réalisé par : Radoniaina ANDRIATSIMANDEFITRA Charlie BOULO Hakim BOURMEL Mouloud BRAHIMI Jean DELIME Mour KEITA 23 février 2011

Transcription

1 Guide de l Utilisateur d EvalSSL réalisé par : Radoniaina ANDRIATSIMANDEFITRA Charlie BOULO Hakim BOURMEL Mouloud BRAHIMI Jean DELIME Mour KEITA 23 février

2 Table des matières 1 Mode d utilisation Test de la connexion SSL d un Serveur Test de la connexion SSL d un client à l aide de son navigateur La notation Annexe 10 2

3 Introduction Ce document permet d expliquer à un utilisateur comment évaluer un serveur SSL et son navigateur grâce à notre outil EvalSSL. Pour information, SSLLABS, développé par Qualys est une alternative à EvalSSL qui ne permet pas de tester un client. Les différents aspects traités sont : 1. les certificats 2. les protocoles utilisés 3. les algorithmes de chiffrement 4. les algorithmes d échanges de clés Chaque rubrique est notée et le résultat permettra de juger de la sécurité mise en place par le serveur ou le client lors d une connexion SSL. Rappel : SSL est notamment utilisé dans le cadre d achats sur Internet, plus généralement pour effectuer des transactions bancaires, et également pour sécuriser la messagerie et les échanges de données sensibles. Note : Ce guide est disponible sur le site. 3

4 1 Mode d utilisation 1.1 Test de la connexion SSL d un Serveur Pour tester un serveur, l utilisateur se connecte sur le serveur EvalSSL http ://nomduserveurevalssl à l aide de son navigateur. L interface graphique se présente comme ci-dessous : L utilisateur entre le nom du serveur à tester dans le champs Serveur et le numéro de port dans le champs Port. Les informations d une connexion d un serveur sont gardées 24 heures (paramétrables) en cache. L utilisateur peut demander l affichage de ces infos sans relancer le test complet en cochant Cache : oui... 4

5 Le bilan est ainsi renvoyé à l utilisateur via une page html. Une note est attribuée à chaque sous partie : certificat, protocoles et chiffrement et un bilan détaillé des informations explicitant cette notation est affiché. Le Certificat EvalSSL fait des tests sur différents aspects du certificat : révocation : si cette zone est à True alors le certificat est révoqué donc invalide. nom de domaine : pour vérifier si le nom de domaine du serveur correspond au nom de domaine contenu dans le certificat. Le certificat n est pas sûr car l autorité délivrant le certificat est inconnue. Il est à True si le test est positif sinon à False. date de validité : pour vérifier si la date de début de validité du certificat et sa date d expiration sont valides. Il est à True si le test marche sinon il le met à False. 5

6 certificat auto-signé : vérifie si le champs issuer est égal au champs subject. Cela veut dire si le signataire du certificat en est également le propriétaire. algorithme de contrôle d intégrité dans la signature : affiche l algorithme utilisé pour le hachage et la signature. Cet algorithme assure la fonctionnalité de l intégrité. chaîne de certification : affiche la chaîne de certification du certificat et vérifie si elle est valide ( l authorité de certification père jusqu à l autorité de certification Root). extensions : affiche des informations supplémentaires sur le certificat(authorité signataire, l url des listes de révocation, le certificat de cette autorité). noms alternatifs : affiche les nom de domaine alternatifs du serveur. Si un des tests ci-dessus est négatif, la note sur le certificat devient nulle. Les Protocoles Les différentes versions des protocoles de SSL sont vérifiées si elles sont supportées par le serveur ou non. Les protocoles sont notés sur 100. La suite de chiffrement La suite de chiffrement est l ensemble des suites d algorithmes potentiels de chiffrements, de contrôle d intégrité et d échange de clés proposés par le client. algorithmes de contrôle d intégrité : EvalSSL note en fonction de l algorithme de contrôle d intégrité utilisé en général (SHA ou MD5). Si l algorithme de hachage est du SHA, le serveur est mieux noté. algorithmes de chiffrement : EvalSSL note suivant l algo de chiffrement utilisé parmi ces algorithmes : AES128, AES256, 3-DES 168, IDEA 128, RC4 128, Fortezza 80, DES 56, DES-40, RC4-40, RC2-40. algorithmes d échanges de clés : il s agit des algo d échange de clés EDH, DH, RSA... La Renégociation Ce champs nous renseigne si la renégociation est supportée par le serveur ou pas. Elle est à True ou False. 1.2 Test de la connexion SSL d un client à l aide de son navigateur L utilisateur se connecte sur le serveur d EvalSSL. L interface pour le test du navigateur du client se présente comme ci-dessous : 6

