In Sécurité Dernière mise à jourated:
Partager sur:
Cloudways propose un hébergement cloud géré aux entreprises de toutes tailles pour héberger un site Web ou des applications Web complexes.

Un regard approfondi sur la frcryption qui sécurise nos connexions Internet

Alors que l'origine de Netscapeally a inventé SSL au milieu des années 90, il n'est pas devenu obligatoire pour chaque site Web d'installer un certificat SSL/TLSate jusqu'à l'été 2018, lorsque Google a commencé à marquer les sites non cryptés "Pas sécurisé. »

Tandis que Google – avec son moteur de recherche, Chrome browseuh et Android OS – peuvent redéfinir l’université Internetlaterally, il n'était pas seul sur cette commandeate. Apple, Microsoft, MozL'illa et les autres acteurs majeurs de l'industrie technologique ont tous pris une décision concertée pour exigerate Certificat SSL/TLSates et HTTPS.

La raison en est simple : sans SSL/TLS et sans la possibilité de se connecter en toute sécurité via HTTPS, toutes les communications entre les sites Web et leurs visiteurs seraient échangées en clair et facilement lisibles par un utilisateur. third fête.

Le seul inconvénient de cette récente poussée en faveur de l’universalitécryption est que cela a forcé un afflux de nouveaux clients sur un marché inconnu, qui ne fait pas grand-chose pour y arriver.self moins déroutant pour le site Web moyen ou le propriétaire d’entreprise.

Cet article servira de guide complet pour tout ce qui concerne SSL/TLS, nous poserons les bases en passant en revue les concepts de base comme fr.cryption, HTTPS et la nature des connexions Internet.

J'espère qu'à la fin, vous vous sentirez en confiance pour sélectionner, achat, et implémenter un certificat TLSate, et n'oubliez pas que si vous avez des questions, vous pouvez les laisser dans les commentaires ci-dessous.

Éléments fondamentaux

Commençons par discuter du concept qui est au cœur de tout cela : frcryption.

Encryption, dans son itération la plus simple, n'est rien de plus que le brouillage de données – à l'aide d'un chiffre ou d'une clé prédéterminée – de sorte qu'elles soient rendues illisibles par quiconque, sauf par une autre partie disposant des mêmes privilèges.ate clé.

Tout au long de l'histoire, private clé frcryption a été le modèle le plus couramment utilisé. En privéate clé frcryption, les deux parties doivent posséder ou au moins échanger un droit d'auteurate clé qui peut être utilisée pour crypter et déchiffrer des informations.

Au début, la plupart des chiffrements qui sous-tendaient ces cryptosystèmes étaient primitifs, reposant sur de simples substitutions ou remplaçant des mots courants par des caractères. Mais au fil du temps, les chiffres sont devenus davantage influencés par mathematics et a gagné en complexité.

Par exemple, au milieu des années 1600 en France, le cryptographe du roi Louis XIV a crééateun chiffre si bien conçu qu'il n'a été déchiffré qu'il y a 250 ans later et alors seulement partially. À ce jour, il existe des centaines d'années d'archives dans l'arc françaishivedes mots qui ne seront peut-être jamais déchiffrés.

Mais alors qu'historiqueally encryptioBien que ce soit un moyen d'être secret ou clandestin, l'avènement d'Internet a rendu le concept plus courant. Internet est omniprésent et gère une série de fonctions critiques. Chaque jour, des milliards de personnes l'utilisent pour accéder et envoyer des informations sensibles, gérer leurs finances, effectuer des transactions avec des entreprises, etc.

Le problème est qu'Internet n'a pas été entièrement conçu pour s'adapter à ce qu'il est devenu. Au début, à l'époque où les universités et le gouvernement américain développaient pour la première fois des protocoles de mise en réseau, Internet n'était considéré que comme un mécanisme de libre échange d'informations entre le gouvernement et les institutions universitaires. À ce moment-là, l'activité commerciale était illégale en ligne. Le commerce électronique n'était pas encore un mot encore inventé. Et le site Web était plus géographique notion.

Ainsi, lorsque HTTP ou le protocole de transfert hypertexte a été introduit pour la première fois en 1991, le fait que les connexions qu'il formait échangeait des données en texte clair n'était pas un problème disqualifiant.

Les choses sont bien différentes aujourd’hui. Les informations échangées en ligne ne relèvent pas de recherches universitaires ou d'informations librement disponibles, mais de personnes.ally des informations identifiables et des données sensibles qui peuvent coûter de l’argent aux gens, voire, dans certaines régions, leur vie. Cela nécessitait une approche plus sûre.

La réponse était frcryption.

Un problème d'échange de clés

Un problème historiqueally Le fléau même des meilleurs cryptosystèmes continue de persister à ce jour.

Ce dont nous avons discuté plus tôt et ce qui a la traditionally été la norme pour encryption, est privéate clé frcryption. Ceci est également appelé fr symétriquecryption, ou bidirectionnel encryption—avec privéate clés gérant à la fois le frcryption et decryption fonctions nécessaires pour communiquerate.

Pour privéate clé frcryption pour travailler dans le privéate La clé doit être transférée entre les parties, ou les deux parties doivent posséder leur propre copie. Quoi qu'il en soit, privéate la sécurité des clés était essentielle à l'intégrité du système cryptographique et, comme vous pouvez sans aucun doute le supposer, l'échange de clés est un problème aussi vieux qu'en France.cryption ilself.

Puis, dans les années 1970 – la techniqueally deux époques différentes, un océan entier à part – une nouvelle forme de viecryption a été conceptualisé et donné vie : clé publique frcryption.

