HTTPS. Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre

Documents pareils
Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

Service de certificat

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique

Cours 14. Crypto. 2004, Marc-André Léger

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

[ Sécurisation des canaux de communication

KAJOUT WASSIM INTERNET INFORMATION SERVICES (IIS) 01/03/2013. Compte-rendu sur ISS KAJOUT Wassim

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

INFORMATIONS DECISIONS ACTIONS. Entreprises Informations Décisions Actions État des ventes Prévisions Comportement consommateur. Augmenter 20 % le CA

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Configurer son courrier électrique avec votre compte Abicom

CS REMOTE CARE - WEBDAV

Cisco Certified Network Associate

L identité numérique. Risques, protection

Le protocole sécurisé SSL

EMV, S.E.T et 3D Secure

Comment utiliser mon compte alumni?

Action Spécifique Sécurité du CNRS 15 mai 2002

Protocoles cryptographiques

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

Authentification avec CAS sous PRONOTE.net Version du lundi 19 septembre 2011

Serveur d application WebDev

Les certificats numériques

WEBMESTRE : CONCEPTION DE SITES ET ADMINISTRATION DE SERVEURS WEB

Gestionnaire des services Internet (IIS)

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

AccessMaster PortalXpert

Sage CRM. 7.2 Guide de Portail Client

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Université de Reims Champagne Ardenne. HTTPS, SSL, SSH, IPSEC et SOCKS. Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin

Mac OS X Server Administration des technologies Web. Pour la version 10.3 ou ultérieure

Le service FTP. M.BOUABID, Page 1 sur 5

Cours CCNA 1. Exercices

Sécurisation du réseau

Introduction au protocole FTP. Guy Labasse

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

Le rôle Serveur NPS et Protection d accès réseau

1. Présentation de WPA et 802.1X

SERVEUR DE MESSAGERIE

Configurer ma Livebox Pro pour utiliser un serveur VPN

FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE. Table des matières

Installation et utilisation d'un certificat

Réseaux et protocoles Damien Nouvel

Sécurité des réseaux sans fil

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Hébergement WeboCube. Un système performant et sécurisé. Hébergement géré par une équipe de techniciens

Restriction sur matériels d impression

18 TCP Les protocoles de domaines d applications

Le protocole SSH (Secure Shell)

Devoir Surveillé de Sécurité des Réseaux

Tutoriel : Comment installer une compte (une adresse ) sur un logiciel de messagerie (ou client messagerie)?

Services Réseaux - Couche Application. TODARO Cédric

IIS, c est quoi? Installation de IIS Gestion de base de IIS Méthodes d authentification. Edy Joachim,

Assistance à distance sous Windows

Errata partie 2 Kit de formation Configuration d une infrastructure Active Directory avec Windows Server 2008

Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

Espace Numérique Régional de Santé Formation sur la messagerie sécurisée. Version Auteur : Nathalie MEDA

Transport Layer Security (TLS) Guide de mise en œuvre. Version: 1.0

Chapitre 2 Rôles et fonctionnalités

SSL. Secure Socket Layer. R. Kobylanski janvier version 1.1 FC INPG. Protocole SSL Application avec stunnel

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05


Manuel utilisateur Manuel sécurité

Par KENFACK Patrick MIF30 19 Mai 2009

SSL/TLS: Secure Socket Layer/Transport Layer Secure Quelques éléments d analyse. GRES 2006 Bordeaux 12 Mai Ahmed Serhrouchni ENST-PARIS CNRS

Les principes de la sécurité

Créer et partager des fichiers

Tutorial Terminal Server sous

(Fig. 1 :assistant connexion Internet)

Manuel des logiciels de transferts de fichiers File Delivery Services

Accès à la messagerie électronique HES

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

Microsoft Hosted Exchange 2010 DOCUMENT D EXPLOITATION

Installation du transfert de fichier sécurisé sur le serveur orphanet

OFFICE OUTLOOK QUICK START GUIDE

L3 informatique TP n o 2 : Les applications réseau

Serveur FTP. 20 décembre. Windows Server 2008R2

1 L Authentification de A à Z

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Guide pour bien débuter avec

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

LES ACCES ODBC AVEC LE SYSTEME SAS

Informations sur la sécurité

JetClouding Installation

Sécurité complète pour portables d entreprise. Manuel d'installation et de déploiement

Présenté par : Ould Mohamed Lamine Ousmane Diouf

SafeGuard Enterprise Web Helpdesk. Version du produit : 6.1

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Guide d'administration

LES NOTES D PROCEDURE DE CONNEXION WIFI AU CAMPUS. Ce document décrit la procédure à suivre pour se connecter en WIFI au campus.

