3. Introduction
Imaginez que votre grenier possède une porte que vous partagez avec un
voisin fouineur. D'habitude, elle reste fermée. Mais fermée ne signifie pas
(toujours) fermée à clef. Car vous ne possédez pas la clef et votre voisin non
plus. Vous présumez que votre voisin n'entre pas chez vous, mais comment
pouvez-vous en être sûr(e) si vous vous trouvez en bas, dans le salon, et que
la porte du haut est ouverte (pas fermée à clef) ?
C'est un peu ce qui a conduit à la création du protocole HTTPS (Hyper Text
Transfer Protocol Secure, Protocole de Transfert Hypertexte Sécurisé) - afin de
vous protéger et de protéger vos données des curieux (pas forcément vos
voisins).
Nous étudierons en général le HTTPS du point de vue de son mode de
fonctionnement , de son implémentation.
3
4. Définition
L’HyperText Transfer Protocol Secured, plus connu sous l'abréviation HTTPS,
soit « protocole de transfert hypertexte sécurisé » est la combinaison du
HTTP avec une couche de chiffrement comme SSL ou TLS.
Il permet au visiteur de vérifier l'identité du site auquel il accède grâce à un
certificat d'authentification émis par une autorité tierce réputée fiable (et
faisant généralement partie de la liste blanche des navigateurs). Il garantit
théoriquement la confidentialité et l'intégrité des données envoyées par
l'utilisateur (notamment des informations entrées dans les formulaires) et
reçues du serveur. Il peut permettre de valider l'identité du visiteur si celui-ci
utilise également un certificat d'authentification client.
4
5. Mécanisme de Fonctionnement
(Présentation)
5
La sécurité des informations transmises par HTTPS est basée sur
l'utilisation d'un algorithme de chiffrement, et sur la reconnaissance de
validité du certificat d'authentification du site visité.
Soit HTTPS = HTTP + SSL
Chiffrement de données
Clé symétrique
Clé asymétrique
Certificat
Demande de certificat
6. Mécanisme deFonctionnement
(HTTP)
6
C'est un protocole de communication entre un
client et un serveur développé pour le WWW.
Le navigateur doit donc savoir quel protocole vous
utilisez pour vous connecter à une adresse,
d'où le fait de devoir écrire ''http:////''. Il existe
en effet d'autres protocoles de
communication, celui que l'on peut le plus
souvent rencontrer sur internet est ''ftp://''. Il
sert à se connecter en direct à un serveur (qui
stocke des fichiers à télécharger le plus
souvent), pour télécharger directement ce qui
s'y trouve sur votre ordinateur. Le débit est
souvent meilleur qu'en téléchargeant par le
protocole HTTP.
De nos jours ce dernier étant à 99% le seul utilisé
par les utilisateurs de navigateur web, il est
ajouté par défaut aux adresses internet (plus
besoin de le taper donc, tout comme parfois
les www.).
7. Mécanisme de Fonctionnement
(Protocole de sécurité : SSL)
7
HTTPS est la variante du HTTP sécurisé par l’usage des protocoles SSL et TLS. Le
serveur HTTPS utilise le port 443 alors que le HTPP utilise par défaut le 80.
Transport Layer Security (TLS), et son prédécesseur Secure Sockets Layer (SSL), sont
des protocoles de sécurisation des échanges sur Internet, développé à l'origine par
Netscape (SSL version 2 et SSL version 3.
Il y a très peu de différences entre SSL et TLS. En outre, TLS diffère de SSL pour la
génération des clés symétriques. Cette génération est plus sécurisée dans TLS que
dans SSLv3 dans la mesure où aucune étape de l'algorithme ne repose uniquement
sur MD5 - Message Digest 5 pour lequel sont apparues des faiblesses en
cryptanalyse.
Caractéristiques
Authentification par certificat numérique
Confidentialité des données échangées ou session chiffrée
Intégrité des données échangées
8. CERTIFICAT
- Génération d’une
demande de signature
de certificat
- Autorisation par un tiers
dont une Autorité de
Certification
Ensemble de données contenant :
au moins une clé publique ;
des informations d'identification, par exemple : noms, localisation, emails ;
au moins une signature ; de fait quand il n'y en a qu'une, l'entité signataire est une autorité dont
elle-seule permet de prêter confiance (ou non) à l'exactitude des informations du certificat.
9. Certificat non valide
L’ Accès au site dont les certificats ne sont pas
signés pose un problème d’identité.
Les certificats sont stockés par des serveurs
de clés, qui peuvent aussi faire office
d'autorité d'enregistrement et de
certification (repère A).
Ils recensent et contrôlent les certificats. Ils
possèdent souvent une liste des certificats
révoqués pour une quelconque raison.
Quelques marques de confiances pour vos certificats:
Thawte, GlobalSign (149 euro);
GeoTrust (129 euro);
RapidSSL (49 euro).
10. Implémentation
Types de serveurs
ISPConfig
Microsoft Exchange (voir Certificat sur Outlook)
Apache2 (utilisation de l’outil OpenSSL)
Autres Serveur
Procédé général
Créer un certificat
Soumettre demande de certificat
Installer puis configurer
Tester
10
11. Conclusion
Conclusion
HTTPS est un peu plus lent que le HTTP
- Cout de Sécurité
Référence
https://www.ssl247.fr/support/creer-csr
http://fr.gentoo-wiki.com/wiki/Apache2/Certificats_SSL
https://www.ssl247.fr
11