Alors que privéate clé frcryption est une fonction bidirectionnelle, symétrique, de private clé capable à la fois de chiffrer et de déchiffrer des données, clé publique frcryption est asymétrique ; Sens Unique. Plutôt qu'un seul privéate clé, il y a un public-privéate paire de clés. La clé publique gère frcryption et est, comme son nom l'indique, accessible au public tandis que le private clé, qui gère decryption, est gardé secret par son propriétaire. En utilisant la clé publique, on peut crypter une donnée et l'envoyer au propriétaire de la clé, où lui seul pourra la déchiffrer.

Génial, mais en quoi est-ce utile?

Eh bien, à sens unique, frcryption n'est pas idéal pour chiffrer les connexions Internet, c'est un peu difficile de communiquerate lorsqu'une partie ne peut que chiffrer et l'autre ne peut que déchiffrer. Non, pour chiffrer une connexion Internet, vous devrez utiliser une connexion symétrique et privée.ate clé frcryption.

Mais comment échanger les clés ? Espèceally en ligne?

Clé publique frcryption.

Et cela, distillé dans son essence même, c'est ce qu'est SSL / TLS: un échange de clés sécurisé.

C’est ici que nous relierons tous ces concepts ensemble. Si vous souhaitez que votre communication avec un site Web soit privéeate, vous devez alors vous y connecter en toute sécurité. Si vous souhaitez vous connecter en toute sécurité à ce site Web, vous devez alors échanger des informations privées symétriques.ate clés pour que vous puissiez les utiliser pour communiquerate. SSL/TLS (et PKI en général) n'est qu'un mécanisme sophistiqué pour créer et échanger cette clé de session.

Grâce à SSL/TLS, vous pouvez vous authentifierate le serveur ou l'organisation avec laquelle vous êtes sur le point de vous connecter et assurez-vous que vous échangez les informations privées en toute sécuritéate clés que vous utiliserez pour crypter votre communication avec la partie prévue.

Unfortunately, SSL/TLS et PKI ont beaucoup de terminologie et d'éléments mobiles qui peuvent facilement dérouter les gens, mais ceux-ci démentent le fait que lorsque vous supprimez tous les mathématiques et le jargon technique, il ne s'agit que d'une solution technologique moderne et élégante à une époque- vieux problème : échange de clés.

Passons maintenant en revue quelques termes clés

Avant d'aller plus loin, passons en revue quelques autres termes clés. Nous avons déjà introduit HTTP, le protocole de transfert hypertexte, qui est l'épine dorsale d'Internet depuis des décennies. Mais comme nous en avons discuté, Internet a évolué pour devenir quelque chose de très différent de ce qu'il était lorsque HTTP a été publié pour la première fois en 1991.

Un protocole plus sécurisé était nécessaire. Ainsi, HTTPS.

HTTPS, parfois appelé HTTP sur TLS, utilise encryption rendre les données échangées lors d'une connexion illisibles pour quiconque autre que la personne concernée. C'est particulièrementally important si l’on considère la nature d’une connexion Internet moderne.

Alors qu’au début d’Internet, la connexion était raisonnablement directe, les connexions sont désormais acheminées via des dizaines d’appareils avant d’atteindre leur destination finale. Si vous avez toujours voulu une démonstration pratique de cela, ouvrez l'invite de commande sur votre système d'exploitation et entrez la commande « tracert geekflare.com.

Ce que vous verrez est le chemin parcouru par votre connexion en route vers sa destination. Jusqu'à 30 sauts. Cela signifie que vos données transitent par chacun de ces appareils avant d'atteindre leur destination.atesur le site Web ou l'application auquel vous vous connectez. Et si quelqu'un a un renifleur de paquets ou un écouteur installé sur l'un de ces appareils, il peut le contacter.teal toutes les données transmises et même manipulerate la connexion dans certains cas.

C'est ce qu'on appelle une attaque de type «man-in-the-middle» (MITM).

Si vous voulez en savoir plus sur l'attaque MITM, alors consultez ce cours en ligne.

Il y a beaucoup plus de surface à couvrir avec les connexions Internet modernes que la grande majorité des gens ne le pensent, c'est pourquoi il est essentiel de chiffrer les données pendant la transmission. Vous n'avez aucune idée de qui pourrait écouter, ni à quel pointally c'est facile à faire.

Une connexion HTTP est établie via le port 80. Pour nos besoins, vous pouvez considérer les ports comme des constructions qui indiquentate un service ou un protocole réseau. Un site Web standard servi via HTTP utilise le port 80. HTTPS typiqueally utilise le port 443. Lorsqu'un site Web installe un certificatate, il peut rediriger ses pages HTTP vers celles HTTPS, et celles des utilisateursrowsLes utilisateurs tenteront de se connecter en toute sécurité via le port 443, en attendant l'authentification.

Unfortunately, les termes SSL/TLS, HTTPS, PKI et frcryptioTous ces éléments sont souvent utilisés, parfois même utilisés de manière interchangeable, alors pour dissiper toute confusion persistante, voici un guide rapide :

  • SSL – Secure Sockets Layer, l'original frcryption protocole utilisé avec HTTPS
  • TLS – Transport Layer Security, le plus récent frcryption protocole qui a remplacé SSL
  • HTTPS – La version sécurisée de HTTP, utilisée pour créerate connexions avec des sites Web
  • PKI – L'infrastructure à clé publique, fait référence à l'ensemble du modèle de confiance qui faciliteates clé publique frcryption

SSL / TLS fonctionne conjointement pour activer les connexions HTTPS. Et PKI fait référence à l'ensemble lorsque vous effectuez un zoom arrière.