Protocole industriels de sécurité. S. Natkin Décembre 2000

Manuel d'installation et de déploiement. Sécurité complète pour portables d entreprise

Comment changer le mot de passe NT pour les comptes de service Exchange et Unity

Transcription:

HTTPS Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre

Définition HTTPS (HyperText Transfer Protocol Secure) C'est la combinaison du HTTP avec une couche de chiffrement comme SSL ou TLS TLS : Transport Layer Security protocoles de sécurisation des échanges sur Internet (TLS, et son prédécesseur SSL, sont des protocoles de sécurisation des échanges sur Internet, développés à l'origine par Netscape) SSL : Secure Sockets Layer protocoles de sécurisation des échanges sur Internet Charles 19/03/2014 2

A quoi sert- il? HTTPS permet au visiteur de vérifier l'identité du site web auquel il accède Grâce à un certificat d'authentification émis par une autorité tierce, réputée fiable Il garantit théoriquement la confidentialité et l'intégrité des données envoyées par l'utilisateur et reçues du serveur. Il peut permettre de valider l'identité du visiteur, si celui-ci utilise également un certificat d'authentification client. Clivia 19/03/2014 3

HTTPS est généralement utilisé pour les transactions financières en ligne : commerce électronique, banque en ligne, courtage en ligne, etc... Il est aussi utilisé pour la consultation de données privées, comme les courriers électroniques Depuis le début des années 2010, le HTTPS s'est également généralisé sur les réseaux sociaux Par défaut, les serveurs HTTPS sont connectés au port TCP 443. Julie 19/03/2014 4

Son but Le but du protocole https est de permettre un transfert de fichiers localisés (essentiellement au format HTML) grâce à une chaine de caractères appelée URL entre un navigateur et un serveur web. communication entre navigateur et serveur : la communication entre le navigateur et le serveur se fait en deux temps : le navigateur effectue une requete HTTP le serveur traite la requete puis envoie une répnse HTTP Charles 19/03/2014 5

Différences HTTPS : il ne s agit pas d un protocole par soi même mais plutôt le résultat de la superposition du protocole HTTP par-dessus le protocole SSL/TLS, donc HTTPS = HTTP + SSL/TLS Le protocole HTTP n est pas sécurisé et il est exposé a des attaques de l homme du milieu et aux «écoutes clandestines» pouvant donner aux attaquants l accès aux comptes internet d usagers et aux informations importantes -> HTTPS a été donc crée pour supporter de telles attaques et il est considéré comme sécurisé contre ce type attaques Clivia 19/03/2014 6

HTTP HTTPS L'attaque de l'homme du milieu (HDM) ou man in the middle attack (MITM) est une attaque qui a pour but d'intercepter les communications entre deux parties, sans que ni l'une ni l'autre ne puisse se douter que le canal de communication entre elles a été compromis. Le canal le plus courant est une connexion à Internet de l'internaute lambda. HTTPS utilisent le port 443 par défaut, la ou les HTTP commencent par le port 80 par défaut. Julie 19/03/2014 7

SSL SSL (traduire par couche de sockets sécurisée) est un procédé de sécurisation des transactions effectuées via Internet. Le standard SSL a été mis au point par Netscape, en collaboration avec Mastercard, Bank of America, MCI et Silicon Graphics. Il repose sur un procédé de cryptographie par clef publique afin de garantir la sécurité de la transmission de données sur internet. Son principe consiste à établir un canal de communication sécurisé (chiffré) entre deux machines après une étape d'authentification. Charles 19/03/2014 8

Le système SSL est indépendant du protocole utilisé, ce qui signifie qu'il peut aussi bien sécuriser des transactions faites sur le Web par le protocole HTTP que des connexions via le protocole FTP, POP ou IMAP. En effet, SSL agit telle une couche supplémentaire, permettant d'assurer la sécurité des données, située entre la couche application et la couche transport(protocole TCP par exemple) Clivia 19/03/2014 9

Fonctionnement La sécurisation des transactions par SSL 2.0 est basée sur un échange de clés entre client et serveur. La transaction sécurisée par SSL se fait selon le modèle suivant : le client se connecte au site sécurisé par SSL et lui demande de s'authentifier. Le client envoie également la liste des cryptosystèmes qu'il supporte Le serveur a réception de la requête envoie un certificat au client, contenant la clé publique du serveur, signée par une autorité de certification (CA), ainsi que le nom du cryptosystème le plus haut dans la liste avec lequel il est compatible Julie 19/03/2014 10

Le client vérifie la validité du certificat puis crée une clé secrète aléatoire, chiffre cette clé à l'aide de la clé publique du serveur, puis lui envoie le résultat (la clé de session). Le serveur est en mesure de déchiffrer la clé de session avec sa clé privée. Ainsi, les deux entités sont en possession d'une clé commune dont ils sont seuls connaisseurs. Le reste des transactions peut se faire à l'aide de clé de session, garantissant l'intégrité et la confidentialité des données échangées. Charles 19/03/2014 11

