HTTPS : HTTP Sécurisé



Documents pareils
Utilisation des certificats X.509v3

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

Architectures PKI. Sébastien VARRETTE

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

SÉCURITÉ DU SI. Mini PKI. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (3): Version : 1.0

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Modèle de sécurité de la Grille. Farida Fassi Master de Physique Informatique Rabat, Maroc May 2011

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Politique de certification et procédures de l autorité de certification CNRS

Cours 14. Crypto. 2004, Marc-André Léger

Les certificats numériques

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

Installation d OwnCloud 8.0 sous Debian Avec connexion des utilisateurs active directory et mise en place de HTTPS

Sécurité du Système d Information. Mini PKI

Fonctionnement des PKI Architecture PKI

La sécurité dans les grilles

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

NOTE: Pour une meilleure sécurisation, nous vous recommandons de faire l installation des outils web à l intérieur d un serveur virtuel.

Gestion des Clés Publiques (PKI)

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

Étape 1 : gérer les certificats

Livre blanc. Sécuriser les échanges

Méthode 1 : Mise en place IPSEC

Du 03 au 07 Février 2014 Tunis (Tunisie)

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

CA SIC Directives de certification Certificate Practice Statement (CPS) du SIC Customer ID CA 1024 Level 2

SSL ET IPSEC. Licence Pro ATC Amel Guetat

«La Sécurité des Transactions et des Echanges Electroniques»

WEBMESTRE : CONCEPTION DE SITES ET ADMINISTRATION DE SERVEURS WEB

WEB-II, Compléments sous la forme de rapport de travaux pratiques. Stève Galeuchet & Florian Seuret. Massimiliano Babino

Action Spécifique Sécurité du CNRS 15 mai 2002

TP HTTP. Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A

Serveur Web Apache - SSL - PHP Debian GNU/Linux

Installation UpdatEngine serveur (CentOs apache2 / MySQL)

Public Key Infrastructure (PKI)

Matthieu Herrb Octobre Accès distants sécurisés - 18 octobre

Administration Linux - Apache

La sécurité des Réseaux Partie 7 PKI

Déploiement d OCS 1.02 RC2 sous Debian Etch 64

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

Gestion des certificats digitaux et méthodes alternatives de chiffrement

Gestion des clés. Génération des clés. Espaces de clés réduits. Mauvais choix de clés. Clefs aléatoires. Phrases mots de passe

La citadelle électronique séminaire du 14 mars 2002

EJBCA PKI Open Source

titre : CENTOS_CUPS_install&config Système : CentOs 5.7 Technologie : Cups Auteur : Charles-Alban BENEZECH

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

EMV, S.E.T et 3D Secure

L identité numérique. Risques, protection

Les certfcats. Installation de openssl

Protocole industriels de sécurité. S. Natkin Décembre 2000

Devoir Surveillé de Sécurité des Réseaux

Signature électronique. Romain Kolb 31/10/2008

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Certificats (électroniques) : Pourquoi? Comment?

CERTIFICATS ÉLECTRONIQUES

SSL. Secure Socket Layer. R. Kobylanski janvier version 1.1 FC INPG. Protocole SSL Application avec stunnel

Les infrastructures de clés publiques (PKI, IGC, ICP)

Le protocole SSH (Secure Shell)

SSL/TLS: Secure Socket Layer/Transport Layer Secure Quelques éléments d analyse. GRES 2006 Bordeaux 12 Mai Ahmed Serhrouchni ENST-PARIS CNRS

Introduction à la sécurité Cours 8 Infrastructure de clés publiques. Catalin Dima

Cryptographie. Cours 3/8 - Chiffrement asymétrique

Manuel de la sécurité intégrée HP ProtectTools Ordinateurs d entreprise HP modèle dx5150

Version Décembre 2005

Définition d une ICP et de ses acteurs

Autorité de certification

Chapitre 3 : Crytographie «Cryptography»

