webinar ssl français

Download Webinar SSL Français

Post on 05-Jul-2015

481 views

Category:

Technology

3 download

Embed Size (px)

DESCRIPTION

Diapositives du Webinar SSL : INTRODUCTION Qu’est-ce que le SSL / TLS ? L’intérêt du SSL Rapide historique Déroulement d’une connexion TLS PARTIE 1 Quel est le rôle d’un certificat SSL ? Les niveaux de validation Les options d’un certificat SSL : Wildcard et SAN Le processus de commande La chaîne de certification Algorithmes SSL : chiffrement & authentification Étude de cas : exemples typiques PARTIE 2 Modes de déploiement TLS et épuisement des adresses IPv4 HAProxy et le SNI Impacts du TLS SSL offloading SEO Sécurité du protocole SSL

TRANSCRIPT

  • 1. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBAvecIntroductionQuest-cequeLe SSL / TLSPartie1 propos des CertficatsSSLPartie2Impact etOptimisation SSL13/11/2014

2. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBBaptiste AssmanHAProxyINTRODUCTIONQuest-cequele SSL / TLS ?Quest-ce que le SSL / TLS ?Lintrt du SSLRapide historiqueDroulement dune connexion TLSGlossaireLes tapes 3. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBQuest-cequele SSL ?OSI modelLayer 7 applicationHTTP, POP, IMAPLayer 6 presentationLayer 5 sessionSSL/ TLSLayer 4 transportTCPLayer3 networkIPLayer2 linkLayer1 -physicalSSL(SecuredSocket Layers) lanc en 1994En 1999, lIETF cre une version standardise du SSL, et la nomme TLS (Transport Layer Security)On parle toujours de SSL par abus de langage. SSL = TLSDans le modle de communication rseau OSI, le SSL / TLS fonctionne sur la 5 coucheLe SSL estsymbolispar le s dansHTTPS, IMAPS, POPS, etc. 4. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBConfidentialit: personne ne peut comprendre le contenu chang entre deux entits ayant tabli une connexion TLSIntgrit: Aucune donne ne peut tre altre lorsquelle est transmise sur une connexion TLSAuthentification: chaque entit dune connexion TLS peut valider que lautre est bien celui quil annonce tre. (Dans ces slides, on ne sintressera qu la partie serveur)entit1entit2Connexion TLSIntrtdu protocole 5. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBHistoriqueSSL(SecuredSocket Layers)Premire version: Netscape en 1994SSL 2.0: 1995SSL 3.0: 1996Standardisation par lIETF : TLS(Transport Layer Security)TLS 1.0: 1999 (bas sur le SSL 3.0)TLS 1.1: 2006TLS 1.2: 2008TLS 1.3: 2015 6. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBDroulementduneconnexion TLSAvant de commencer, quelques dfinitions :Client hello: initialisation de la connexion TLS par le clientServer hello: rponse du serveur linitialisation de la connexion TLS du clientTLS handshake: phase durant laquelle le client et le serveur ngocient la faon dont la connexion va stablirClient random: suite de caractres alatoires, unique pour chaque session TLS, gnre par le clientServer random: suite de caractres alatoires, unique pour chaque session TLS, gnre par le serveurPre-master secret: donne en binaire fournie par le client, utilise pour gnrer la cl de sessionCiphersuite: suite spcifique dalgorithmes utiliss lors dune session TLSSession key: cl de chiffrement symtrique utilise suite auTLS handshakeSession ID: identifiant de session TLS, qui peut tre rutilis ultrieurement par le serveur et le clientGlossaire 7. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBDroulementduneconnexion TLS1reconnexion : les tapestape 1:client hello: le client ouvre une connexion TCP et envoie les ciphersuites quil connaittape 2:server hello: le serveur choisit uneciphersuite depuis la liste du client, et envoie son server randomLe serveur envoie son certificat SSL avec sa cl publique au clienttape 3:Le client vrifie lauthenticit et la validit du certificat du serveur (self signed, expiration, )tape 4:Le client utilise la cl publique du serveur pour chiffrer son randomet le pre-master secrettape 5:Le client et le serveur gnrent la cl de session laide du client random, duserveur randomet du pre-master secrettape 6:Le premier message chiffr est ensuite changClientServer(1) Client Hellociphersuites supportes(2) Server HelloCipherSuite, certificat Server, cl publique, Server Random(3)Vrification du certificat SSL du serveur(4) Client Key ExchangeClient Random, pre-master secret (chiffre avcela cl publique du serveur)(5)Gnration de la cl de session(5)Gnration de la cl de session et de lID de session(6) Premier message 8. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBReprise duneconnexion TLSTLS resume: les tapestape 1:client hello: le client ouvre une connexion TCP et envoie les ciphersuites quil connait ainsi que le session ID de la cl quil souhaite r-utilisertape 2:server hello: le serveur choisit une ciphersuite depuis la liste du client.Le serveur envoie son certificat SSL avec sa cl publique au clienttape 3:Le client vrifie lauthenticit et la validit du certificat du serveur (self signed, expiration, )tape 4:Le premier message chiffr est ensuite changClientServer(1) Client Hellociphersuites supportes, Session ID(2) Server HelloCipherSuite, certificat Server, cl publique(3)Vrification du certificat SSL du serveur(4) Premier message 9. