Geekly articles weekly

TLS et certificats Web

Bonjour à tous!

Et ici, nous avons lancé avec des glanders tranquilles l'un des cours les plus inhabituels pour nous - «Signature numérique en sécurité de l'information» . Malgré tout, nous avons en quelque sorte réussi et nous avons fait participer les gens, voyons ce qui se passe. Aujourd'hui, nous allons jeter un œil aux informations intéressantes restantes et voir brièvement comment TLS fonctionne et quelle est la différence entre les certificats Web de confiance et de confiance.

Traduction - dzone.com/articles/a-look-at-tls-transport-layer-security
Publié par Arun Pandey

TLS - abréviation de Transport Layer Security (Transport Layer Security Protocol), basé sur SSL. Comme son nom l'indique, il s'agit d'un protocole opérant au niveau du transport.
Comme vous le savez, la sécurité des communications est un casse-tête très courant, mais la mise en œuvre correcte de TLS peut faire passer la sécurité Web à un nouveau niveau. Dans un environnement avec TLS intégré, un attaquant peut obtenir des informations sur l'hôte auquel vous essayez de vous connecter, savoir à quel cryptage est utilisé, vous déconnecter, mais vous ne pouvez rien faire d'autre que cela.

Presque tous les protocoles de communication comportent trois parties principales: le chiffrement des données, l'authentification et l'intégrité des données.

Dans ce protocole, les données peuvent être cryptées de deux manières: à l'aide du Public Key Cryptosystem ou du Symmetric Cryptosystem. Un cryptosystème à clé publique, en tant qu'implémentation, est plus parfait que les cryptosystèmes symétriques.



Présentation des cryptosystèmes à clé publique et des cryptosystèmes symétriques

Le cryptosystème à clé publique, un type de chiffrement asymétrique, utilise une clé publique-privée. Ainsi, la clé publique B est utilisée pour chiffrer les données A (B a partagé la clé publique avec A), et après avoir reçu les données chiffrées, B les déchiffre en utilisant sa propre clé privée.

Les systèmes de cryptage symétriques utilisent la même clé pour le déchiffrement et le chiffrement, donc A et B auront la même clé secrète. Et c'est un gros inconvénient.

Voyons maintenant comment l'authentification fonctionne dans TLS. Pour vérifier l'authenticité de l'expéditeur du message et fournir au destinataire les moyens de crypter la réponse, l'authentification peut être réalisée à l'aide de certificats numériques. Les systèmes d'exploitation et les navigateurs conservent des listes de certificats de confiance qu'ils peuvent confirmer.

Trusted vs. Certificats non approuvés

Les certificats numériques se divisent en deux catégories. Les certificats approuvés sont signés par une autorité de certification (CA), tandis que les certificats non approuvés sont auto-signés.

Certificats de confiance

Les certificats approuvés se trouvent dans un navigateur Web et sont signés par CA. Cela est nécessaire pour garantir le plus haut niveau de fiabilité. Supposons que le site «xyz.com» souhaite recevoir un certificat numérique de confiance du célèbre centre de certification «Comodo».
Les étapes seront les suivantes:

  • Créez un serveur Web pour l'application: xyz.com;
  • Créer une paire de clés privées (clé publique-privée) en utilisant le cryptage à clé publique (en raison de sa fiabilité);
  • Générer une demande de signature de certificat (CSR pour faire court) pour une autorité de certification, dans mon cas, Comodo. Sur disque, le fichier peut s'appeler «certreq.txt»;
  • Appliquer au centre de certification, y inclure la RSE;
  • Le centre de certification (Comodo dans mon cas) vérifiera votre demande, y compris la clé publique-privée;
  • Si tout est en ordre, le centre de certification signera la demande en utilisant sa propre clé privée;
  • Le centre enverra un certificat à installer sur le serveur Web;
  • Tout est prêt!

Certificats non approuvés

Un certificat non approuvé est signé par le propriétaire du site. Cette méthode convient si les problèmes de fiabilité ne sont pas pertinents.
Notez qu'il n'est pas habituel d'utiliser un certificat non approuvé dans une implémentation TLS.

Fonctionnement du remplacement de certificat TLS

  • Ouvrez l'adresse «xyz.com» dans le navigateur;
  • Le serveur Web reçoit la demande;
  • Le serveur Web en réponse à la demande envoie un certificat;
  • Un navigateur Web évalue la réponse et vérifie le certificat;
  • Au cours du processus de validation, le navigateur Web constate que le certificat est signé par le Centre Comodo;
  • Un navigateur Web vérifie la base de données de certificats (par exemple, IE -> Options Internet -> contenu -> certificat) pour un certificat Comodo;
  • Une fois localisé, le navigateur Web utilise la clé publique Comodo pour vérifier le certificat envoyé par le serveur Web;
  • Si la validation réussit, le navigateur considère que cette connexion est sûre.

LA FIN

Comme d'habitude, nous attendons les questions et commentaires.

Source: https://habr.com/ru/post/fr431242/

More articles:


All Articles