7 L utilisateur a le choix entre différents types de tests. Les tests sur les certificats présentant les défauts suivants permettent de voir la réaction du navigateur face à ces failles. On peut soit présenter au navigateur : un certificat nullprefix un certificat avec un mauvais CN un certificat révoqué certificat avec une date invalide Le navigateur doit normalement lever une erreur quand un serveur lui présente de tels certificats. Pour faire une évaluation procolaire et les suites de chiffrements, un bilan nous est renvoyé via une page html. 7

8 Le bilan renvoyé se présente comme le bilan renvoyé au test du serveur. Il renseigne sur le certificat, les protocoles et les suites de chiffrement. Et ensuite attribue une note pour chaque partie. L utilisateur peut aussi choisir de tester son navigateur en vérifiant son comportement quand on lui présente des certificats non conformes. 1.3 La notation La notation est basée sur les rubriques suivantes : le certificat les protocoles les suites de chiffrement NB : Un barème à titre d exemple a été défini. L administrateur peut modifier la notation à sa guise dans le fichier de notaion notation.xml (cf. Guide de l Administrateur). Le certificat Différentes rubriques du certificat sont testées par l outil EvalSSL à savoir : le nom de domaine : vérifie si le nom de domaine est conforme au CommonName du certificat. Si les deux sont conformes, cette rubrique est notée sur 100, sinon elle est notée à 0. la date de validité : vérifie si la date de début n est pas encore entamée et la date de fin de validité n est pas dépassée. Cette rubrique est notée sur 50. s il est auto-signé : vérifie si le certificat est auto-signé. Cela veut un certificat signé par une autorité qui n est pas une CA reconnue. Ce champs est noté sur 30. la chaîne de certification : ce champs indique si la chaîne de certification est valide ou pas. Il est mis à True si la chaîne de certification est valide sinon à False. la révocation : ce champs indique si le certificat est révoqué ou pas. Cette rubrique est notée sur 100. Si le certificat est révoqué il noté à 0. Les protocoles L outil EvalSSL détecte les différentes versions des protocoles supportés par le client et le serveur : SSLv3.0 : si cette version de SSL est supportée, elle est notée sur 22. TLSv1.0 : si cette version de SSL est supportée, elle est notée sur 30. TLSv1.1 : si cette version de SSL est supportée, elle est notée sur 80. L outil fait la somme puis la moyenne des notes sur les différentes versions supportées. Par exemple, si un serveur supporte uniquement du TLSv1.2, il a une note de 100. Si un autre supporte TLSv1.2 et TLSv1.0 il est noté sur 65. Les suites de chiffrement Une suite de chiffrement est une combinaison de noms d algorithmes de chiffrement, de hachage et d authentification de message code (MAC) des algorithmes utilisés pour négocier les paramètres de sécurité pour une connexion. Pour chaque suite de chiffrement, on attribue une note suivant trois critères : l intégrité : suivant la version du protocole SSL et la suite de chiffrement, on attribue une note sur l intégrité du chiffrement. Elle est notée sur 100. l échange de clés : L algorithme d échange de clé est utilisée pour déterminer si et comment le client et le serveur va authentifier lors du handshake. Suivant l algorithme d échange de clés (RSA, Diffie-Hellman, SRP, PSK..) et la taille de clé utilisée (128, 256, 512, 1024, ), on attribue une note allant de 2 à 100. En plus de l algorithme d échange de clés, plus la taille de la clé est grande, plus la note est grande. Une fourchette de notation est établie pour la taille des clés : entre 0 et 512, la note est 2 ; entre 512 et 1024, la note est 49 ; entre 1024 et 2048, la note est 90 ; entre 2048 et 8192, la note est 100. le chiffrement : L algorithme de chiffrement supportés par le client ou le serveur. Il peut s agir du RC4, Triple DES, AES, IDEA, DES, ou Camellia suivi du mode de chiffrement. Le chiffrement est noté sur un total de

9 Le code couleur Le résultat du test affiche trois types de cadenas : Cadenas Vert : ce qui signifie une bonne implémentation Cadenas Bleu : implémentation moyenne Cadenas Rouge : mauvaise implémentation 9

10 2 Annexe SSL : Secure Socket Layer TLS : Transport Layer Secure SVN : Subversion AES : Advanced Encryption Standard DH : Diffie-Hellman CBC : Cipher Block Chaining DES : Data Encryption Standard 10