SSL (Secure Sockets Layer)(couche de sockets sécurisée)
C’est le moyen de sécuriser les
sites de e-Commerce
SSL est indépendant du protocole utilisé
• Il agit comme couche supplémentaire entre la couche application (http,ftp..) et
la couche transport (tcp/ip)
il peut sécuriser différents protocoles comme
• http
• ftp
• Pop, imap
SSL transparent pout l’utilisateur
• La connection aux sites sécurisée avec ssl se fait avec les différents navigateurs :
• Internet explorer, firefox, opera…
• C’est nescape navigator qui en avait le brevet
• L’url d’un serveur sécurisé commence par https
SSL / TLS
• Le brevet de SSL appartenait à Netscape
• En 2001 il a été racheté par l'IETF (Internet Engineering Task Force)
• Depuis il s’appelle
TLS (Transport Layer Security)
Fonctionnement
• Basé sur un échange de clés
Les certificats
• Le certificat associe une clé publique à une entité (Entreprise ou machine)
MICROSOFT CORPORATION
Certificats XMachine x
MICROSOFT CORPORATION
Certificats Y Entreprise y
L’ autorités de certificationsC A Certification Authority
C’est un organisme de confiance qui :
• Délivre les certifcats dont il a vérifié la validité et assigné une date de validité
• Révoque un certificat en cas de compromission de la clé publique
Certificats et navigateur
Autorités de certification
• Autorité de certification commerciale Vérifie l’identité des sociétés commerciales en s’appuyant sur différents documents officiels puis signe le certificat ex : verisign
• Autorité de certification privée Chaque société peut crée ses propres certificats qui ne seront alors utilisable qu’en Internet (Intranet d’une gde entreprise)
Exemple de transaction SSL
Le client se connecte au site marchand
Il demande au site de s’identifier
Site Marchand
Https://www.site.e-commerce
Le client se connecte au site marchand Il demande au site de s’identifier
• Le client envoie lors de cette requête la liste des systèmes de cryptographie que son navigateur supporte.
Réponse du serveur• I l envoie un certificat contenant sa clé publique signé par
une autorité de certification.• Il indique quel système de cryptographie il retiendra.
Site Marchand
MICROSOFT CORPORATION
Certificats Y
Le serveur envoie un certificat contenant sa clé publique
Décryptage chez le client
• .
Autorité de certification
MICROSOFT CORPORATION
Certificats Y
Le client devra utilisé la clé publique de l’autorité de certification pour validé
la clé publique du site e-commerce
Clé pub Autorité de certification
Le client dialogue t-il avec le bon serveur ?
• Le serveur envoie un document qui permettra de l’identifier.
• Il « hache » ce document (empreinte)• Il signe (crypte) ce document avec sa clé privé.
Site Marchand
Le serveur envoie un document, calcule l’empreinte de ce document qu’il signe avec sa clé privé
Empreinte
Le client vérifie l’identité du serveur• Il utilise la clé publique du serveur pour décrypter
le message• Il calcule l’empreinte de ce message qu’il pourra
comparer avec celle envoyée par le serveur.
Le client utilise la clé publique du serveur pour décrypter le message
Il vérifie l’empreinte du message
Empreinte
Utilisation d’une clé privé (clé de session)
• Pour que les transactions soit plus rapide il sera utilisée une clé privé.
• Cette clé générée de façon aléatoire portera le nom de :
Clé de session
Le client crée une clé de session
Le client génère une clé privé Il utilise la clé publique du serveur pour lui envoyer en toute
sécurité cette clé de session
Clé publique du serveur
Le serveur reçoit la clé de session
Le serveur récupère la clé de session en décryptant le message avec sa clé publique
Les transaction peuvent démarrer
• .
Les transactions sont sécurisées avec la clé de session
Clé de session