Le crytage La cryptographie asymétrique (clé publique), est une méthode de chiffrement qui s'oppose à la cryptographie symétrique (clé privé). Elle repose sur l'utilisation d'une clé publique (qui est diffusée) et d'une clé privée (gardée secrète), l'une permettant de coder le message et l'autre de le décoder. Ainsi, l'expéditeur peut utiliser la clé publique du destinataire pour coder un message que seul le destinataire (en possession de la clé privée) peut décoder, garantissant la confidentialité du contenu. Inversement, l'expéditeur peut utiliser sa propre clé privée pour coder un message que le destinataire peut décoder avec la clé publique ; c'est le mécanisme utilisé par la signature numérique pour authentifier l'auteur d'un message. Clivia 19/03/2014 12

Lorsqu'un utilisateur désire envoyer un message à un autre utilisateur, il lui suffit de chiffrer le message à envoyer au moyen de la clé publique du destinataire. Ce dernier sera en mesure de déchiffrer le message à l'aide de sa clé privée (qu'il est seul à connaître). Julie 19/03/2014 13

Avantage/Inconvénient Le problème consistant à se communiquer la clé de déchiffrement n'existe plus, dans la mesure où les clés publiques peuvent être envoyées librement. Le chiffrement par clés publiques permet donc à des personnes d'échanger des messages chiffrés sans pour autant posséder de secret en commun d'où l'utilisation du SSL/HTTPS. En contrepartie, tout le challenge consiste à (s')assurer que la clé publique que l'on récupère est bien celle de la personne à qui l'on souhaite faire parvenir l'information chiffrée Charles 19/03/2014 14

Configuration de HTTPS sur IIS HTTPS est un canal de communication sécurisé qui est utilisé pour échanger des informations entre un ordinateur client et un serveur. Il utilise Secure Sockets Layer (SSL). Comment configurer le service SSL/HTTPS dans Internet Information Services (IIS) et compare ce processus pour le processus similaire dans Apache. Clivia 19/03/2014 15

Pour activer SSL dans IIS, il faut un certificat qui est utilisé pour crypter et décrypter les informations qui sont transférées sur le réseau. IIS inclut son propre outil de demande de certificat que l'on peut utiliser pour envoyer une demande de certificat à une autorité de certification. Cet outil simplifie le processus d'obtention d'un certificat. Si on utilise Apache, le certificat s'optient de façon manuel. Dans les services IIS et Apache, l'autorité de certification envoye un fichier de certificat, il faut enssuite le configurer sur l'ordinateur. Apache lit le certificat à partir de son fichier source à l'aide de la directive SSLCACertificateFile. Toutefois, dans IIS, on peut configurer et gérer des certificats à l'aide de l'onglet Sécurité du répertoire du site Web ou de propriétés d'un dossier. (On peut aussi faire migrer des certificats à partir d'apache vers IIS) Julie 19/03/2014 16

Cette procédure suppose que le site dispose certificat qui lui est assigné. déjà d'un 1.Ouvrir une session sur l'ordinateur serveur Web en tant qu'administrateur. 2.Cliquer sur Démarrer, pointer sur paramètres, puis cliquer sur Panneau de configuration. 3.Double-clique sur Outils d'administration, puis double-clique sur Gestionnaire des Services Internet. 4.Dans la liste des différents sites servis dans le volet gauche, sélectionner le site Web. 5.Clique droit sur le site Web, le dossier ou le fichier pour lequel on souhaite configurer la communication SSL, puis cliquer sur Propriétés. 6.Cliquer sur l'onglet Sécurité de répertoire. 7.Cliquer sur Modifier. Charles 19/03/2014 17

8.Si l'on souhaite que le site Web, un dossier ou un fichier à exiger des communications SSL, cliquer sur exiger de canal sécurisé (SSL). 9.Cliquer sur cryptage requièrent de 128 bits pour configurer 128-bit (40 bits) prise en charge du cryptage. 10.Pour autoriser les utilisateurs à se connecter sans fournir leurs propres certificats, cliquer sur Ignorer les certificats clients. On peut également, pour permettre à un utilisateur de fournir leur propre certificat, utiliser accepter les certificats clients. 11.Pour configurer le client de mappage(affecter un répertoire réseau), cliquer sur Activer le mappage de certificat client, puis cliquer sur Modifier pour mapper des certificats clients à des utilisateurs. Si on configure cette fonctionnalité, on peut mapper des certificats clients à des utilisateurs individuels dans Active Directory. 12.Cliquer sur OK. Clivia 19/03/2014 18

Sources : CommentCaMarche.net tout sur les réseaux et internet http://fr.wikipedia.org/wiki/hypertext_transfer_protocol_secure http://www.commentcamarche.net/contents/215-ssl-sec ure-sockets-layers FIN et merci de nous avoir écouté! 19

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back