainsi, le cryptage peut même présenter un risque de sécurité dans ce cas.

La signature numérique d’un e-mail signé est envoyée en tant que pièce jointe. Cette pièce jointe est automatiquement vérifiée par le programme de messagerie du destinataire. Cependant, la plupart des fournisseurs de webmail, tels que Gmail ou Hotmail, affichent la signature uniquement en tant que pièce jointe avec le nom de fichier smime.p7s, sans procéder à une vérification de la signature.

Le client de messagerie considère que l’émetteur du certificat n’est pas fiable. Cela peut être corrigé en désignant l’émetteur comme étant digne de confiance. En général, les éditeurs de ces programmes se chargent de cette tâche via leurs programmes Rootstore.

En désignant l’émetteur SwissSign comme Root de confiance. Cela signifie que vous répondez par Oui à la question «Souhaitez-vous faire confiance à l’éditeur?». Si vous utilisez un PC d’entreprise, nous vous prions de vous adresser à votre service d’assistance informatique.

Très souvent, nos clients ont besoin d’un certificat pour s’authentifier (se connecter) sur un site web.

Le certificat Pro S/MIME Email ID Gold avec authentification est prévu pour une telle authentification de client TLS-WWW. Il peut également être utilisé pour le cryptage et la signature d’e-mails.

Veuillez suivre les indications données sur la page web suivante: Managed PKI Service | SwissSign

Pour accéder à votre nouvelle MPKI, vous avez besoin d’un identifiant SwissID avec l’autorisation à deux facteurs correspondante.

Veuillez noter que vous devez impérativement utiliser pour cet identifiant l’adresse e-mail que vous avez renseignée dans les documents de commande de votre MPKI.

Vous trouverez sur cette page des instructions étape par étape sur la création de votre SwissID. 

Assurez-vous d’avoir effectué l’onboarding sur le SwissID comme indiqué dans les étapes ici.

Assurez-vous que le SwissID a été enregistré avec la même adresse e-mail que celle renseignée dans les documents contractuels sous la rubrique «Opérateurs RA».

Le cas échéant, votre identification a été transmise à notre back-office pour une vérification manuelle. Vous recevrez un e-mail dès que le processus d’identification aura été effectué avec succès.

Oui, c’est possible. Envoyez-nous le contrat scanné et, si nécessaire, signé, ainsi que les documents de demande complets à l’adresse [email protected]

Vous pouvez également nous envoyer votre commande par courrier postal comme auparavant:

SwissSign AG
Sales & Partner Management
Sägereistrasse 25
8152 Glattbrugg Suisse

SwissSign vous confirmera la réception de votre commande par e-mail.

L’envoi du document «Contrat et commande Managed PKI Services» est considéré comme une commande ferme d’un service payant. La durée du contrat et la période de facturation commencent à courir à la date de la commande.

La période de prestation d’une Managed PKI est toujours d’un an et est reconduite automatiquement pour un an si le contrat n’est pas résilié. En cas de résiliation du contrat, les certificats encore actifs sont retirés (révoqués) à la date de résiliation.

Spécifications des domaines

Les domaines SSL ou e-mail sont spécifiés sans être associés à un type de certificat particulier. Cela signifie que vous pouvez par la suite émettre n’importe quel certificat SSL que vous avez commandé pour tous les domaines SSL mentionnés. De même, les certificats E-Mail ID commandés peuvent être émis pour tous les domaines de messagerie mentionnés.

Autorisation d’accès au domaine

Vous prouvez votre droit d’accès en publiant une Random value (secrète) (dans le DNS), que vous obtenez via l’accès MPKI.

Publication de certificats

SwissSign tient à jour sur directory.swisssign.ch un répertoire général de tous les certificats E-Mail publiés (accessible via le protocole LDAP). Ce répertoire est public et comparable à un annuaire téléphonique. Cela est particulièrement intéressant pour une communication par e-mail cryptée, dans la mesure où votre interlocuteur peut utiliser votre clé publique contenue dans le certificat pour crypter les messages qu’il vous adresse.

Le répertoire public peut être intégré directement dans les programmes de messagerie électronique par la saisie de paramètres, afin d’effectuer le cryptage dans les programmes de messagerie électronique par récupération automatique des certificats.

Si vous ne souhaitez pas que vos certificats figurent dans le répertoire, sélectionnez la case d’option «Je ne souhaite pas que mes certificats soient publiés». Vous pouvez également faire modifier ce paramètre ultérieurement moyennant des frais de CHF 150.– ou € 135.–.

les paramètres LDAP sont les suivants:

• Répertoire: directory.swisssign.ch.
• Base de recherche: ‹o=SwissSign AG,c=CH›.

Certificats SSL DV Silver

Les certificats de niveau DV/Silver sont indiqués comme ayant une validation de domaine. Seule l’adresse e-mail ou du serveur web est inscrite dans le certificat. Ils peuvent également contenir le nom de l’organisation. Le cryptage et la signature sont possibles pour les certificats e-mail, mais pas l’authentification. Les certificats de niveau DV sont inclus dans les produits MPKI DV, OV et EV.

Certificats OV SSL Gold

Les certificats de niveau OV/Gold sont indiqués comme ayant une validation d’organisation ou une validation de personne. Le certificat comporte une entrée d’organisation et, pour les certificats e-mail (S/MIME), une entrée de personne. Les certificats de niveau OV sont inclus dans les produits MPKI OV et EV.

Certificats EV SSL Gold

Vous pouvez également émettre des certificats EV SSL Gold pour votre entreprise dans le cadre de la Managed PKI. Ceux-ci sont validés de manière approfondie par l’organisation. Les certificats de niveau EV sont inclus dans le produit MPKI EV.

Veuillez noter que les certificats avec inscription d’organisation doivent toujours faire l’objet d’une commande/déclaration d’acceptation distincte.

Pour accéder à votre MPKI, votre SwissID doit être élevée à un niveau de confiance supérieur. Pour savoir comment procéder, cliquez sur le lien suivant, qui vous aidera à vérifier votre identité étape par étape :

https://www.swisssign.com/fr/support/dokumentationen/ra-operator-onboarding.html

La création d'un compte SwissID ne prend que quelques minutes. Il est important qu'en tant qu'opérateur MPKI, vous utilisiez toujours l'adresse e-mail qui a été enregistrée dans la commande MPKI dans la section "Opérateurs RA". Ensuite, veuillez suivre les instructions étape par étape sous le lien suivant :

https://www.swisssign.com/fr/support/dokumentationen/ra-operator-onboarding.html

Si vous ne pouvez soudainement plus vous connecter à votre MPKI en tant qu'opérateur MPKI, cela peut être lié au fait que la dernière vérification de votre identité a eu lieu il y a plus d'un an et qu'une ré-identification est donc nécessaire. Veuillez noter que vous n'avez pas besoin de créer un nouveau compte SwissID et que vous pouvez commencer à vous identifier directement sur l'application SwissID. Commencez directement au chapitre 2 des instructions étape par étape en cliquant sur le lien suivant :

https://www.swisssign.com/fr/support/dokumentationen/ra-operator-onboarding.html