HTTPS Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre
Définition HTTPS (HyperText Transfer Protocol Secure) C'est la combinaison du HTTP avec une couche de chiffrement comme SSL ou TLS TLS : Transport Layer Security protocoles de sécurisation des échanges sur Internet (TLS, et son prédécesseur SSL, sont des protocoles de sécurisation des échanges sur Internet, développés à l'origine par Netscape) SSL : Secure Sockets Layer protocoles de sécurisation des échanges sur Internet Charles 19/03/2014 2
A quoi sert- il? HTTPS permet au visiteur de vérifier l'identité du site web auquel il accède Grâce à un certificat d'authentification émis par une autorité tierce, réputée fiable Il garantit théoriquement la confidentialité et l'intégrité des données envoyées par l'utilisateur et reçues du serveur. Il peut permettre de valider l'identité du visiteur, si celui-ci utilise également un certificat d'authentification client. Clivia 19/03/2014 3
HTTPS est généralement utilisé pour les transactions financières en ligne : commerce électronique, banque en ligne, courtage en ligne, etc... Il est aussi utilisé pour la consultation de données privées, comme les courriers électroniques Depuis le début des années 2010, le HTTPS s'est également généralisé sur les réseaux sociaux Par défaut, les serveurs HTTPS sont connectés au port TCP 443. Julie 19/03/2014 4
Son but Le but du protocole https est de permettre un transfert de fichiers localisés (essentiellement au format HTML) grâce à une chaine de caractères appelée URL entre un navigateur et un serveur web. communication entre navigateur et serveur : la communication entre le navigateur et le serveur se fait en deux temps : le navigateur effectue une requete HTTP le serveur traite la requete puis envoie une répnse HTTP Charles 19/03/2014 5
Différences HTTPS : il ne s agit pas d un protocole par soi même mais plutôt le résultat de la superposition du protocole HTTP par-dessus le protocole SSL/TLS, donc HTTPS = HTTP + SSL/TLS Le protocole HTTP n est pas sécurisé et il est exposé a des attaques de l homme du milieu et aux «écoutes clandestines» pouvant donner aux attaquants l accès aux comptes internet d usagers et aux informations importantes -> HTTPS a été donc crée pour supporter de telles attaques et il est considéré comme sécurisé contre ce type attaques Clivia 19/03/2014 6
HTTP HTTPS L'attaque de l'homme du milieu (HDM) ou man in the middle attack (MITM) est une attaque qui a pour but d'intercepter les communications entre deux parties, sans que ni l'une ni l'autre ne puisse se douter que le canal de communication entre elles a été compromis. Le canal le plus courant est une connexion à Internet de l'internaute lambda. HTTPS utilisent le port 443 par défaut, la ou les HTTP commencent par le port 80 par défaut. Julie 19/03/2014 7
SSL SSL (traduire par couche de sockets sécurisée) est un procédé de sécurisation des transactions effectuées via Internet. Le standard SSL a été mis au point par Netscape, en collaboration avec Mastercard, Bank of America, MCI et Silicon Graphics. Il repose sur un procédé de cryptographie par clef publique afin de garantir la sécurité de la transmission de données sur internet. Son principe consiste à établir un canal de communication sécurisé (chiffré) entre deux machines après une étape d'authentification. Charles 19/03/2014 8
Le système SSL est indépendant du protocole utilisé, ce qui signifie qu'il peut aussi bien sécuriser des transactions faites sur le Web par le protocole HTTP que des connexions via le protocole FTP, POP ou IMAP. En effet, SSL agit telle une couche supplémentaire, permettant d'assurer la sécurité des données, située entre la couche application et la couche transport(protocole TCP par exemple) Clivia 19/03/2014 9
Fonctionnement La sécurisation des transactions par SSL 2.0 est basée sur un échange de clés entre client et serveur. La transaction sécurisée par SSL se fait selon le modèle suivant : le client se connecte au site sécurisé par SSL et lui demande de s'authentifier. Le client envoie également la liste des cryptosystèmes qu'il supporte Le serveur a réception de la requête envoie un certificat au client, contenant la clé publique du serveur, signée par une autorité de certification (CA), ainsi que le nom du cryptosystème le plus haut dans la liste avec lequel il est compatible Julie 19/03/2014 10
Le client vérifie la validité du certificat puis crée une clé secrète aléatoire, chiffre cette clé à l'aide de la clé publique du serveur, puis lui envoie le résultat (la clé de session). Le serveur est en mesure de déchiffrer la clé de session avec sa clé privée. Ainsi, les deux entités sont en possession d'une clé commune dont ils sont seuls connaisseurs. Le reste des transactions peut se faire à l'aide de clé de session, garantissant l'intégrité et la confidentialité des données échangées. Charles 19/03/2014 11
