Activer S/MIME hébergé pour améliorer la sécurité des messages

Cette fonctionnalité est uniquement disponible dans G Suite Enterprise, G Suite for Education et G Suite Enterprise for Education.

Vous pouvez améliorer l'intégrité et la confidentialité des e-mails de votre organisation en activant S/MIME (Secure/Multipurpose Internet Mail Extensions) hébergé. Pour que le chiffrement S/MIME fonctionne, l'expéditeur et le destinataire doivent chacun l'avoir activé et échanger des informations, appelées clés, permettant de s'identifier mutuellement.

Vous pouvez garantir que certains messages ne seront pas envoyés ou reçus avant d'avoir été chiffrés ou signés avec le protocole S/MIME. Découvrez comment définir des règles de conformité et de routage et renforcer la sécurité des messages avec S/MIME hébergé. 

Consultez les questions fréquentes sur le protocole S/MIME hébergé pour plus d'informations sur la compatibilité du client et le chiffrement amélioré.

Configurer S/MIME hébergé

Pour utiliser S/MIME hébergé, activez-le dans la console d'administration Google, puis importez les certificats dans Gmail, que ce soit par programmation ou via les paramètres Gmail.  Les utilisateurs n'ont qu'à actualiser Gmail pour que la modification soit prise en compte. Vous pouvez également autoriser les utilisateurs à importer leurs propres certificats et à les échanger entre eux.

Étape 1 : Activez S/MIME hébergé

La procédure suivante vous explique comment activer S/MIME et, si vous le souhaitez, importer et gérer les certificats racines à l'aide des commandes avancées des certificats approuvés S/MIME.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Applications puis G Suite puis Gmail puis Paramètres utilisateur.

  3. Dans la section Organisations sur la gauche, sélectionnez le domaine ou l'organisation que vous souhaitez configurer.

    Important : Si vous configurez des commandes avancées sur S/MIME pour importer et gérer des certificats racines, vous devez activer SMIME au niveau de l'organisation racine, généralement votre domaine.

  4. Faites défiler la page jusqu'au paramètre S/MIME et cochez l'option Activer le chiffrement S/MIME pour l'envoi et la réception des e-mails.

  5. (Facultatif) Si vous souhaitez autoriser les utilisateurs à importer des certificats, cochez l'option Autoriser les utilisateurs à importer leurs propres certificats.

  6. (Commandes supplémentaires facultatives) Si vous souhaitez importer et gérer des certificats racines, utilisez les commandes de certificats approuvés S/MIME : 

    1. À côté de Accepter ces autres certificats racines pour des domaines spécifiques, cliquez sur Ajouter.
    2. Cliquez sur Importer un certificat racine
    3. Recherchez et sélectionnez le fichier de certificat, puis cliquez sur Ouvrir. Un message de validation comportant le nom d'objet et la date d'expiration s'affiche pour le certificat. En cas de problème lié au certificat, un message d'erreur s'affiche. 
    4. Sous Niveau de chiffrement, sélectionnez le niveau de chiffrement à utiliser avec ce certificat.
    5. Sous Liste d'adresses, saisissez au moins un domaine qui utilisera le certificat racine lors de la communication. Les noms de domaine peuvent inclure les caractères génériques qui respectent la norme RFC. Si vous saisissez plusieurs domaines, séparez-les par une virgule. 
    6. Cliquez sur Enregistrer.
    7. Répétez l'opération pour les chaînes de certificats supplémentaires.
  7. Cochez l'option Autoriser la signature SHA-1 à l'échelle globale (non recommandé) uniquement si votre domaine ou organisation doit utiliser l'algorithme SHA-1 (Secure Hash Algorithm 1). 
  8. Cliquez sur Enregistrer.

Important : Un délai maximal de 24 heures peut être nécessaire pour que ces modifications s'appliquent à tous les comptes utilisateur. Les messages envoyés au cours de cette période, ou lors de la désactivation et réactivation de S/MIME, ne sont pas chiffrés.

Remplacer les paramètres SMIME de la sous-organisation

Par défaut, les sous-organisations héritent des paramètres SMIME de l'organisation racine. Il est possible pour les administrateurs de "remplacer" les paramètres SMIME hérités au niveau de la sous-organisation. Cette fonctionnalité peut être utile pour désactiver ou personnaliser les paramètres SMIME pour des sous-organisations spécifiques.

Pour remplacer les paramètres SMIME de la sous-organisation, procédez comme suit :

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Applications puis G Suite puis Gmail puis Paramètres utilisateur.

  3. Sur la gauche, sous Organisations, sélectionnez la sous-organisation à configurer.

  4. Faites défiler la page jusqu'au paramètre S/MIME, puis cliquez pour le développer.
    Remarque : Le sous-titre sous le libellé du paramètre S/MIME indique Hérité de (organisation ou nom de domaine) ou Remplacé.