Je l'ai? Ne vous inquiétez pas, vous le ferez.

Construire une infrastructure à clé publique

Maintenant que nous avons jeté les bases, faisons un zoom arrière et examinons l'architecture employée par le modèle de confiance au cœur de SSL / TLS.

Lorsque vous arrivez sur un site Web, la première chose que vous faitesrowsCe qu'il fait, c'est vérifier l'authenticité du certificat SSL/TLSate que le site le présente. Nous verrons ce qui se passe après cette authentification dans quelques sections, mais nous allons commencer par discuter du modèle de confiance qui rend tout cela possible.

Nous allons donc commencer par poser la question: comment mon ordinateur sait-il s'il doit faire confiance à un certificat SSL/TLS donnéate?

Pour répondre à cette question, nous devrons discuter de la PKI et des différents éléments qui la font fonctionner. Nous allons commencer par Certificate Autorités et programmes Root.

Certificatsate Pouvoirs publics

Un certificatate L'autorité est une organisation qui se conforme à un ensemble de normes prédéterminées en échange de la capacité d'émettre des certificats numériques fiables.ates.

Il existe des dizaines de CA, les deux gratuite et commercial, qui peut délivrer des certificats de confianceates.

Ils doivent tous respecter un ensemble de normes qui ont été établiesated et legislated via le CA/Browser Forum, qui agit en tant qu’organisme de réglementation de l’industrie TLS. Ces normes décrivent des éléments tels que :

  • Sauvegardes techniques qui doivent être en place
  • Meilleures pratiques pour effectuer la validation
  • Bonnes pratiques d'émission
  • Revprocédures et délais de localisation
  • Certificatsate Exigences de journalisation

Ces lignes directrices ont été établies par le browsers, en lien avec les AC. Le browsLes utilisateurs jouent un rôle unique dans le TLS ecossystème.

Personne ne peut accéder à Internet sans son site Web.rowseuh. En tant que tel, c'est le browser qui recevra et validera le certificat numérique TLSate puis échanger des clés avec le serveur. Ainsi, compte tenu de leur rôle primordial, ils exercent une influence considérable.

Et il est important de garder à l'esprit que browsLes utilisateurs ont été conçus pour être aussi sceptiques que possible. Ne rien faire confiance. C’est le meilleur moyen d’assurer la sécurité de leurs utilisateurs. Donc, si abrowseuh va faire confiance à un certificat numériqueate – ce qui peut potentiellementally être utilisé à mauvais escient au détriment de l’utilisateur – il nécessite certaines assurances que celui qui a délivré ce certificatate ont fait preuve de diligence raisonnable.

C'est le rôle et la responsabilité du certifiéate Les autorités. Et le browsLes utilisateurs ne supportent pas non plus les erreurs. Il existe un véritable cimetière d'anciens CA qui ont enfreint le browsers et été mis au pâturage.

Lorsqu'un certificatate L'autorité a démontréated sa conformité aux exigences de base du CAB Forum et a passé avec succès tous les audits et revDe ce point de vue, il peut demander aux différents programmes root d'obtenir son certificat Root.ateest ajouté.

Programmes racine

Un programme racine – les principaux sont gérés par Apple, Microsoft, Google et Mozilla – est l’appareil qui supervise et faciliteateles magasins racine (parfois appelés magasins de confiance), qui sont des collections de certificats Root CAates qui résident sur le système d’un utilisateur. Encore une fois, ces racines sont incroyablement précieuses et incroyablement dangereuses : elles peuvent délivrer des certificats numériques fiables.ates, après tout – la sécurité est donc la plus grande préoccupation.

C'est pourquoi les CA n'émettent presque jamais directement à partir du certificat Root CA.ates eux-mêmes. Au lieu de cela, ils créent des intermédiaires.ate certificat racineates et utilisez-les pour émettre un certificat d'utilisateur final ou un certificat feuilleates. Ils peuvent également transmettre ces racines aux sous-CA, qui sont certifiéesate Des autorités qui n'ont pas leur dédicaceated racines mais peut toujours délivrer un certificat signé en croixates'éloigne de leur intermédiaireates.

Alors, rassemblons tout cela. Lorsqu'un site Web souhaite avoir un certificat TLSate émis, il génèreatec'est ce qu'on appelle un certificatate Demande de signature (CSR) sur le serveur sur lequel elle est hébergée. Cette demande contient tous les détails que le site Web souhaite inclure sur le certificat.ate. Comme vous le verrez dans un bit, la quantité d'informations peut varier depuis les détails complets de l'entreprise jusqu'à une simple identité de serveur, mais une fois le CSR terminé, il est envoyé au certificat.ate Autorité de délivrance.

Avant de délivrer le certificatate, l'AC devra faire son CA/Browseuh Forum-mandated diligence raisonnable et valideate que les informations contenues dans le CSR sont exactesate. Une fois cela vérifié, il signe le certificatate avec son privéate clé et la renvoie au propriétaire du site Web pour l'installation.

Certificatsate Chaînage

Après le certificat TLSate a été installé, chaque fois que quelqu'un visite le site, le serveur qui l'héberge présentera le b de l'utilisateurrowseuh avec le certificatate rowseuh va regarder la signature numérique sur le certificatate, celui qui a été réalisé par le certificat de confianceate autorité qui garantit que toutes les informations contenues dans le certificatate est exactate.

C'est là que le terme certificatate l’enchaînement entre en jeu.

