Академический Документы
Профессиональный Документы
Культура Документы
Il y a très peu de différences entre SSL version 3 et TLS version 1 (qui correspond à
la version 3.1 du protocole SSL) rendant les deux protocoles non interopérables,
mais TLS a mis en place un mécanisme de compatibilité ascendante avec SSL. En
outre, TLS diffère de SSL pour la génération des clés symétriques. Cette génération
est plus sécurisée dans TLS que dans SSLv3 dans la mesure où aucune étape de
l'algorithme ne repose uniquement sur MD5 pour lequel sont apparues des
faiblesses en cryptanalyse.
Par abus de langage, on parle de SSL pour désigner indifféremment SSL ou TLS.
• l'authentification du serveur
• la confidentialité des données échangées (ou session chiffrée)
• l'intégrité des données échangées
• de manière optionnelle, l'authentification ou l'authentification forte du client
avec l'utilisation d'un certificat numérique
• la spontanéité, c.-à-d. qu'un client peut se connecter de façon transparente à
un serveur auquel il se connecte pour la première fois
• la transparence, qui a contribué certainement à sa popularité. Du fait que les
protocoles de la couche d'application n'aient pas à être modifiés pour utiliser
une connexion sécurisée par TLS. Par exemple, le protocole HTTP est
identique, que l'on se connecte à un schème http ou https.
Dans la majorité des cas, l'utilisateur authentifie le serveur TLS sur lequel il se
connecte. Cette authentification est réalisée par l'utilisation d'un certificat numérique
X.509 délivré par une autorité de certification (AC). Mais de plus en plus
d'applications web utilisent maintenant l'authentification du poste client en exploitant
TLS. Il est alors possible d'offrir une authentification mutuelle entre le client et le
serveur. Le certificat client peut être stocké au format logiciel sur le poste client ou au
format matériel (carte à puce, token USB) pour augmenter la sécurité du lien TLS.
Cette solution permet d'offrir des mécanismes d'authentification forte.
Texte de Référence
• Transport Layer Security version française simplifié
• Transport Layer Security version anglaise plus complète
• Certificat numérique
• Certificat SSL Howto
• Les certificats
• X.509 : La norme régissant les certificats (version française simplifié)
• X.509 (version anglaise plus complète)
Principe de fonctionnement
Pour faire simple, le protocole SSL (et maintenant TLS) repose essentiellement sur 2
mécanismes :
Habilitation
SSL nous donne comme moyen la hiérarchie des certificats. Les certificats clients
sont tous issue d'un certificat de niveau intermédiaire, permettant de filtrer par
rapport à ce certificat.
Dans notre infrastructure classique, le SSL est décrypter par les load-balancer F5,
puis nous sommes en HTTP des RPF jusqu'aux WebLogic. Si nous avons besoin
d'information en provenance des certificats clients utilisés, les load-balancer sont
capable de rajouter dans un header HTTP l'information dont nous avons besoin.
Le problème de l'habilitation telle que possible via SSLv3 réside dans sa
complexité de gestion sur le long terme, et le fait que ce ne soit pas très souple
(habilitation de l'ensemble des certificats issue de la chaine de certificat du serveur,
et pas seulement le certificat de niveau intermédiaire).
• soit faire
l'habilitation a
d'un RPF blac
• soit au nivea
applicatif
• par liste blan
certificats clie
le load-balanc
complexifiant
phase de
renouvelleme
last update