Centre d'aide
Configuration des pare-feux
Informations transférées (et pourquoi) – Enjeux de sécurité – Règles pour le pare-feu
Sommaire
Pour activer, utiliser et valider CertifiO, la signature numérique de confiance de Notarius, il est nécessaire de permettre certains flux de communication en sortie seulement vers nos serveurs. Ces flux sont toujours initiés par le poste de travail et utilisent des protocoles standards. Aucune information en lien avec vos documents électroniques n’est communiquée à Notarius ou à un tiers.
Notarius est le seul opérateur d’infrastructure à clé publique en Amérique du Nord certifié ISO 27001 (Gestion de la Sécurité de l’Information) et son infrastructure est soumise à des contrôles de sécurité rigoureux ainsi que des tests de vulnérabilités périodiques. Plusieurs gouvernements et grandes entreprises dans le domaine de l’ingénierie, du transport, de l’aéronautique et de l’hydro-électricité autorisent ces flux vers nos serveurs.
Pourquoi Notarius?
CertifiO, la signature numérique confiance de Notarius, permet de signer un document électronique en offrant la même valeur juridique qu’une signature manuscrite sur un document papier. Elle assure l’origine, l’intégrité et l’authenticité du document. CertifiO pour Professionnels est la seule signature numérique reconnue par 25 Ordres et associations de professionnels au Canada.
Quelle information est transférée, comment et pourquoi?
Quelques flux en sortie seulement (outbound) sont requis pour activer la signature numérique, signer un document et assurer son authenticité, et confirmer la validité de la signature d’un tiers (interne ou externe à votre entreprise).
Votre organisme utilise des proxies? LDAP (tcp 389) et CMP (tcp 829) ne sont pas conçus pour une configuration proxies.
Il existe une solution qui ne requiert que http et https.
| Service | Description | Port |
| Licence d’utilisation de ConsignO | Communication chiffrée permettant de gérer le droit d’utilisation de ConsignO. Ceci inclut un fichier de licence et l’identifiant public du signataire (Distinguished Name). Requise pour utiliser ConsignO. |
tcp 443 (https) |
| Création de signature numérique | Communication chiffrée pour créer, mettre à jour et récupérer un certificat de signature numérique. Inclus toute l’information pertinente pour créer une paire de clés publique/privée sur le poste client. Utilise CMP (Certificate Management Protocol). Réf: RFC 6712 Requise pour obtenir un certificat de signature numérique. |
tcp 443 (https) tcp 829 (pkix-3-ca-ra) |
| Autorité d’horodatage | Apposer une heure certifiée de signature. Utilise TSP (Time stamp protocol). Réf: RFC 3161 Requise pour assurer la fiabilité à long terme des documents. |
tcp 80 (http) |
| Répondeur OCSP | Apposer la preuve de validité de la signature, et vérifier l’authenticité d’un document. La communication inclut l’identifiant public du signataire (Distinguished Name). Utilise OCSP (Online Certificate Status Protocol). Réf: RFC 6960 Requis pour assurer l’authenticité et la fiabilité à long terme. |
tcp 80 (http) |
| Liste de révocation (CRL) | Apposer la preuve de validité de la signature, et vérifier l’authenticité d’un document. Utilise LDAP (Lightweight Directory Access Protocol). Réf: RFC 2251 Requis pour assurer l’authenticité et la fiabilité à long terme. |
tcp 80 (ldap over http) OU tcp 389 (ldap)1 |
| Adhésion, activation, gestion de la signature numérique | Communication chiffrée à partir d’un navigateur vers notre portail d’adhésion, d’activation, de gestion et de facturation de signatures numériques. Requise pour obtenir une signature numérique. |
tcp 443 (https) |
| Téléchargement de gabarits | Communication non chiffrée pour obtenir les gabarits PDF ou XML de ConsignO Desktop. | tcp 80 (http) |
| Notifications | Communication chiffrée pour obtenir les avis et nouveautés. | tcp 443 (https) |
| CertifiO Manager | Application desktop qui remplace le besoin d’installer Java pour l’accès à votre compte ainsi que pour l’activation ou la récupération d’une signature numérique CertifiO. | tcp 443, 24250 (https) |
| CertifiO Manager -Édition Serveur | L’Édition Serveur permet à plusieurs usagers d’utiliser CertifiO Manager sur un environnement serveur ou virtualisé. | tcp 443, 24251- 24270 (https) |
1 Les organisations qui préfèrent bloquer le port TCP 389 (ldap) le peuvent si elles permettent le traffic vers nos serveurs sur le port 80 (http). Voir les détails dans la page de configuration du proxy.
Quels sont les enjeux de sécurité?
Les flux sont toujours “outbound“: ils sont initiés par le poste de travail du client vers les serveurs de Notarius en utilisant des protocoles standards. Aucune information en lien avec vos documents électroniques n’est communiquée à Notarius ou à un tiers. Notarius est le seul opérateur d’infrastructure à clé publique en Amérique du Nord certifié ISO 27001 (Gestion de la Sécurité de l’Information) et son infrastructure est soumise à des contrôles de sécurité rigoureux et des tests de vulnérabilités périodiques.
Qui exige ou fait confiance à ce type de communication?
Outre Notarius, les Nations-Unies, le gouvernement du Canada, ceux de plusieurs provinces canadiennes et états américains utilisent tous les logiciels d’autorités de certifications et technologies d’Entrust; ils nécessitent tous que les flux de communication vers leurs serveurs soient autorisés. Ces protocoles de communication sont encadrés par des normes strictes de l’IETF, ISO et NIST.
De nombreux clients de Notarius ont également évalué ces enjeux; de grandes entreprises dans le domaine de l’ingénierie, du transport, de l’aéronautique, de l’hydro-électricité et des mines permettent maintenant les flux de communications en sortie seulement vers les serveurs de Notarius.
Quelles sont les règles à appliquer au pare-feu?
Nos environnements sont redondants, distribués et évolutifs; l’adresse IP d’un service peut varier à tout moment à l’intérieur des plages indiquées.
| Plage IP | Port |
| 206.55.89.0/27 | tcp 80 (http) tcp 443 (https) tcp 389 (ldap)1 tcp 829 (pkix-ca-ra) |
| 192.252.131.64/28 | tcp 80 (http) tcp 443 (https) tcp 389 (ldap)1 tcp 829 (pkix-ca-ra) |
Notre site de téléchargement et notre site web nécessitent une configuration DNS.
| Entrée DNS | Port |
| support.notarius.com | tcp 443 (https) |
| download.notarius.com | tcp 80 (http) tcp 442 (https) |
Notes:
- Les organisations qui préfèrent bloquer le port TCP 389 (ldap) le peuvent si elles permettent le traffic vers nos serveurs sur le port 80 (http). Voir les détails dans la page de configuration du proxy.
- Toutes ces communications sont initiées par le poste client vers nos serveurs (outbound only). En aucun temps nous n’initions de communication de nos serveurs vers le poste client.
- ConsignO Desktop ouvre un port d’écoute localhost sur le poste client afin d’éviter de lancer une nouvelle instance à l’ouverture de chaque document à partir de Windows. Cette approche, commune dans l’industrie, est notamment utilisée par Adobe Acrobat, Microsoft Office, etc.