Le browsIl va lire la signature numérique et remonter d'un maillon de la chaîne. Ensuite, il vérifiera la signature numérique sur l'intermédiaire.ate certificatate dont privéate la clé a été utilisée pour signer le certificat de feuilleate. Il va continuer à suivre les signatures jusqu'à ce que le certificatate la chaîne se termine à l'une des racines de confiance dans son magasin racine, ou jusqu'à ce que la chaîne se termineates sans atteindre une racine, auquel cas abrowsUne erreur apparaîtra et la connexion échouera.

C'est pourquoi vous ne pouvez pas émettre et self-signez votre attestationates.

Le browsLes utilisateurs ne feront confiance qu'aux certificats SSL/TLSates qu'ils peuvent revenir à leur magasin racine (ce qui signifie qu'ils ont été émis par une entité de confiance). Certificatate Les autorités sont tenues de respecter des normes spécifiques pour maintenir leur fiabilité, et même dans ce cas, le browsLes gens sont réticents à leur faire confiance.

BrowsLes utilisateurs n'ont pas une telle assurance concernant self-certificat signéates, c'est pourquoi ils ne doivent être déployés que sur internal réseaux, derrière des pare-feu et dans des environnements de test.

Certificat SSL/TLSate Types et fonctionnalités

Avant d'examiner SSL/TLS en mouvement, parlons de la certificationates et les différentes itérations disponibles. Certificat TLSateC'est ce qui faciliteate le protocole TLS et aider à dicterate les conditions des connexions HTTPS cryptées établies par un site Web.

Nous avons mentionné plus tôt que l'installation d'un certificat TLSate vous permet de configurer votre site Web pour établir des connexions HTTPS via le port 443. Il agit également comme une sorte de badge nominatif pour le site ou le serveur avec lequel vous interagissez. Pour revenir à l'idée selon laquelle SSL/TLS et PKI sont tous des formes exquises d'échange de clés sécurisé, le certificat SSL/TLSate aide à informer le browseuh, à qui il envoie la clé de session - qui est la partie à l'autre extrémité de la connexion.

Et lorsque vous décomposez les différentes itérations du certificat SSL/TLSates, c'est une chose pertinente à garder à l'esprit. CertificatateLes paramètres varient en termes de fonctionnalité et de niveau de validation. Ou, pour le dire autrement, ils varient en fonction de :

  • Combien d'identités affirmer
  • Sur quels points de terminaison affirmer son identité

Répondre à ces deux questions vous donnera une indication assez claire du type de certificatate vous avez besoin.

Combien d'identités affirmer

Il existe trois niveaux de validation différents disponibles avec le certificat SSL/TLSates, et ils varient en fonction de la quantité d’informations d’identité que votre site Web souhaite revendiquer.

  • Certificat SSL de validation de domaineates – Affirmer l’identité du serveur
  • Certificat SSL de validation de l'organisationates – Affirmer l’identité partielle de l’organisation
  • Certificat SSL à validation étendueates – Affirmer l’identité complète de l’organisation

Certificat SSL de validation de domaineateLes s sont de loin les plus populaires en raison de leur prix et de la rapidité avec laquelle ils peuvent être émis. Un certificat DV SSL/TLSateCela nécessite une simple vérification du contrôle de domaine, qui peut être effectuée de plusieurs manières différentes, mais dès qu'il s'agit du certificatate peut être délivré. Vous pouvez également en obtenir gratuitement des versions de 30 et 90 jours, ce qui a sans aucun doute accru leur part de marché.

L'inconvénient est que le certificat SSL DVates affirmer une identité minimale. Et étant donné que près de la moitié de tous les sites Web de phishing disposent désormais d’un certificat SSL DVate installés sur eux, ils ne vous achètent pas nécessairement grand-chose en termes de confiance.

Certificat SSL de validation de l'organisationates sont le type original de certificat SSL/TLSate. C'est également le seul type de certificat SSLate qui peut sécuriser une adresse IP suite à une décision de 2016 du Forum CAB d'invaliderate tous les certificats SSL intranetates. La validation de l'organisation nécessite un contrôle d'entreprise léger et peut être typiqueally être émis dans un délai d’un jour ou deux, parfois plus rapidement. Certificat SSL OVateIl s'agit d'affirmer certaines informations organisationnelles, mais un internaute devra cliquer sur l'icône du cadenas et la rechercher. De nos jours, vous voyez beaucoup de certificats OV SSLates déployé sur de grandes entreprisesrise et corpsate réseaux, pour les connexions établies derrière des pare-feu par exemple.

Car ni certificat SSL DV ni OVates affirmer une identité suffisante pour satisfaire la plupart des browsers, ils reçoivent un traitement neutre.

Certificat SSL à validation étendueateLes s sont de loin les plus controversés, car certains membres de la communauté technologique estiment qu'il faut faire davantage pour renforcer la validation dont ils dépendent. Mais EV SSL revendique une identité maximale. Pour compléter la validation étendue, le certificatate L'autorité soumet l'organisation à un rigorvérification interne process cela peut prendre jusqu'à une semaine dans certains cas.

Mais l'avantage est indéniable : parce qu'il revendique suffisamment d'identité un site Web avec un certificat SSL EVate reçoit un b uniquerowser traitement, y compris avoir son nom présenté dans le browsbarre d'adresse du utilisateur.

Il n'y a pas d'autre moyen d'y parvenir, et vous ne pouvez pas en simuler un - la barre d'adresse EV est l'un des indicateurs visuels les plus puissants que nous ayons aujourd'hui.