Réaliser un inventaire Documentation utilisateur

Sécurité WebSphere MQ V 5.3

SOREGIES RESEAUX DISTRIBUTION

Cryptographie. Master de cryptographie Architectures PKI. 23 mars Université Rennes 1

LES IMPACTS SUR VOTRE SYSTEME DE FACTURATION DE LA SIGNATURE ELECTRONIQUE COMME OUTIL DE SECURISATION DE VOS ECHANGES DEMATERIALISES

Skype (v2.5) Protocol Data Structures (French) Author : Ouanilo MEDEGAN

Politique de Certification

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

NORMES TECHNIQUES POUR UNE INTEROPERABILITE DES CARTES D IDENTITE ELECTRONIQUES

1. Présentation de WPA et 802.1X

Module 7 : Configuration du serveur WEB Apache

Guide Numériser vers FTP

Sécurité des réseaux sans fil

Chapitre 1 Windows Server

Installation et utilisation d'un certificat

Réseaux Privés Virtuels

Université de Reims Champagne Ardenne. HTTPS, SSL, SSH, IPSEC et SOCKS. Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin

SSL - TLS. Histoire, fonctionnement Sécurité et failles

HASH LOGIC. Web Key Server. Solution de déploiement des certificats à grande échelle. A quoi sert le Web Key Server? A propos de HASHLOGIC

CERTEUROPE ADVANCED V4 Politique de Certification V1.0 Diffusion publique

Le protocole sécurisé SSL

Introduction à Sign&go Guide d architecture

Pascal Gachet Travail de diplôme Déploiement de solutions VPN : PKI Etude de cas

LAB : Schéma. Compagnie C / /24 NETASQ

LEGALBOX SA. - Politique de Certification -

Transcription:

HTTPS : HTTP Sécurisé Décembre 2000 sa@cru.fr Objectifs Crypter la communication entre le client et le serveur Authentifier le serveur Authentifier la personne 1

Principes élémentaires de crypto Cryptage symétrique : pour chaque couple communicant, une clef secrète partagée par les deux personnes. crypt(key,crypt(key,msg))=msg comment partager les clefs? Nombre de clefs à gérer : n(n-1)/2 Principes élémentaires de crypto Cryptage asymétrique : 2 clefs associées crypt(key2,crypt(key1,msg))=msg 1 clef publique, 1 clef privée par personne algorithmes coûteux : on les utilise uniquement pour crypter une clef (aléatoire et à usage unique) beaucoup plus courte que le message. Cette clef est utilisée pour crypter le message avec un algorithme symétrique. 2

Principes élémentaires de crypto Cryptage : crypte le message avec la clef publique du destinataire Signature : on crypte une empreinte du message avec la clef privée de l émetteur. Comment être certain de la provenance de la clef publique? Autorité de certification Solution : une autorité est chargée de signer les clefs publiques : elle crypte une empreinte de la clef publique de la personne avec sa clef privée. On s assure de la provenance de la clef publique en vérifiant la signature qui y a été apposée avec la clef publique de l autorité de certification. 3

Certificat X509 Le modèle est récursif (les clefs des autorités de certification sont elles-mêmes certifiées, ou auto-signées) Faire confiance dans un certificat, c est: vérifier la chaîne de signature reconnaître une des autorités de certification de cette chaîne parmi les autorités de confiance La clef publique et sa ou ses signatures, le «distinguish name» et quelques extensions constituent un certificat X509 Certificat X509 Un certificat contient : le sujet (sous forme d un DN) la clef publique, la signature de cette clef par une CA, un numéro de série parfois le certificat des CA signataires période de validité usage (email, serveur, signature d application, ca) 4