Le crytage La cryptographie asymétrique (clé publique), est une méthode de chiffrement qui s'oppose à la cryptographie symétrique (clé privé). Elle repose sur l'utilisation d'une clé publique (qui est diffusée) et d'une clé privée (gardée secrète), l'une permettant de coder le message et l'autre de le décoder. Ainsi, l'expéditeur peut utiliser la clé publique du destinataire pour coder un message que seul le destinataire (en possession de la clé privée) peut décoder, garantissant la confidentialité du contenu. Inversement, l'expéditeur peut utiliser sa propre clé privée pour coder un message que le destinataire peut décoder avec la clé publique ; c'est le mécanisme utilisé par la signature numérique pour authentifier l'auteur d'un message. Clivia 19/03/2014 12
Lorsqu'un utilisateur désire envoyer un message à un autre utilisateur, il lui suffit de chiffrer le message à envoyer au moyen de la clé publique du destinataire. Ce dernier sera en mesure de déchiffrer le message à l'aide de sa clé privée (qu'il est seul à connaître). Julie 19/03/2014 13
Avantage/Inconvénient Le problème consistant à se communiquer la clé de déchiffrement n'existe plus, dans la mesure où les clés publiques peuvent être envoyées librement. Le chiffrement par clés publiques permet donc à des personnes d'échanger des messages chiffrés sans pour autant posséder de secret en commun d'où l'utilisation du SSL/HTTPS. En contrepartie, tout le challenge consiste à (s')assurer que la clé publique que l'on récupère est bien celle de la personne à qui l'on souhaite faire parvenir l'information chiffrée Charles 19/03/2014 14
Configuration de HTTPS sur IIS HTTPS est un canal de communication sécurisé qui est utilisé pour échanger des informations entre un ordinateur client et un serveur. Il utilise Secure Sockets Layer (SSL). Comment configurer le service SSL/HTTPS dans Internet Information Services (IIS) et compare ce processus pour le processus similaire dans Apache. Clivia 19/03/2014 15
Pour activer SSL dans IIS, il faut un certificat qui est utilisé pour crypter et décrypter les informations qui sont transférées sur le réseau. IIS inclut son propre outil de demande de certificat que l'on peut utiliser pour envoyer une demande de certificat à une autorité de certification. Cet outil simplifie le processus d'obtention d'un certificat. Si on utilise Apache, le certificat s'optient de façon manuel. Dans les services IIS et Apache, l'autorité de certification envoye un fichier de certificat, il faut enssuite le configurer sur l'ordinateur. Apache lit le certificat à partir de son fichier source à l'aide de la directive SSLCACertificateFile. Toutefois, dans IIS, on peut configurer et gérer des certificats à l'aide de l'onglet Sécurité du répertoire du site Web ou de propriétés d'un dossier. (On peut aussi faire migrer des certificats à partir d'apache vers IIS) Julie 19/03/2014 16
Cette procédure suppose que le site dispose certificat qui lui est assigné. déjà d'un 1.Ouvrir une session sur l'ordinateur serveur Web en tant qu'administrateur. 2.Cliquer sur Démarrer, pointer sur paramètres, puis cliquer sur Panneau de configuration. 3.Double-clique sur Outils d'administration, puis double-clique sur Gestionnaire des Services Internet. 4.Dans la liste des différents sites servis dans le volet gauche, sélectionner le site Web. 5.Clique droit sur le site Web, le dossier ou le fichier pour lequel on souhaite configurer la communication SSL, puis cliquer sur Propriétés. 6.Cliquer sur l'onglet Sécurité de répertoire. 7.Cliquer sur Modifier. Charles 19/03/2014 17
8.Si l'on souhaite que le site Web, un dossier ou un fichier à exiger des communications SSL, cliquer sur exiger de canal sécurisé (SSL). 9.Cliquer sur cryptage requièrent de 128 bits pour configurer 128-bit (40 bits) prise en charge du cryptage. 10.Pour autoriser les utilisateurs à se connecter sans fournir leurs propres certificats, cliquer sur Ignorer les certificats clients. On peut également, pour permettre à un utilisateur de fournir leur propre certificat, utiliser accepter les certificats clients. 11.Pour configurer le client de mappage(affecter un répertoire réseau), cliquer sur Activer le mappage de certificat client, puis cliquer sur Modifier pour mapper des certificats clients à des utilisateurs. Si on configure cette fonctionnalité, on peut mapper des certificats clients à des utilisateurs individuels dans Active Directory. 12.Cliquer sur OK. Clivia 19/03/2014 18
Sources : CommentCaMarche.net tout sur les réseaux et internet http://fr.wikipedia.org/wiki/hypertext_transfer_protocol_secure http://www.commentcamarche.net/contents/215-ssl-sec ure-sockets-layers FIN et merci de nous avoir écouté! 19