Sur quels points de terminaison affirmer l'identité

L'autre façon dont le certificat SSL/TLSateLa différence concerne la fonctionnalité. Les sites Web ont beaucoup évolué bit depuis les débuts d'Internet avec diverses entreprises déployant des sites de différentes manières. Certains ont plusieurs domaines pour différents secteurs verticaux de l'entreprise ; d'autres utilisent des sous-domaines pour plusieurs fonctions et applications Web. Certains utilisent les deux.

Quel que soit le contexte, il existe un certificat SSL/TLSate cela peut aider à le sécuriser.

Domaine unique

Le site Web principal et le certificat SSL standardate ne sont qu'un seul domaine. Certificat SSL/TLS le plus moderneates sécurisera à la fois le WWW et non WWW versions de ce domaine, mais il est limité à un seul domaine. Tu peux comparer le certificat SSLates ici.

Multi-domaine

Certificat multi-domaineates ou Certificat de communication unifiéeateDes s (dans le cas des serveurs Microsoft Exchange et Office Communications) existent également pour donner aux organisations la possibilité de chiffrer plusieurs domaines avec un seul certificat.ate. Cela peut être un attractoption ive car elle permet d'économiser de l'argent et facilite la gestion du certificatates (expirations/renouvellements) beaucoup plus simples.

Certificat multi-domaine et UCCates utiliser SAN, le champ Nom alternatif du sujet dans le CSR, pour ajouter des domaines supplémentaires au certificatate. La plupart des autorités de certification autorisent jusqu'à 250 SAN différents sur un seul certificatate. Et la plupart des certificats multi-domainesateIls sont livrés avec 2 à 4 SAN gratuits, le reste étant disponible à l'achat selon les besoins.

Certificat SSL Wildcardates

Certificat SSL Wildcardates sont un certificat extrêmement utileate type car ils peuvent chiffrer un nombre illimité de sous-domaines au même niveau de l’URL. Par exemple, si vous avez un site Web qui utilise des sous-domaines tels que :

  • app.website.com
  • portail.site.com
  • utilisateur.site.com

Vous pouvez tous les chiffrer avec le même certificat Wildcardate en utilisant un astérisque dans le champ FQDN de votre CSR : *.website.com

Désormais, n'importe quel sous-domaine, même ceux que vous n'avez pas encore ajoutés, peut être sécurisé avec ce certificatate.

Le certificat Wildcard présente deux inconvénientsatemais c'est vrai. La première est qu’en utilisant la même clé publique sur certains points de terminaison, vous êtes plus vulnérable à certains exploits comme les attaques de Bleichenbacher.

L’autre est qu’il n’y a pas d’option EV Wildcard. En raison de la nature ouverte de la fonctionnalité Wildcard, le browsLes utilisateurs ne sont pas d’accord avec l’idée de leur déléguer ce niveau de confiance. Si vous souhaitez la barre d'adresse EV sur vos sous-domaines, vous devrez les chiffrer individuellement.ally ou utilisez un certificat EV Multi-Domainate.

Wildcard multi-domaine

Un ajout relativement nouveau au SSL/TLS ecossystème, le Multi-Domain Wildcard peut chiffrer jusqu'à 250 domaines différents, mais il peut également utiliser un astérisque dans les champs SAN, ce qui vous permet également de chiffrer 250 domaines différents ET tous les sous-domaines de premier niveau qui les accompagnent.

Un autre cas d'utilisation du caractère générique multi-domaine est un caractère générique à plusieurs niveaux, où il peut crypter des sous-domaines à plusieurs niveaux de l'URL (un caractère générique standard ne peut les chiffrer qu'à un seul niveau).

En raison de la fonctionnalité Wildcard, les Wildcards multi-domaines ne sont pas non plus disponibles dans EV.

SSL/TLS en mouvement

Maintenant que nous avons couvert tous les concepts importants qui composent SSL / TLS et PKI, mettons tout cela ensemble et voyons-le en mouvement.

Validation et émission

Commençons par le début avec un site Web achetant un certificat SSL/TLSate auprès d'une autorité de certification ou d'un revendeur. Après l'achat, le contact organisationnel qui gère le certificatate acquisition createsa Certificatate Requête de signature sur le serveur où se trouve le certificatate sera installé (le serveur qui héberge le site Web).

Parallèlement au CSR, le serveur générera égalementate un public/privéate paire de clés et enregistrez le privéate emplacement de la cléally. Lorsque l'AC reçoit le CSR et la clé publique, elle effectue les étapes de validation requises pour garantir que toute information contenue dans le certificatate est exactate. Génératriceally, pour le certificat d'authentification d'entrepriseates (et non DV), cela implique la recherche des informations d'enregistrement et des archives publiques d'une organisation dans les bases de données gouvernementales.

Une fois la validation terminée, l'AC utilise l'un desate clés d'un de ses certificats émetteursates, typiqueally un intermédiaireate root et signe le certificatate avant de le restituer au propriétaire du site.

Le propriétaire du site Web peut désormais utiliser le certificat SSL/TLS nouvellement émis.ate, installez-le sur leur serveur et configurez le site Web pour établir des connexions HTTPS sur le port 443 (en utilisant des redirections 301 pour envoyer le trafic des pages HTTP préexistantes vers leurs nouveaux homologues HTTPS).

Authentification et prise de contact SSL

Maintenant que le certificat SSL/TLSate est installé et que le site Web a été configuré pour HTTPS, voyons comment cela faciliteraate connexions cryptées avec les visiteurs du site.

En arrivant sur le site, le serveur présentera le certificat SSL/TLSate au b de l'utilisateurrowseuh. L'utilisateur browser effectue ensuite une série de contrôles.

