HTTPS LUI FAIRE CONFIANCE, C’EST BIEN.

LE COMPRENDRE, C’EST MIEUX !

@PierreGaste • Human Talks Angers • Octobre 2013

QU’EST CE QUE C’EST ?

Protocole de transfert sécurisé

Couplage de deux autres protocoles

Repérable par tous

DANS QUEL BUT ?

Assurer l’authenticité du serveur

Assurer la confidentialité des données échangées

Assurer l’intégrité des données échangées

(Assurer l’authentification du client)

Informer le client sur la sécurisation des échanges

DEPUIS QUAND ?

1994, formalisée en 2000 (spécificiations)

Netscape Communications

Sécurisation de son navigateur

Evolution SSL vers TLS (années 2000)

HTTP VS HTTPS QUELLES DIFFÉRENCES ?

LES AUTORITÉS DE CERTIFICATION : QUI ET POURQUOI ?

Entité tierce

Réputée fiable

Paye pour entrer sur les listes blanches des navigateurs

Possède des racines de confiance anciennes

QUELLES VÉRIFICATIONS EFFECTUENT LE NAVIGATEUR ?

Qui a signé le certificat qu’on me retourne ?

Les dates de validité sont-elles respectées ?

Le certificat n’est-il pas révoqué ?

(Le certificat client est-il valide et installé sur la machine ?)

LA NSA PLUS FORTE QUE LE HTTPS ?

!

« NSA et son alliée britannique, ont développé toutes sortes de méthodes pour contourner ou

déjouer les méthodes de chiffrement censées protéger la

confidentialité des données circulant sur Internet »!

Le Monde, 05.09.2013

POUR ALLER PLUS LOIN ...

Chiffrement minimum assuréChiffrement faible (40 bits), Chiffrement fort (128 bits)

Type de validationValidation de domaine, validation de l’organisation, validation étendue

Regroupement de certificatTechnologie SAN

Certificats Wildcard*.domaine.com

Renforcement du chiffrement SGCJusqu’à 256 bits.

ET EN PRATIQUE ?

3 ÉTAPES

CSR openssl req -new -newkey rsa:2048 -nodes -out site.csr -keyout site.key

Envoi du CSR à l’autorité de certification

CRT (signature du certificat) openssl x509 -req -in site.csr -out site.crt -CA ca.crt -CAkey ca.key

MODIFICATION DU VIRTUAL HOST

AVANT

APRÈS