  5. Cliquez sur Remplacer pour enregistrer les modifications apportées à la sous-organisation héritant des paramètres SMIME.

Une fois les paramètres de la sous-organisation enregistrés, Remplacés s'affiche sous le libellé "Paramètres SMIME". Un "point" s'affiche également à côté des sous-organisations principales, dans l'arborescence de l'unité organisationnelle sur la gauche.

Conseil : Si votre sous-organisation a remplacé les paramètres d'une organisation de niveau supérieur, vous pouvez hériter des paramètres de l'organisation de niveau supérieur en cliquant sur le bouton Hériter.

Étape 2 : Demandez aux utilisateurs d'actualiser Gmail

Pour que la modification soit prise en compte une fois S/MIME hébergé activé, demandez aux utilisateurs d'actualiser Gmail. Une icône en forme de cadenas apparaît alors dans l'objet des e-mails. Si le message est chiffré avec S/MIME hébergé, le cadenas est vert.

Étape 3 : Importez les certificats

Pour utiliser le chiffrement S/MIME hébergé, vous devez importer des certificats d'utilisateurs finaux S/MIME dans Gmail. Le certificat doit répondre aux normes de chiffrement actuelles et utiliser le format de fichier d'archive PKCS#12 (Public-Key Cryptography Standards), une syntaxe de transfert pour les données personnelles. Pour plus d'informations sur le format PKCS#12, consultez ce document de l'IETF (Internet Engineering Task Force).

La liste de certificats approuvés est fournie et gérée par Google, et concerne uniquement Gmail pour le chiffrement S/MIME. Google établit, à sa seule discrétion, une liste d'autorités de certification de confiance et se réserve le droit de retirer de cette liste des autorités de certification racine, avec ou sans motif.

Nous recommandons aux administrateurs d'importer des certificats par programmation à l'aide de l'API S/MIME de Gmail. Vous pouvez également gérer des éléments tels que l'affichage, la suppression et la configuration des valeurs par défaut des clés utilisateur à l'aide de l'API S/MIME de Gmail. Les utilisateurs que vous autorisez à importer des certificats peuvent le faire dans les paramètres Gmail. 

Pour importer un certificat dans Gmail :

  1. Dans votre boîte de réception Gmail, sélectionnez Paramètres puis Paramètres.
  2. Cliquez sur l'onglet Comptes
  3. Dans la section Envoyer des e-mails en tant que, cliquez sur Modifier les informations

    Une fenêtre de message proposant une option de chiffrement améliorée (S/MIME) s'affiche. Il est nécessaire d'activer S/MIME et l'option Autoriser les utilisateurs à importer leurs propres certificats dans la console d'administration pour faire apparaître cette option.  

  4. Cliquez sur Importer un certificat personnel.
  5. Sélectionnez le fichier de certificat et cliquez sur Ouvrir. Vous serez invité à saisir un mot de passe pour le certificat.
  6. Saisissez le mot de passe et cliquez sur Ajouter le certificat.

Étape 4 : Demandez aux utilisateurs d'échanger leurs clés

Vos utilisateurs doivent échanger des clés avec les destinataires de leurs e-mails en procédant de l'une des manières suivantes : 

  • Envoyer aux destinataires un message signé selon la norme S/MIME. Ce message sera signé numériquement et la signature inclura la clé publique de l'utilisateur. Les destinataires pourront alors utiliser cette clé publique pour chiffrer les e-mails envoyés à votre utilisateur.
  • Demander aux destinataires d'envoyer un message. Lorsque l'utilisateur le reçoit, il est signé selon la norme S/MIME. La clé est automatiquement stockée et disponible. Par la suite, les messages envoyés à ce destinataire seront chiffrés par défaut selon la norme S/MIME.

Après l'activation de S/MIME hébergé

Après l'activation de S/MIME hébergé, vous pouvez faire en sorte que certains messages ne puissent pas être envoyés ou reçus avant d'avoir été chiffrés ou signés avec le protocole S/MIME. Pour ce faire, vous devez créer des règles de conformité et de routage. Découvrez comment renforcer la sécurité des messages avec S/MIME hébergé

Il vous est possible d'assouplir certaines restrictions de sécurité pour vous conformer à l'infrastructure S/MIME existante de votre domaine. Par exemple, vous pouvez importer des autorités de certification racine (CA) non conformes aux consignes de sécurité par défaut les plus strictes. 