Tout d'abord, ça va être authentiqueate le certificatate en visualisant sa signature numérique et en suivant le certificatate chaîne. Il s'assurera également que le certificatate n'a pas expiré et vérifiez le certificatate Journaux de transparence (CT) et certificatate Revlistes d'emplacements (CRL). À condition que la chaîne renvoie à l'une des racines du magasin de confiance du système et qu'elle soit valide, le browseuh, je ferai confiance au certificatate.

Maintenant, c'est l'heure de la poignée de main.

La prise de contact SSL/TLS est la série d'étapes où le client (utilisateur) et le serveur (site Web) négocientate les paramètres de leur connexion sécurisée, génératriceate puis échangez des clés de session symétriques.

Tout d'abord, ils vont décider d'une suite de chiffrement. Une suite de chiffrement est le groupe d'algorithmes et de chiffrements qui seront utilisés pour la connexion. Le certificat SSL/TLSate fournit une liste des suites de chiffrement prises en charge par le serveur. Génératriceally, une suite de chiffrement comprend une clé publique frcryption, un algorithme de génération de clé, un algorithme d'authentification de message et un algorithme symétrique ou groupécryption, bien qu'il ait été affiné dans TLS 1.3.

Après avoir reçu la liste des chiffrements pris en charge, le client en choisira un agréable et le communiquera.ate au serveur. À partir de là, le client généreraate une clé de session symétrique, la chiffrer à l'aide de la clé publique puis l'envoyer au serveur, qui possède le privilègeate clé nécessaire pour déchiffrer la clé de session.

Une fois que les deux parties ont une copie de la clé de session, la communication peut commencer.

Et c'est SSL / TLS.

Vous pouvez voir comment tous les concepts que nous avons abordés plus tôt interagissent les uns avec les autres pour créerate un sophistiqueatesystème à la fois élégant et élégant pour sécuriser les connexions Internet. Nous utilisons la cryptographie à clé publique pour échanger en toute sécurité les clés de session avec lesquelles nous communiquerons. Le certificatateles s qui affirment l'identité du serveur ou de l'organisation peuvent être fiables en raison de l'infrastructure que nous avons en place entre les différentes autorités de certification, browsers et programmes root.

Et la communication se produit grâce à des relations symétriques et privées.ate clé frcryption qui descend des cryptosystèmes classiques de l’Antiquité.

Il y a beaucoup de pièces mobiles, mais lorsque vous ralentissez et que vous les comprenez toutes individuellement.ally, il est beaucoup plus facile de voir comment tout cela fonctionne ensemble.

Avant de partir, terminons par quelques SSL/TLS-related actions que vous pouvez effectuer après l'installation/configuration pour tirer le meilleur parti de votre investissement.

Après SSL/TLS – Tirer le meilleur parti de votre implémentation

Avoir simplement un certificatate installé et avoir votre site Web configuré correctement ne signifie pas que votre site Web est sécurisé. TLS n'est qu'un élément d'une stratégie de cyberdéfense plus large et holistique.ategy. Mais un élément important néanmoins. Voyons quelques choses que vous pouvez faire pour vous assurer de tirer le meilleur parti de la mise en œuvre.

Disable prise en charge du serveur pour les anciens protocoles

Pour revenir à la conversation que nous avons eue plus tôt sur les suites de chiffrement, une partie de la configuration de votre serveur consiste à décider quelles suites de chiffrement et versions SSL/TLS prendre en charge. Il est impératif que vous disable prise en charge des anciennes versions SSL/TLS ainsi que d'algorithmes spécifiques pour prevvulnérabilité totale à plusieurs exploits connus.

SSL 2.0 et SSL 3.0 ont tous deux plus de 20 ans. La meilleure pratique consistait à déprécierate ils les ont pris en charge il y a des années, mais à ce jour, environ 7 % des 100,000 XNUMX meilleurs Alexa les autorisent toujours. Ceci est dangereux car cela vous expose à des attaques de suppression et de rétrogradation SSL comme POODLE.

TLS 1.0 et TLS 1.1 sont également sur le temps emprunté.

Les grandes entreprises technologiques, Apple, Microsoft, Google et Mozilla, a fait une annonce conjointe cet automne selon laquelle ilsate prise en charge de TLS 1.0 et 1.1 début 2020.

Les versions de protocole sont sensibles à des vulnérabilités telles que POODLE, FREAK, BEAST et CRIME (ce sont tous des acronymes). TLS 1.2 existe depuis dix ans et devrait être la norme. TLS 1.3 a été finalisée l'été dernier et l'adoption progresse à un rythme soutenu depuis.

Additionally, il existe des algorithmes spécifiques qui ne doivent pas non plus être utilisés. Le DES, par exemple, peut être interrompu en quelques heures. RC4 est plus vulnérable qu'on ne le croyait autrefois et a déjà été interdit par les normes de sécurité des données de l'industrie des cartes de paiement. Et finally, étant donné les nouvelles des exploits récents, ce n'est pas conseillésable d'utiliser RSA pour l'échange de clés.

Algorithmes / chiffrements suggérés:

  • Échange de clés: Elliptic Curve Diffie-Helman (ECDH)
  • Authentification: algorithme de signature numérique à courbe elliptique (ECDSA)
  • Symétrique/Bulk Frcryption : AES 256 en mode compteur Galois (AES256-GCM)
  • Algorithme MAC: SHA-2 (SHA384)

SSL toujours activé

Dans le passé, les sites Web n'avaient parfois que migréated les pages Web qui collectent des informations via HTTPS, tout en desservant le reste du site via HTTP. C'est une mauvaise pratique.