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBFranois Marien SSL247Quelestle rledun certificatSSL ?Les niveauxde validationLes options dun certificatSSL : Wildcard et SANLe processusde commandeLa chanede certificationAlgorithmesSSL : chiffrement& authentificationtudede cas: exemplestypiquesPARTIE 1 propos des CertificatsSSL 10. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBQuelestle rledun certificatSSL ?SSL:Secure Socket LayerUn certificatSSL estun fichierreliant uneclpubliquecryptographique un nom de domaine. Un certificatSSL active le protocoleSSL / TLS lorsquilestinstallsurun serveurTLS:Transport Layer SecurityRemplacen1999 par3 rlesprincipauxChiffrer les donnes transfres en ligne> Quelquun peut-il lire les informations que jchange?Authentifier un serveur> Suis-je bien en train de communiquer avec le serveur que ce dernier prtend tre ?Garantir lintgrit dun contenu> Quelquun a-t-til pu modifier le contenu que jchange?Prouver lidentit de lorganisation qui contrle le domaine!(selon le niveau de validation) 11. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEB3 niveauxde validation possiblesChiffrement des donnesValidation du nom de domaine + authentification de lorganisationCadenas + https dans le navigateur webLes dtails de lorganisation sont indiqus dans le certificatmis en 1 -2 joursValidation de lorganisation = dlai dmission plus longChiffrement des donnesAuthentification stricte, qui respecte les normes de lindustrie SSLBarre verte + cadenas + https dans le navigateur webLes dtails de lorganisation sont indiqus dans le certificatmis en 5 6 joursValidation stricte et longue = confiance maximum des visiteursChiffrement des donnesValidation du nom de domaineCadenas + https dans le navigateur webCertificat mis en moins de 10 minutesAucune validation de lidentit du propritaire = mission rapideOV (Organisation Validation)EV (Extended Validation)DV (Domain Validation) 12. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEB2options / add-onsScuriseun nombreillimitde sous-domaines.Un Wildcard se reconnait son * (toile) dansle domaine. Exemple:*.ssl247.co.ukpeut scuriser blog.ssl247.co.uk, mail.ssl247.co.uk, server.ssl247.co.uk+Plusfacilegrer,moinscherquedacheteruncertificatparsous-domaine;Plusflexible-Silecertificatestcompromis,touslesserveursutilisantlecertificatWildcardsontcompromis; IncompatibleaveccertainsOSmobiles;IncompatibleaveclescertificatsEV(ExtendedValidation)Souventutilispour les services Unified Communications (UC) afinde scuriserles applications Microsoft oules Mobile Device Managers.Exemple: ssl247.com, exchange.ssl247.com, ssl247.net,new-ssl247.net-LeCAprocderalaverificationdechaquedomainescurisparvosSANs;NcessiteunbonneorganisationsivousavezdenombreuxSANs;Pluscherquuncertificatnormal+IlestgnralementmoinscherdacheterdesSANspluttqueplusieurscertificats;Sivossites/appssonthebergssurunseulserveur,unSANnerequiertpasuneadresseIPdiffrentepourchaquenomdedomaine 13. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBLes tapesde la commandeRequteValidation et missionInstallation123CSR = CertifiateSigning RequestInformationsdu commanditaireClpriveClpubliqueLorsquele CA metvotrecertificatSSL , cederniergarantitofficiellementquela clpubliquequi se trouvaitdansvotreCSR appartientbien www.votredomaine.com, et garantitgalementquewww.votredomaine.com estbiencontrlpar votreorganisation( lexceptiondes certificats DV puisquilssontmissans aucunevrification). 14. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBLa chanede certificationCertificat racine (root) = le certificat de lAutorit de Certification elle-mme!Une racine se chane un intermdiaire en le signant (en lauthentifiant).TrustInfrastructureCA intermdiaire= le dlgu duneracine.Lintermdiaireestencharge de signer (authentifier) les certificats SSL.CertificatSSL.Le certificatSSL estmispar le CA, puissignpar un intermdiaire, qui estlui-mmesignpar la racine. 15. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBAlgorithmesSSL : chiffrementRSA crpar Ron Rivest, AdiShamir et Leonard AdlemanDSA DigitalSignatureAlgorithmECC EllipticCurveCryptography NOUVEAU !a) Chiffrement asymtrique > 3 principaux algorithmes pour lchange de clLe SSL utilise deuxtypes de chiffrement:a) Chiffrement asymtrique: utilis au tout dbut de la session chiffre, pendant lchange de la cl de sessionNcessite deux cls, une publique et une prive)b) Chiffrement symtrique: utilis une fois la cl de session change(ncessite une cl de session temporaire)b) Chiffrement symtrique > 1 standard : AES (Advanced EncryptionStandard)Cipher suite = combinaisondes algorithmesdauthentification, dchangede clet de chiffrement 16. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBAlgorithmesSSL : authentification1algorithmeprincipal:SHA(SecureHashAlgorithm)Utilisdanslesconnexionsscurisesafindeprouverlintgritetlauthenticitdunmessageaurcepteur.AlgorithmestandarddanslescertificatsSSLLes certificats SHA-1 concernspar lactionde Google :Expirantentre le 01/06/2016 et le 31/12/2016Expirant partirdu 01/01/2017FinduSHA-1,bienvenueauSHA-2SHA-2 = empreintede 256 bitsVs.2fd4e1c67a2d28fced849ee1bb76e7391b93eb12e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855Google acclrela fin du SHA-1SHA-1 = empreintede 160 bitsLes 3 prochaines versions de Chrome vont faire apparatre progressivement des icones dalerte sur des sites scuriss par des certificats SHA-1 17. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBtudede cas: requtestypiques Jaibesoinde s