HTTPS

Préparé par Rose GOHOUE

PLAN

� Introduction

� Définition

� Mécanisme de fonctionnement

� Présentation

� HTTP

� Protocole de sécurité : SSL

� Implémentation

� Conclusion

2

Introduction

Imaginez que votre grenier possède une porte que vous partagez avec un voisin fouineur. D'habitude, elle reste fermée. Mais fermée ne signifie pas (toujours) fermée à clef. Car vous ne possédez pas la clef et votre voisin non plus. Vous présumez que votre voisin n'entre pas chez vous, mais comment pouvez-vous en être sûr(e) si vous vous trouvez en bas, dans le salon, et que la porte du haut est ouverte (pas fermée à clef) ?

C'est un peu ce qui a conduit à la création du protocole HTTPS (Hyper Text Transfer Protocol Secure, Protocole de Transfert Hypertexte Sécurisé) - afin de vous protéger et de protéger vos données des curieux (pas forcément vos voisins).

Nous étudierons en général le HTTPS du point de vue de son mode de fonctionnement , de son implémentation.

3

Définition

L’HyperText Transfer Protocol Secured, plus connu sous l'abréviation HTTPS,

soit « protocole de transfert hypertexte sécurisé » est la combinaison du

HTTP avec une couche de chiffrement comme SSL ou TLS.

Il permet au visiteur de vérifier l'identité du site auquel il accède grâce à un

certificat d'authentification émis par une autorité tierce réputée fiable (et

faisant généralement partie de la liste blanche des navigateurs). Il garantit

théoriquement la confidentialité et l'intégrité des données envoyées par

l'utilisateur (notamment des informations entrées dans les formulaires) et

reçues du serveur. Il peut permettre de valider l'identité du visiteur si celui-ci

utilise également un certificat d'authentification client.

4

Mécanisme de Fonctionnement(Présentation)

5

La sécurité des informations transmises par HTTPS est basée sur

l'utilisation d'un algorithme de chiffrement, et sur la reconnaissance de

validité du certificat d'authentification du site visité.

Soit HTTPS = HTTP + SSL

� Chiffrement de données

� Clé symétrique

� Clé asymétrique

� Certificat

� Demande de certificat

Mécanisme deFonctionnement(HTTP)

6

C'est un protocole de communication entre un

client et un serveur développé pour le WWW.

Le navigateur doit donc savoir quel protocole vous

utilisez pour vous connecter à une adresse,

d'où le fait de devoir écrire ''http:////''. Il existe

en effet d'autres protocoles de

communication, celui que l'on peut le plus

souvent rencontrer sur internet est ''ftp://''. Il

sert à se connecter en direct à un serveur (qui

stocke des fichiers à télécharger le plus

souvent), pour télécharger directement ce qui

s'y trouve sur votre ordinateur. Le débit est

souvent meilleur qu'en téléchargeant par le

protocole HTTP.

De nos jours ce dernier étant à 99% le seul utilisé

par les utilisateurs de navigateur web, il est

ajouté par défaut aux adresses internet (plus

besoin de le taper donc, tout comme parfois

les www.).

Mécanisme de Fonctionnement(Protocole de sécurité : SSL)

7

HTTPS est la variante du HTTP sécurisé par l’usage des protocoles SSL et TLS. Le

serveur HTTPS utilise le port 443 alors que le HTPP utilise par défaut le 80.

Transport Layer Security (TLS), et son prédécesseur Secure Sockets Layer (SSL), sont

des protocoles de sécurisation des échanges sur Internet, développé à l'origine par

Netscape (SSL version 2 et SSL version 3.

Il y a très peu de différences entre SSL et TLS. En outre, TLS diffère de SSL pour la

génération des clés symétriques. Cette génération est plus sécurisée dans TLS que

dans SSLv3 dans la mesure où aucune étape de l'algorithme ne repose uniquement

sur MD5 - Message Digest 5 pour lequel sont apparues des faiblesses en

cryptanalyse.

Caractéristiques

� Authentification par certificat numérique

� Confidentialité des données échangées ou session chiffrée

� Intégrité des données échangées

CERTIFICAT

- Génération d’une demande de signature de certificat

- Autorisation par un tiers dont une Autorité de Certification

Ensemble de données contenant :� au moins une clé publique ; � des informations d'identification, par exemple : noms, localisation, emails ;� au moins une signature ; de fait quand il n'y en a qu'une, l'entité signataire est une autorité dont

elle-seule permet de prêter confiance (ou non) à l'exactitude des informations du certificat.

Certificat non valide

L’ Accès au site dont les certificats ne sont pas

signés pose un problème d’identité.

� Les certificats sont stockés par des serveurs

de clés, qui peuvent aussi faire office

d'autorité d'enregistrement et de

certification (repère A).

� Ils recensent et contrôlent les certificats. Ils

possèdent souvent une liste des certificats

révoqués pour une quelconque raison.

Quelques marques de confiances pour vos certificats:� Thawte, GlobalSign (149 euro); � GeoTrust (129 euro);� RapidSSL (49 euro).

Implémentation

� Types de serveurs

� ISPConfig

� Microsoft Exchange (voir Certificat sur Outlook)

� Apache2 (utilisation de l’outil OpenSSL)

� Autres Serveur

� Procédé général

� Créer un certificat

� Soumettre demande de certificat

� Installer puis configurer

� Tester

10

Conclusion

Conclusion� HTTPS est un peu plus lent que le HTTP

- Cout de Sécurité

Référence� https://www.ssl247.fr/support/creer-csr

� http://fr.gentoo-wiki.com/wiki/Apache2/Certificats_SSL

� https://www.ssl247.fr

11

Merci !