En plus du fait que Google marquera ces pages comme « Non sécurisées », vous êtes également potentiellementally exposer les visiteurs de votre site à des risques en faisant en sorte que leur browsLes utilisateurs font des allers-retours entre les pages cryptées et celles HTTP.

Vous devez configurer l'intégralité de votre site Web pour HTTPS. C'est ce qu'on appelle SSL permanent. Après tout, ce n'est pas comme si vous payiez à la page, votre certificat SSL/TLSate peut chiffrer l’intégralité de votre site. Alors faites-en ainsi.

Créer un certificatate Dossier d'autorisation d'autorité (CAA)

L'un des risques les plus importants posés par le certificat numériqueates, en général, est une mauvaise émission. Si une partie autre que vous reçoit un certificat SSL/TLSate pour VOTRE site Web, ils peuvent effectivement usurper l'identitéate vous et causer toutes sortes de problèmes.

Les dossiers de la CAA aident à atténuerate ce risque en limitant ce que Certificate Les autorités peuvent délivrer un certificat numériqueates pour votre site Web. Certificatate Les autorisations sont requises par le CA/Browser Forum pour vérifier les dossiers de la CAA avant de délivrer un certificatate. Si l'autorité de certification n'a pas l'autorisation de délivrer pour ce site, elle ne le peut pas. Cela serait considéré comme un échec d'émission et susciterait la colère du b.rowscommunauté.

L'ajout d'un enregistrement CAA est relativement simple, c'est un simple enregistrement DNS qui peut être ajouté via l'interface de la plupart des hébergements. platformes. Vous pouvez restreindre les autorités de certification susceptibles d'être émises pour votre domaine, ainsi que si les certificats WildcardateDes s peuvent également être délivrés pour cela.

Ajoutez votre site Web à la liste de préchargement HSTS

HTTP Strict Transport Security, ou HSTS, est un en-tête HTTP qui force browsers uniquement pour établir des connexions HTTPS avec un site donné. De cette façon, même si l’internaute essaie d’accéder à la version HTTP de la page, il finira par visiter uniquement la version HTTPS. C'est important parce que cela ferme le window sur plusieurs exploits connus, comme les attaques de rétrogradation et le détournement de cookies.

Unfortunately, il reste un petit vecteur d'attaque avec HSTS, c'est pourquoi vous devez ajouter votre site Web à la liste de préchargement. Typiqueally, lorsqu'un visiteur arrive sur votre site Web, son browser téléchargera l’en-tête HTTP, puis le respectera aussi longtemps que la politique a été définie pour durer. Mais lors de cette toute première visite, avant que la tête ne soit reçue, il reste encore une petite ouverture pour un attaquant.

La liste des enregistrements de préchargement HSTS est gérée par Google et certaines variantes de celle-ci sont utilisées par tous les principaux b.rowseuh. Ceux browsLes utilisateurs savent uniquement se connecter via HTTPS à n'importe quel site Web figurant sur la liste, même s'il n'y a jamais été visité auparavant. Cela peut prendre une semaine ou deux pour que votre site apparaisse sur la liste en raison du fait que la mise à jourates à la liste sont poussés en conjonction avec le browsles horaires de sortie des utilisateurs.

Vous pouvez vous référer au guide d'implémentation suivant.

Comment implémenter SSL dans Apache Tomcat?

Comment mettre en œuvre un ZeroCertificat SSLate dans Apache et Nginx ?

Comment implémenter SSL dans WordPress sur l'hébergement partagé, cloud?

FAQ SSL/TLS

Qu'est-ce qu'un certificat X.509ate?

X.509 fait référence au type de certificat numériqueate qui est utilisé avec SSL/TLS et d’autres types de PKI. X.509 est une clé publique frcryption norme. Occasionally vous verrez que les entreprises utilisent le certificat X.509ate à la place du « certificat numérique »ate' ou 'Certificat PKIate.

Pourquoi le certificat SSL/TLSateexpire-t-il ?

Il y a deux raisons à cela.

La première est qu'Internet est continually changer, les sites Web apparaissent et les sites Web disparaissent. Et étant donné la sensibilité du browsLes utilisateurs veulent faire confiance à ces certificatsates en premier lieu, ils veulent savoir que les sites Internet présentant le certificatateLes s font l'objet de validations régulières. Ce n'est pas si différent de la façon dont tu occasionnesally je dois m'enregistrer pour mettre à jourate les informations figurant sur votre permis de conduire.

L'autre raison est plus technique. C'est plus difficile de proliférerate updates et modifications techniques lorsque certifiéateLes s n'expirent pas avant 3 à 5 ans. Alors que, si le certificatates expire tous les 24 mois, le certificat le plus longate pourrait être hors date est de deux ans. En 2017, la validité maximale a été réduite de trois à deux ans. Cette durée sera probablement réduite à 12 mois sous peu.

Comment renouveler un certificat SSL/TLSate?

Le renouvellement peut être un bit d'un terme abusif car vous remplacez l'ancien certificatate avec un nouveau émis. Faire cela régulièrement vous permet de rester au courantate avec de nouvelles avancées avec frcryption technologie et garantit que vos informations de validation restent à jourate. Les autorités de certification peuvent uniquement réutiliser les informations de validation initiales.ally fournis pendant si longtemps avant que les exigences de base ne les obligent à revaliderate le

Lors du renouvellement, vous pouvez soit conserver le même certificatate tapez que vous aviez auparavant, ou vous pouvez opter pour quelque chose de nouveau, vous pouvez même changer d'autorité de certification. Le plus important est le temps qu'il vous reste sur le certificat qui arrive à expiration.ate... vous pouvez reporter jusqu'à trois mois. A condition de renouveler avant le certificatate expire, vous pouvez reporter le temps restant et réutiliser toutes les informations de validation qui n'ont pas expiré depuis votre dernière validation. Si vous le laissez expirer, vous repartez de zéro.

