Modifier des politiques de confiance concernant les certificats sur Mac
Les certificats sont largement utilisés pour sécuriser des informations électroniques. Un certificat peut, par exemple, servir à signer un e-mail, chiffrer un document ou se connecter à un réseau sécurisé. Chaque type d’utilisation est régi par une politique de confiance qui détermine la validité du certificat pour le type d’utilisation concerné. Un certificat peut être valide pour certains types d’usage, mais pas pour d’autres.
macOS utilise plusieurs politiques de confiance pour déterminer le degré de confiance d’un certificat. Vous pouvez utiliser une politique différente pour chaque certificat, afin d’obtenir un contrôle plus étendu sur la manière dont les certificats sont évalués.
Politique de confiance | Description |
|---|---|
Utiliser les réglages par défaut du système ou aucune valeur spécifiée | Utilisez les réglages par défaut du certificat. |
Toujours approuver | Approuvez l’auteur et autorisez toujours l’accès au serveur ou à l’app. |
Ne jamais approuver | N’approuvez pas l’auteur et n’autorisez pas l’accès au serveur ou à l’app. |
Protocole SSL (Secure Sockets Layer) | Le nom qui se trouve dans le certificat d’un serveur doit correspondre à son nom d’hôte DNS afin de pouvoir établir une connexion. La vérification du nom d’hôte n’est pas effectuée pour les certificats de client SSL. S’il existe un champ d’utilisation de clé étendue, ce champ doit contenir une valeur appropriée. |
E-mail sécurisé (S/MIME) | Le protocole S/MIME est utilisé dans les e-mails pour signer et chiffrer de manière sécurisée les messages. L’adresse électronique de l’utilisateur doit être répertoriée dans le certificat et certains champs d’utilisation de clé doivent être présents. |
Authentification extensible (EAP) | Lors de la connexion à un réseau qui requiert l’authentification 802.1X, le nom qui se trouve dans le certificat du serveur doit correspondre à son nom d’hôte DNS. Les noms d’hôte des certificats de client ne sont pas vérifiés. S’il existe un champ d’utilisation de clé étendue, ce champ doit contenir une valeur appropriée. |
Sécurité IP (IPsec) | Lorsque des certificats sont utilisés pour sécuriser le trafic IP (lors de l’établissement d’une connexion VPN, par exemple), le nom qui se trouve dans le certificat du serveur doit correspondre à son nom d’hôte DNS. Les noms d’hôte des certificats de client ne sont pas vérifiés. S’il existe un champ d’utilisation de clé étendue, ce champ doit contenir une valeur appropriée. |
Signature de code | Le certificat doit contenir des réglages d’utilisation de clé qui l’autorisent explicitement à signer le code. |
Marquage de l’heure | Cette politique détermine si le certificat peut être utilisé pour créer un marquage de l’heure fiable, attestant qu’une signature numérique s’est produite à un moment précis. |
Règles de base X.509 | Cette politique établit la validité du certificat à partir d’exigences élémentaires, comme le fait d’être émis par une autorité de certificat valide, mais ne se préoccupe pas de la vocation de la clé ni de son utilisation autorisée. |