HTTPS : Lui faire confiance, c'est bien, le comprendre, c'est mieux !

  • Published on
    28-Nov-2014

  • View
    704

  • Download
    3

Embed Size (px)

DESCRIPTION

Humans Talks Angers : HTTPS

Transcript

<ul><li> 1. HTTPS LUI FAIRE CONFIANCE, CEST BIEN. LE COMPRENDRE, CEST MIEUX ! @PierreGaste Human Talks Angers Octobre 2013 </li> <li> 2. QUEST CE QUE CEST ? Protocole de transfert scuris Couplage de deux autres protocoles Reprable par tous </li> <li> 3. DANS QUEL BUT ? Assurer lauthenticit du serveur Assurer la condentialit des donnes changes Assurer lintgrit des donnes changes (Assurer lauthentication du client) Informer le client sur la scurisation des changes </li> <li> 4. DEPUIS QUAND ? 1994, formalise en 2000 (spciciations) Netscape Communications Scurisation de son navigateur Evolution SSL vers TLS (annes 2000) </li> <li> 5. HTTP VS HTTPS QUELLES DIFFRENCES ? </li> <li> 6. LES AUTORITS DE CERTIFICATION : QUI ET POURQUOI ? Entit tierce Rpute able Paye pour entrer sur les listes blanches des navigateurs Possde des racines de conance anciennes </li> <li> 7. QUELLES VRIFICATIONS EFFECTUENT LE NAVIGATEUR Qui a sign le certicat quon me retourne ? Les dates de validit sont-elles respectes ? Le certicat nest-il pas rvoqu ? (Le certicat client est-il valide et install sur la machine ?) ? </li> <li> 8. LA NSA PLUS FORTE QUE LE HTTPS ? ! NSA et son allie britannique, ont dvelopp toutes sortes de mthodes pour contourner ou djouer les mthodes de chiffrement censes protger la confidentialit des donnes circulant sur Internet ! Le Monde, 05.09.2013 </li> <li> 9. POUR ALLER PLUS LOIN ... Chirement minimum assur Chiffrement faible (40 bits), Chiffrement fort (128 bits) Type de validation Validation de domaine, validation de lorganisation, validation tendue Regroupement de certicat Technologie SAN Certicats Wildcard *.domaine.com Renforcement du chirement SGC Jusqu 256 bits. </li> <li> 10. ET EN PRATIQUE ? </li> <li> 11. 3 TAPES CSR openssl req -new -newkey rsa:2048 -nodes out site.csr -keyout site.key Envoi du CSR lautorit de certification CRT (signature du certificat) openssl x509 -req -in site.csr -out site.crt -CA ca.crt -CAkey ca.key </li> <li> 12. MODIFICATION DU VIRTUAL HOST AVANT APRS </li> </ul>