Page BETA pare-feu

Sommaire

Pour activer et utiliser votre signature numérique CertifiO, il est nécessaire de permettre certains flux de communication depuis votre environnement vers le nôtre. Il en va de même pour certains de nos outils de signature et de validation de signature numérique. Ces flux sont toujours initiés par le poste de travail en sortie seulement vers nos serveurs et utilisent des protocoles standards. Aucune information en lien avec les documents électroniques ou le contenu de ceux-ci n’est communiquée à Notarius ou à un tiers.

Cette page vise à publier les différents DNS et ports requis afin de vous permettre d’établir la configuration nécessaire dans vos équipements, si applicable. Le déploiement de nos services dans l’infonuagique implique que nous ne publions désormais plus de plages explicites d’adresses IP, mais une liste exhautive des DNS et ports associés.

Qui exige ou fait confiance à ce type de communication?

En tant qu’opérateur d’infrastructure à clé publique certifié ISO 27001 (Gestion de la Sécurité de l’Information), notre infrastructure est soumise à des contrôles de sécurité rigoureux ainsi que des tests de vulnérabilités périodiques.

Outre Notarius, le gouvernement du Canada, ceux de plusieurs provinces canadiennes et états américains utilisent tous les logiciels d’autorités de certifications et technologies d’Entrust; ils nécessitent tous que les flux de communication vers leurs serveurs soient autorisés. Ces protocoles de communication sont encadrés par des normes strictes de l’IETF, ISO et NIST.

De nombreux clients de Notarius ont également évalué ces enjeux; de grandes entreprises dans le domaine de l’ingénierie, du transport, de l’aéronautique, de l’hydro-électricité et des mines et permettent les flux de communications en sortie vers les serveurs de Notarius.

Domaines principaux à autoriser

Voici la liste des principaux domaines liés aux services de signature numérique.

notarius.com
notarius.net
certifio.com
certifio.ca
consigno.com
verifio.com

Flux de communication détaillés

Quelques flux en sortie seulement (outbound) sont requis pour activer la signature numérique, signer un document, assurer son authenticité et confirmer la validité de la signature d’un tiers (interne ou externe à votre entreprise).

Voici la liste détaillée des services, leur description, les dns ainsi que les ports liés à ces flux de communication.

Votre organisme utilise des proxies? LDAP (tcp 389) et CMP (tcp 829) ne sont pas conçus pour une configuration proxies.
Il existe une solution qui ne requiert que http et https.