MD5 Fingerprint=34:21:86:66:0B:20:64:56:E5:9F:EE:D6:6C:7D:DA:42 PEM Data: Certificate: Data: Version: 3 (0x2) Serial Number: 0 (0x0) Signature Algorithm: md5withrsaencryption Issuer: CN=test lustu, O=cru, C=fr Validity Not Before: Mar 21 10:26:22 2000 GMT Not After : Mar 21 10:26:22 2002 GMT Subject: CN=test lustu, O=cru, C=fr Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:af:52:14:0f:32:3b:78:73:cb:d5:38:a1:9f:42: 72:e9:71:9f:33:2c:23:1e:28:bb:9f:f1:ca:eb:73:... e8:af:b7:1e:a7:49:8d:86:4d:17:13:04:5f:3d:e2: 77:2f Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:TRUE X509v3 Subject Key Identifier: IGC ( PKI ) La PKI délivre, publie, renouvelle et révoque des certificats. Parfois elle assure aussi un service de recouvrement des clefs privées. Divisée en autorité d enregistrement (RA) et une autorité de certification. Fonctionne avec des cahiers des charges : politique d enregistrement, politique de certification qui dépendent des usages et des contraintes légales. 5

Domaines d application IMAPS S/MIME SMTP/TLS IPSec HTTPS url : https:// port par défaut 443 HTTPS mode chiffrement : un certificat X509 émis par une autorité doit être installé sur le serveur. Si la chaîne de vérification du certificat serveur ne croise pas une des autorités de confiance du client, la session est chiffrée, mais le serveur n est pas authentifié. (Le client reçoit un tas de messages inquiétants). Importance de la liste des CAs par défaut des clients 6

HTTPS Mode chiffré avec authentification du client. 2 certificats X509 : client + serveur La communication est cryptée, le serveur récupère les infos extraites du certificat client en particulier son DN Que faire avec HTTPS? 1 seul certificat (coté serveur) pour crypter la saisie d informations sensibles. E-commerce genre camif.fr se limite à cela! Crypter la saisie de mots de passe. Crypter les données d un formulaire. Crypter des cookies. 7

Que faire avec HTTPS? 1 certificat serveur + 1 certificat par client permet de sécuriser fortement l authentification des clients, Remplace des méthodes d authentification peu pratique : plus de mot de passe, plus de formulaire préalable, plus de cookie Que faire avec HTTPS? restreindre les droits d accès à une partie du client. Logiques possibles : distribuer des certificats aux gens autorisés. Un utilisateur peut avoir beaucoup de certificats. La gestion des droits est faite par la PKI. lister dans le serveur les DN autorisés. Pas de notion de privilège dans le certificat. (réplication des privilèges sur chaque serveur) on peut panacher ces méthodes : classe de certificats 8

Apache open_ssl http://www.openssl.org mod_ssl http://www.modssl.org mod_ssl peut être utilisé en mode DSO Sur red hat 7.0 le rpm d apache installe open_ssl et mod_ssl. Le démarrage standard d apache ouvre le port 80 et le port 443. HTTPD.conf Listen 443 SSLengine on off SSLCertificateFile SSLCertificatekeyFile SSLCACertificate(File Path) SSLCARevocation(File Path) SSLEngine on off SSLVerifyClient none optional require SSLVerifyDepth n 9

HTTPD.conf SSLRequireSSL : pour éviter une «back door» accidentelle SSLOptions + - <option> StdEnvVars : extraction des infos du certificat vers des variables à usage des CGI OptRenegotiate : Optimisation des renégociations liées aux directives <directory>. HTTPD.conf FakebasicAuth : le DN est utilisé comme non d usager dans le fichier d authentification basique. (le mot de passe est alors xxj31zmtzzkva) StrictRequire utile avec «satisfy any» si on veut SSLRequire ou SSLRequireSLL et d autres conditions. Grâce à cette directive le «any» ne concerne que les autres conditions 10

le TP installer un certificat X509 côté serveur installer un certificat côté client configurer apache pour restreindre l accès à certains certificats exécuter un cgi qui affiche les infos du certificat PKI L apport de HTTPS (et des autres applications des certificats X509) est considérable Les applications sont disponibles (apache, roxen, netscape, iis, oulook, messenger, ) Sans PKI, il faut renoncer ou accepter de se soumettre au bon vouloir des PKI commerciales Les projets démarrent : cnrs, pki ministérielle, projets européens,... 11

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back