Upload
chris-hns-somerhalder
View
758
Download
2
Embed Size (px)
DESCRIPTION
Implémenter facilement le https
Citation preview
HTTPS
Préparé par Rose GOHOUE
PLAN
� Introduction
� Définition
� Mécanisme de fonctionnement
� Présentation
� HTTP
� Protocole de sécurité : SSL
� Implémentation
� Conclusion
2
Introduction
Imaginez que votre grenier possède une porte que vous partagez avec un voisin fouineur. D'habitude, elle reste fermée. Mais fermée ne signifie pas (toujours) fermée à clef. Car vous ne possédez pas la clef et votre voisin non plus. Vous présumez que votre voisin n'entre pas chez vous, mais comment pouvez-vous en être sûr(e) si vous vous trouvez en bas, dans le salon, et que la porte du haut est ouverte (pas fermée à clef) ?
C'est un peu ce qui a conduit à la création du protocole HTTPS (Hyper Text Transfer Protocol Secure, Protocole de Transfert Hypertexte Sécurisé) - afin de vous protéger et de protéger vos données des curieux (pas forcément vos voisins).
Nous étudierons en général le HTTPS du point de vue de son mode de fonctionnement , de son implémentation.
3
Définition
L’HyperText Transfer Protocol Secured, plus connu sous l'abréviation HTTPS,
soit « protocole de transfert hypertexte sécurisé » est la combinaison du
HTTP avec une couche de chiffrement comme SSL ou TLS.
Il permet au visiteur de vérifier l'identité du site auquel il accède grâce à un
certificat d'authentification émis par une autorité tierce réputée fiable (et
faisant généralement partie de la liste blanche des navigateurs). Il garantit
théoriquement la confidentialité et l'intégrité des données envoyées par
l'utilisateur (notamment des informations entrées dans les formulaires) et
reçues du serveur. Il peut permettre de valider l'identité du visiteur si celui-ci
utilise également un certificat d'authentification client.
4
Mécanisme de Fonctionnement(Présentation)
5
La sécurité des informations transmises par HTTPS est basée sur
l'utilisation d'un algorithme de chiffrement, et sur la reconnaissance de
validité du certificat d'authentification du site visité.
Soit HTTPS = HTTP + SSL
� Chiffrement de données
� Clé symétrique
� Clé asymétrique
� Certificat
� Demande de certificat
Mécanisme deFonctionnement(HTTP)
6
C'est un protocole de communication entre un
client et un serveur développé pour le WWW.
Le navigateur doit donc savoir quel protocole vous
utilisez pour vous connecter à une adresse,
d'où le fait de devoir écrire ''http:////''. Il existe
en effet d'autres protocoles de
communication, celui que l'on peut le plus
souvent rencontrer sur internet est ''ftp://''. Il
sert à se connecter en direct à un serveur (qui
stocke des fichiers à télécharger le plus
souvent), pour télécharger directement ce qui
s'y trouve sur votre ordinateur. Le débit est
souvent meilleur qu'en téléchargeant par le
protocole HTTP.
De nos jours ce dernier étant à 99% le seul utilisé
par les utilisateurs de navigateur web, il est
ajouté par défaut aux adresses internet (plus
besoin de le taper donc, tout comme parfois
les www.).
Mécanisme de Fonctionnement(Protocole de sécurité : SSL)
7
HTTPS est la variante du HTTP sécurisé par l’usage des protocoles SSL et TLS. Le
serveur HTTPS utilise le port 443 alors que le HTPP utilise par défaut le 80.
Transport Layer Security (TLS), et son prédécesseur Secure Sockets Layer (SSL), sont
des protocoles de sécurisation des échanges sur Internet, développé à l'origine par
Netscape (SSL version 2 et SSL version 3.
Il y a très peu de différences entre SSL et TLS. En outre, TLS diffère de SSL pour la
génération des clés symétriques. Cette génération est plus sécurisée dans TLS que
dans SSLv3 dans la mesure où aucune étape de l'algorithme ne repose uniquement
sur MD5 - Message Digest 5 pour lequel sont apparues des faiblesses en
cryptanalyse.
Caractéristiques
� Authentification par certificat numérique
� Confidentialité des données échangées ou session chiffrée
� Intégrité des données échangées
CERTIFICAT
- Génération d’une demande de signature de certificat
- Autorisation par un tiers dont une Autorité de Certification
Ensemble de données contenant :� au moins une clé publique ; � des informations d'identification, par exemple : noms, localisation, emails ;� au moins une signature ; de fait quand il n'y en a qu'une, l'entité signataire est une autorité dont
elle-seule permet de prêter confiance (ou non) à l'exactitude des informations du certificat.
Certificat non valide
L’ Accès au site dont les certificats ne sont pas
signés pose un problème d’identité.
� Les certificats sont stockés par des serveurs
de clés, qui peuvent aussi faire office
d'autorité d'enregistrement et de
certification (repère A).
� Ils recensent et contrôlent les certificats. Ils
possèdent souvent une liste des certificats
révoqués pour une quelconque raison.
Quelques marques de confiances pour vos certificats:� Thawte, GlobalSign (149 euro); � GeoTrust (129 euro);� RapidSSL (49 euro).
Implémentation
� Types de serveurs
� ISPConfig
� Microsoft Exchange (voir Certificat sur Outlook)
� Apache2 (utilisation de l’outil OpenSSL)
� Autres Serveur
� Procédé général
� Créer un certificat
� Soumettre demande de certificat
� Installer puis configurer
� Tester
10
Conclusion
Conclusion� HTTPS est un peu plus lent que le HTTP
- Cout de Sécurité
Référence� https://www.ssl247.fr/support/creer-csr
� http://fr.gentoo-wiki.com/wiki/Apache2/Certificats_SSL
� https://www.ssl247.fr
11
Merci !