Service	Description	DNS	Port
Adhésion, activation, gestion de la signature numérique	Communication chiffrée pour créer, mettre à jour et récupérer un certificat de signature numérique. Inclus toute l’information pertinente pour créer une paire de clés publique/privée sur le poste client. Utilise CMP (Certificate Management Protocol). Réf: RFC 6712 Communication chiffrée à partir d’un navigateur vers notre portail d’adhésion, d’activation, de gestion et de facturation de signatures numériques.	certifio.notarius.com secure.notarius.com tk-proxy1.notarius.com ca-ccq.notarius.com ca1.notarius.com ca2.notarius.com ca3.notarius.com proxy1-ccq.notarius.com proxy1-ica1.notarius.com proxy1-ica2.notarius.com proxy2-ccq.notarius.com proxy2-ica1.notarius.com proxy2-ica2.notarius.com proxy1.notarius.com entrust.notarius.net ca.certifio.ca idp-proxy.certifio.com/ ssa-prod.certifio.com	tcp 443 (https) tcp 829 (pkix-3-ca-ra)
Autorité d’horodatage	Apposer une heure certifiée de signature. Utilise TSP (Time stamp protocol). Réf: RFC 3161 Requis pour assurer la fiabilité à long terme des documents.	tsa1.notarius.com timestamp.certifio.com tsa.certifio.com	tcp 80 (http)
Répondeur OCSP	Apposer la preuve de validité de la signature, et vérifier l’authenticité d’un document. La communication inclut l’identifiant public du signataire (Distinguished Name). Utilise OCSP (Online Certificate Status Protocol). Réf: RFC 6960 Requis pour assurer l’authenticité et la fiabilité à long terme des signatures et documents.	ocsp1.notarius.com ocsp-ccq.certifio.com ocsp-ica1.certifio.com ocsp-ica2.certifio.com	tcp 80 (http)
Liste de révocation (CRL) (Les LDAP sont aussi nécessaires pour la création et gestion des certificats ainsi que pour la recherche de clé publique de chiffrement au CCQ)	Apposer la preuve de validité de la signature, et vérifier l’authenticité d’un document. Utilise LDAP (Lightweight Directory Access Protocol). Réf: RFC 2251 Requis pour assurer l’authenticité et la fiabilité à long terme des signatures et documents.	crl.notarius.com crl1.notarius.com directory1.notarius.com directory2.notarius.com ldap1.notarius.com ldap2.notarius.com crl-ica1.certifio.com webcrl.notarius.net webcrl2.notarius.net x500.notarius.net x500a.notarius.net x500b.notarius.net x500p.notarius.com ldap1.certifio.ca ldap2.certifio.ca	tcp 80 (ldap over http) tcp 389 (ldap) tcp 636 (ldaps)
Téléchargement des applications	Pour télécharger les applications tels que Certifio Manager, ConsignO Desktop, client Entrust, ConsignO Serveur, etc.	download.notarius.com	tcp 443 (https)
Licence d’utilisation des outils (Certifio Manager & ConsignO Desktop)	Communication chiffrée permettant de gérer le droit d’utilisation des applications. Ceci inclut un fichier de licence et l’identifiant public du signataire (Distinguished Name).	certifio.notarius.com licensing.notarius.com	tcp 443 (https)
CertifiO Manager	Application desktop qui remplace le besoin d’installer Java pour l’accès à votre compte ainsi que pour l’activation ou la récupération d’une signature numérique CertifiO.	certifio.notarius.com secure.notarius.com tk-proxy1.notarius.com	tcp 443, 24250 (https)
CertifiO Manager – Édition Serveur	L’Édition Serveur permet à plusieurs usagers d’utiliser CertifiO Manager sur un environnement serveur ou virtualisé.	certifio.notarius.com secure.notarius.com tk-proxy1.notarius.com	tcp 443, 24251- 24270 (https)
ConsignO Cloud	Application web permnettant de signer et faire signer des documents électroniques. En fonction du forfait sélectionné, il est requis d’autoriser l’accès au domaine consigno.com et/ou le sous-domaine lié à votre entité afin de pouvoir utiliser l’application infonuagique.	cloud.consigno.com (votre entité).consigno.com	tcp 443 (https)
Téléchargement de gabarits depuis ConsignO Desktop	Communication non chiffrée pour obtenir les gabarits PDF ou XML de ConsignO Desktop.	localhost	tcp 80 (http)
Service de notifications des MAJ depuis ConsignO Desktop	Communication chiffrée pour obtenir les avis et nouveautés.	https://notarius.com/consigno-desktop-notification-descriptor https://notarius.com/consigno-desktop-update-descriptor	tcp 443 (https)
Service de vérification de documents en-ligne	Application Web permettant de vérifier les signatures numériques émises par Notarius présentent dans vos documents PDF.	https://verifio.com	tcp 443 (https)

————

Informations transférées (et pourquoi) – Enjeux de sécurité – Règles pour le pare-feu

Sommaire
Pour activer, utiliser et valider CertifiO, la signature numérique de confiance de Notarius, il est nécessaire de permettre certains flux de communication en sortie seulement vers nos serveurs. Ces flux sont toujours initiés par le poste de travail et utilisent des protocoles standards. Aucune information en lien avec vos documents électroniques n’est communiquée à Notarius ou à un tiers.

Notarius est le seul opérateur d’infrastructure à clé publique en Amérique du Nord certifié ISO 27001 (Gestion de la Sécurité de l’Information) et son infrastructure est soumise à des contrôles de sécurité rigoureux ainsi que des tests de vulnérabilités périodiques. Plusieurs gouvernements et grandes entreprises dans le domaine de l’ingénierie, du transport, de l’aéronautique et de l’hydro-électricité autorisent ces flux vers nos serveurs.

Pourquoi Notarius?

CertifiO, la signature numérique confiance de Notarius, permet de signer un document électronique en offrant la même valeur juridique qu’une signature manuscrite sur un document papier. Elle assure l’origine, l’intégrité et l’authenticité du document. CertifiO pour Professionnels est la seule signature numérique reconnue par 25 Ordres et associations de professionnels au Canada.

Quelle information est transférée, comment et pourquoi?

Quelques flux en sortie seulement (outbound) sont requis pour activer la signature numérique, signer un document et assurer son authenticité, et confirmer la validité de la signature d’un tiers (interne ou externe à votre entreprise).

Votre organisme utilise des proxies? LDAP (tcp 389) et CMP (tcp 829) ne sont pas conçus pour une configuration proxies.
Il existe une solution qui ne requiert que http et https.