Commandes avancées pour les certificats approuvés S/MIME

Google impose un ensemble de conditions pour l'importation de certificats S/MIME. Or, certains de vos certificats peuvent ne pas être conformes à ces conditions : selon votre configuration, certains e-mails ne sont alors pas "approuvés". Dans ce cas, vous pouvez choisir d'accepter des certificats racines supplémentaires provenant d'autorités de certification de confiance.

Pour accepter un certificat racine supplémentaire, vous devez l'importer, puis spécifier au moins un domaine auquel le certificat s'applique. Vous pouvez également régler le niveau de chiffrement du certificat ou le profil de validation, si nécessaire.

Consignes relatives aux certificats racines

Créer le fichier de certificat pour l'importation

Consignes relatives aux certificats

  • Le certificat doit être au format .pem et ne peut contenir qu'une seule racine.
  • La chaîne de certificats doit inclure au moins un certificat intermédiaire.
  • Nous vous conseillons également de fournir un certificat d'utilisateur final pour chaque chaîne de certificats. En l'absence de ce certificat, Google n'effectue qu'une validation minimale.
  • Le certificat d'utilisateur final ne doit pas inclure la clé privée.

Important : Vous devez obligatoirement inclure au moins un certificat CA intermédiaire dans la chaîne. Autrement dit, l'autorité de certification racine ne doit pas émettre directement de certificats d'entité de fin.

La liste de certificats approuvés est fournie et gérée par Google, et concerne uniquement Gmail pour le chiffrement S/MIME. Google établit, à sa seule discrétion, une liste d'autorités de certification de confiance et se réserve le droit de retirer de cette liste des autorités de certification racine, avec ou sans motif.

Résoudre les problèmes d'importation

Pour identifier et résoudre les problèmes d'importation, vérifiez les éléments suivants :

  • Le certificat ne remplit pas les conditions requises pour être approuvé. Vérifiez que le certificat n'est pas autosigné, n'a pas été révoqué et que la longueur de la clé n'est pas inférieure à 1 024 bits, puis réessayez.
  • La signature du certificat est invalide. Vérifiez que le certificat a une signature valide, puis réessayez.
  • Le certificat a expiré. Vérifiez que la date du certificat est comprise dans la plage de dates spécifiée dans les champs "Pas avant le" (date) et "Pas après le" (date), puis réessayez.
  • La chaîne de certificats importée contient au moins un certificat non valide. Vérifiez que le certificat respecte le format approprié, puis réessayez.
  • Le certificat importé contient plusieurs certificats racines. Vérifiez que le certificat n'a qu'un seul certificat racine, puis réessayez.
  • L'analyse du certificat est impossible. Vérifiez que le certificat respecte le format approprié, puis réessayez.
  • Le serveur n'a pas pu analyser le certificat ou a renvoyé une réponse inconnue. Vérifiez que le certificat respecte le format approprié, puis réessayez.
  • L'importation du certificat est impossible. Un problème est survenu lors de la communication avec le serveur. Il s'agit probablement d'un problème temporaire. Attendez quelques minutes et réessayez. Si l'importation continue d'échouer, vérifiez que le certificat respecte le format approprié.
  • Modifiez un certificat racine. Vous pouvez modifier les domaines dans la liste d'adresses du certificat. Par exemple, si vous avez importé des certificats personnalisés et que vos messages sont toujours "non approuvés", essayez de modifier la liste des domaines autorisés.

Modifier les domaines dans la liste d'adresses

  1. Dans la liste des certificats racines supplémentaires, sélectionnez le certificat que vous souhaitez modifier, puis cliquez sur Modifier
  2. Effectuez la modification, puis cliquez sur Enregistrer.

Remarque : Vous ne pouvez pas modifier la date d'expiration d'un certificat, ni remplacer un certificat en le modifiant. Vous devez supprimer le certificat, puis en importer un nouveau. La suppression d'un certificat racine n'affecte aucun certificat d'utilisateur final qui a déjà été importé.

Supprimer un certificat racine

Dans la liste des certificats racines supplémentaires, sélectionnez le certificat que vous souhaitez modifier, puis cliquez sur Supprimer.

Si vous devez autoriser l'algorithme SHA-1

Il se peut que certains clients de messagerie autres que Gmail autorisent les signatures hachées SHA-1. Par défaut, ces signatures ne sont pas considérées comme dignes de confiance, car la fonction de hachage SHA-1 est obsolète (en raison de problèmes de sécurité). Si votre organisation sécurise l'envoi des messages chiffrés S/MIME à l'aide de la fonction de hachage SHA-1, sélectionnez l'option "Autoriser la signature SHA-1 à l'échelle globale" pour que ces communications apparaissent comme dignes de confiance. Une fois cette option sélectionnée, Gmail fait confiance aux certificats S/MIME associés aux e-mails entrants envoyés par des entités utilisant cet algorithme obsolète.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?