macOS High Sierra

Politiques de confiance concernant les certificats

Les certificats sont largement utilisés pour sécuriser des informations électroniques. Un certificat peut, par exemple, servir à signer un e-mail, chiffrer un document ou se connecter à un réseau sécurisé. Chaque type d’utilisation est régi par une politique de confiance qui détermine la validité du certificat pour le type d’utilisation concerné. Un certificat peut être valide pour certains types d’usage, mais pas pour d’autres.

macOS utilise plusieurs politiques de confiance pour déterminer le degré de confiance d’un certificat. Vous pouvez utiliser une politique différente pour chaque certificat, afin d’obtenir un contrôle plus étendu sur la manière dont les certificats sont évalués.

Ouvrir Trousseaux d’accès

POLITIQUE DE CONFIANCE

DESCRIPTION

Utiliser les réglages par défaut du système ou aucune valeur spécifiée

Utilisez les réglages par défaut du certificat.

Toujours approuver

Vous faites confiance à l’auteur et souhaitez toujours autoriser l’accès au serveur ou à l’app.

Ne jamais approuver

Vous ne faites pas confiance à l’auteur et ne souhaitez pas autoriser l’accès au serveur ou à l’app.

Protocole SSL (Secure Sockets Layer)

Le nom qui se trouve dans le certificat d’un serveur doit correspondre à son nom d’hôte DNS afin de pouvoir établir une connexion. La vérification du nom d’hôte n’est pas effectuée pour les certificats de client SSL. S’il existe un champ d’utilisation de clé étendue, ce champ doit contenir une valeur appropriée.

E-mail sécurisé (S/MIME)

Le protocole S/MIME est utilisé dans les e-mails pour signer et chiffrer de manière sécurisée les messages. L’adresse électronique de l’utilisateur doit être répertoriée dans le certificat et certains champs d’utilisation de clé doivent être présents.

Protocole EAP (Extensible Authentication Protocol)

Lors de la connexion à un réseau qui requiert l’authentification 802.1X, le nom qui se trouve dans le certificat du serveur doit correspondre à son nom d’hôte DNS. Les noms d’hôte des certificats de client ne sont pas vérifiés. S’il existe un champ d’utilisation de clé étendue, ce champ doit contenir une valeur appropriée.

Sécurité IP (IPSec)

Lorsque des certificats sont utilisés pour sécuriser le trafic IP (lors de l’établissement d’une connexion VPN, par exemple), le nom qui se trouve dans le certificat du serveur doit correspondre à son nom d’hôte DNS. Les noms d’hôte des certificats de client ne sont pas vérifiés. S’il existe un champ d’utilisation de clé étendue, ce champ doit contenir une valeur appropriée.

Signature de code

Le certificat doit contenir des réglages d’utilisation de clé qui l’autorisent explicitement à signer le code.

Marquage de l’heure

Cette politique détermine si le certificat peut être utilisé pour créer un marquage de l’heure fiable, attestant qu’une signature numérique s’est produite à un moment précis.

Règles de base X.509

Cette politique établit la validité du certificat à partir d’exigences élémentaires, comme le fait d’être émis par une autorité de certificat valide, mais ne se préoccupe pas de la vocation de la clé ni de son utilisation autorisée.