Service	Description	Port
Licence d’utilisation de ConsignO	Communication chiffrée permettant de gérer le droit d’utilisation de ConsignO. Ceci inclut un fichier de licence et l’identifiant public du signataire (Distinguished Name). Requise pour utiliser ConsignO.	tcp 443 (https)
Création de signature numérique	Communication chiffrée pour créer, mettre à jour et récupérer un certificat de signature numérique. Inclus toute l’information pertinente pour créer une paire de clés publique/privée sur le poste client. Utilise CMP (Certificate Management Protocol). Réf: RFC 6712 Requise pour obtenir un certificat de signature numérique.	tcp 443 (https) tcp 829 (pkix-3-ca-ra)
Autorité d’horodatage	Apposer une heure certifiée de signature. Utilise TSP (Time stamp protocol). Réf: RFC 3161 Requise pour assurer la fiabilité à long terme des documents.	tcp 80 (http)
Répondeur OCSP	Apposer la preuve de validité de la signature, et vérifier l’authenticité d’un document. La communication inclut l’identifiant public du signataire (Distinguished Name). Utilise OCSP (Online Certificate Status Protocol). Réf: RFC 6960 Requis pour assurer l’authenticité et la fiabilité à long terme.	tcp 80 (http)
Liste de révocation (CRL)	Apposer la preuve de validité de la signature, et vérifier l’authenticité d’un document. Utilise LDAP (Lightweight Directory Access Protocol). Réf: RFC 2251 Requis pour assurer l’authenticité et la fiabilité à long terme.	tcp 80 (ldap over http) OU tcp 389 (ldap)¹
Adhésion, activation, gestion de la signature numérique	Communication chiffrée à partir d’un navigateur vers notre portail d’adhésion, d’activation, de gestion et de facturation de signatures numériques. Requise pour obtenir une signature numérique.	tcp 443 (https)
Téléchargement de gabarits	Communication non chiffrée pour obtenir les gabarits PDF ou XML de ConsignO Desktop.	tcp 80 (http)
Notifications	Communication chiffrée pour obtenir les avis et nouveautés.	tcp 443 (https)
CertifiO Manager	Application desktop qui remplace le besoin d’installer Java pour l’accès à votre compte ainsi que pour l’activation ou la récupération d’une signature numérique CertifiO.	tcp 443, 24250 (https)
CertifiO Manager -Édition Serveur	L’Édition Serveur permet à plusieurs usagers d’utiliser CertifiO Manager sur un environnement serveur ou virtualisé.	tcp 443, 24251- 24270 (https)

¹ Les organisations qui préfèrent bloquer le port TCP 389 (ldap) le peuvent si elles permettent le traffic vers nos serveurs sur le port 80 (http). Voir les détails dans la page de configuration du proxy.

Quels sont les enjeux de sécurité?

Les flux sont toujours «outbound«: ils sont initiés par le poste de travail du client vers les serveurs de Notarius en utilisant des protocoles standards. Aucune information en lien avec vos documents électroniques n’est communiquée à Notarius ou à un tiers. Notarius est le seul opérateur d’infrastructure à clé publique en Amérique du Nord certifié ISO 27001 (Gestion de la Sécurité de l’Information) et son infrastructure est soumise à des contrôles de sécurité rigoureux et des tests de vulnérabilités périodiques.

Qui exige ou fait confiance à ce type de communication?

Outre Notarius, les Nations-Unies, le gouvernement du Canada, ceux de plusieurs provinces canadiennes et états américains utilisent tous les logiciels d’autorités de certifications et technologies d’Entrust; ils nécessitent tous que les flux de communication vers leurs serveurs soient autorisés. Ces protocoles de communication sont encadrés par des normes strictes de l’IETF, ISO et NIST.

De nombreux clients de Notarius ont également évalué ces enjeux; de grandes entreprises dans le domaine de l’ingénierie, du transport, de l’aéronautique, de l’hydro-électricité et des mines permettent maintenant les flux de communications en sortie seulement vers les serveurs de Notarius.

Quelles sont les règles à appliquer au pare-feu?

Nos environnements sont redondants, distribués et évolutifs; l’adresse IP d’un service peut varier à tout moment à l’intérieur des plages indiquées.

Plage IP	Port
206.55.89.0/27	tcp 80 (http) tcp 443 (https) tcp 389 (ldap)¹ tcp 829 (pkix-ca-ra)
192.252.131.64/28	tcp 80 (http) tcp 443 (https) tcp 389 (ldap)¹ tcp 829 (pkix-ca-ra)

Notre site de téléchargement et notre site web nécessitent une configuration DNS.

Entrée DNS	Port
support.notarius.com	tcp 443 (https)
download.notarius.com	tcp 80 (http) tcp 442 (https)

Notes:

Les organisations qui préfèrent bloquer le port TCP 389 (ldap) le peuvent si elles permettent le traffic vers nos serveurs sur le port 80 (http). Voir les détails dans la page de configuration du proxy.
Toutes ces communications sont initiées par le poste client vers nos serveurs (outbound only). En aucun temps nous n’initions de communication de nos serveurs vers le poste client.
ConsignO Desktop ouvre un port d’écoute localhost sur le poste client afin d’éviter de lancer une nouvelle instance à l’ouverture de chaque document à partir de Windows. Cette approche, commune dans l’industrie, est notamment utilisée par Adobe Acrobat, Microsoft Office, etc.

Centre d'aide