Qu'est-ce que HTTPS? Inspection?

De nombreuses grandes entreprises dotées de réseaux plus étendus aiment avoir une visibilité sur leur trafic. À cet égard, HTTPS est une arme à double tranchant. Il protège la vie privée des gens, mais il peut également aider les cybercriminels à se cacher. De nombreuses organisations décryptent leur trafic HTTPS sur un périphérique périphérique ou intermédiaire.box puis soit l'envoyer en texte brut derrière leur pare-feu, soit le recrypter et l'envoyer à sa destination. Lorsque vous ne chiffrez pas à nouveau le trafic, cela s'appelle la terminaison SSL. Lorsque vous rechiffrez, cela s'appelle un pontage SSL.

Qu'est-ce que le déchargement SSL?

Le déchargement SSL est une autre entrepriserise pratique. À grande échelle, effectuer des milliers de poignées de main, puis chiffrer et déchiffrer toutes ces données peut peser sur les ressources d'un réseau. Ainsi, de nombreux réseaux plus grands déchargeront les fonctions SSL sur un autre appareil afin que le serveur d'applications puisse se concentrer sur ses tâches principales. Ceci est parfois appelé équilibrage de charge.

Pourquoi mon CA m'a-t-il envoyé un intermédiaireate certificatate?

Vous vous souvenez plus tôt lorsque nous avons discuté des programmes root?

Very OS dispose d'un magasin racine qu'il utilise pour effectuer des jugements de confiance PKI. Mais les autorités de certification ne délivrent pas de certificat d'utilisateur finalates'éloigne de ces racines par peur de ce qui se passerait si jamais on devait être revok. Au lieu de cela, ils créent des intermédiaires.ate racines et émettent celles-ci. Le problème, ce sont ces intermédiairesate les racines ne résident pas dans le magasin de confiance d'un système.

Ainsi, si le site ne présente pas les intermédiairesate certificatate avec le certificat feuille SSL/TLSate, beaucoup de browsles utilisateurs ne pourront pas remplir le certificatate chaîne et émettra un avertissement. Certains browsles gens font du cache intermédiaireate certificatates, mais il est toujours considéré comme une bonne pratique d'installer des intermédiairesates avec votre certificat de feuilleate.

De quelle documentation ai-je besoin pour un certificat SSL à validation étendueate?

Dans la plupart des cas, le certificatate L’autorité effectuant la validation étendue tentera d’abord d’accéder aux informations via des ressources « d’autorité gouvernementale » accessibles au public.

Cependant, dans certains endroits, cela pourrait ne pas être possible. Il y a cependant quelques éléments qui peuvent aider à accélérer la validation. Bien que le nombre de contrôles de validation qu'une lettre d'opinion professionnelle puisse satisfaire ait été réduit récemment, avoir un avocat ou un comptable en bonne et due formeanding sign on peut encore aider considérablement.

Additionally, vous pouvez fournir un titre professionnel délivré par le gouvernement ou « Proof de droit » qui donne à votre organisation le droit de faire des affaires sous le nom indiqué. Voici quelques exemples de ces documents :

  • Articles d'incorporation
  • Certificatsates de Formation
  • Licences entreprise / fournisseur / commerçant
  • Documents de la charte
  • Accords de partenariat
  • Enregistrement du commerce ou du nom présumé
  • Registre du commerce

Discours de clôture

J'espère que cela vous donne une idée de SSL / TLS. Si vous souhaitez en savoir plus, je vous recommande suivre ce cours en ligne.

Cet article a été rédigé par Patrick Nohe, rédacteur en chef de Haché par le magasin SSL, un blog couvrant l'actualité et les tendances de la cybersécurité.

Partager sur:
  • Equipe de rédaction
    Auteur
    Une équipe d'experts à Geekflare c'est la passionately dévouéated au partage de contenu exploitable, à l'offre d'informations et à la fourniture de conseils personnalisés pour aider les particuliers et les entreprises à prospérer dans un monde numérique.

Merci à nos commanditaires

Plus de bonnes lectures sur la sécurité

Plan-de-gestion-de-crise-RP-geekflare
Gestion de crise en matière de relations publiques : comment protéger votre marque dans un monde 24h/7 et XNUMXj/XNUMX

Vous n'avez toujours pas de plan de gestion de crise en matière de relations publiques ? Que vous soyez une nouvelle entreprise qui démarre ou une entreprise plus ancienne qui redéfinit ses politiques, vous êtes sûr de rencontrer une crise de relations publiques un jour ou l'autre. Ne pas être préparé ne fera qu’aggraver votre réputation dans la sphère publique et causer encore plus de dégâts.

Alimentez votre entreprise

Certains des outils et services pour aider votre entreprise grow.
  • L'outil de synthèse vocale qui utilise l'IA pour générerate des voix humaines réalistes.

    Essayez Murf AI
  • Web scraping, proxy résidentiel, proxy manager, web unlocker, moteur de recherche et tout ce dont vous avez besoin pour collecter des données Web.

    Essayez Brightdata
  • Monday.com est un système d'exploitation de travail tout-en-un pour vous aider à gérer les projets, les tâches, le travail, les ventes, le CRM, les opérations, workflowset plus encore.

    Essayez Monday
  • Intruder est un scanner de vulnérabilités en ligne qui détecte les failles de cybersécurité de votre infrastructure, afin d'éviter des violations de données coûteuses.

    Essayez Intruder