protocoles sécurisées

« CHAPITRE 5 : Protocoles sécurisés La plupart des protocoles de la pile TCP/IP ne sont pas sécurisés : c'est-à-dire que les données transitent en clair sur le réseau.

Ainsi, des protocoles de plus haut niveau, dits ‘protocoles sécurisés’ ont été mis au point afin d’encapsuler les messages dans les paquets de données chiffrées. 5.1 Protocole SSL (Secure Socket Layer): C’est un protocole destine à assurer la sécurisation des échanges de données sur Internet.

Il est indépendant du protocole de niveau applicatif.

Ce qui signifie qu’il permet de chiffrer et d’authentifier différents types de protocoles.

Le plus connu d’entre eux est évidemment http qui devient HTTPS une fois sécurisé par SSL. 5.1.2 Les fonctions de SSL :  La confidentialité des données échangées en chiffrant la communication.  L’authentification du serveur avec la présentation de son certificat signé par une autorité de certification.  L’intégrité des données.  Optionnellement, l’authentification du client par certificat. 5.1.3 Fonctionnement de SSL : SSL repose sur une infrastructure à clé publique et se base sur la gestion de certificats et la reconnaissance d’autorité de certification. La mise en œuvre du protocole SSL débute par une phase de négociation pendant laquelle les parties se présentent (présentent leur certificat respectif ou au moins le certificat du serveur et éventuellement celui du client également).

Puis intervient la négociation des protocoles de chiffrement et d’authentification à mettre en place.

Enfin, la génération des clés de sessions est assurée de manière à chiffrer les échanges à venir. Une URL correspondant à un site sécurisé par SSL se préfixe avec https://....

Cette session sécurisée se reconnait dans la majorité des navigateurs à la présence d’un petit cadenas. 5.1.4 Surveillez les alertes SSL : Un serveur HTTPS correctement configuré et disposant d’un certificat valide ne devrait pas normalement pas présenter d’avertissement SSL.

S’il le fait c’est sans doute qu’il y a un problème quelconque. Il existe en fait trois raisons différentes possibles à l’émission d’une alerte SLL :  L’autorité de certification qui a signé le certificat n’est pas reconnue par le client comme étant une autorité de certification valide.  On ne se situe pas dans la période de validité du certificat présenté.  Le nom auquel a été attribué le certificat ne correspond pas au nom que nous avons écrit dans l’URL du serveur. Éviter ces pièges courants : en procédant à la sécurisation de votre site à l'aide du protocole TLS, évitez les erreurs suivantes : Problème Action Certificats expirés Assurez-vous que votre certificat est toujours à jour. Certificat enregistré pour Vérifiez que vous avez obtenu un certificat pour tous les noms un nom de site incorrect d'hôte utilisés par votre site.

Par exemple, si votre certificat ne couvre que www.example.com, un visiteur qui accède à votre site en utilisant seulement example.com (sans le préfixe "www.") sera bloqué par une erreur de correspondance de nom de certificat. Non-compatibilité avec Assurez-vous que votre serveur Web accepte la SNI et que votre l'Indication du nom du audience utilise des navigateurs compatibles de manière générale. serveur (Server name SNI est supportée par tous les navigateurs modernes.

Cependant, indication, SNI) vous aurez besoin d'une adresse IP dédiée si vous devez accepter des navigateurs plus anciens. Problèmes d'indexation Autorisez autant que possible l'indexation de vos pages par les moteurs de recherche. Anciennes versions du Les anciennes versions du protocole sont vulnérables.

Assurezprotocole vous que vous utilisez les versions les plus récentes des bibliothèques TLS, et mettez en œuvre les dernières versions du protocole. Éléments de sécurité Intégrez uniquement du contenu HTTPS sur les pages HTTPS. mélangés Contenu différent sur le Assurez-vous que le contenu de vos sites HTTP et HTTPS est le HTTP et le HTTPS même. Erreurs de code d'état Vérifiez que votre site renvoie le bon code d'état HTTP.

Par HTTP sur le HTTPS exemple, 200 (OK) pour les pages accessibles, ou 404 ou 410 pour les pages qui n'existent pas. 5.1.5 configurer un Service HTTPS dans IIS : 5.1.5.1 Configuration de votre serveur Web pour SSL : Pour activer SSL dans IIS, il faut d'abord obtenir un certificat qui est utilisé pour chiffrer et déchiffrer les informations qui sont transférées sur le réseau.

IIS inclut son propre outil de demande de certificat que vous pouvez utiliser pour envoyer une demande de certificat à une autorité de certification.

Si vous utilisez Apache, vous devez obtenir le certificat manuellement.

Dans les services IIS et Apache, vous recevez un fichier de certificat de l’autorité de certification, vous devez configurer sur l’ordinateur.

Apache lit le certificat à partir de son fichier source à l’aide de la directive SSLCACertificateFile.

Toutefois, dans IIS, vous pouvez configurer et gérer des certificats à l’aide de l’onglet Sécurité du répertoire du site Web ou des propriétés de dossier. 5.1.5.2 Configurer le dossier ou le Site Web pour utiliser SSL/HTTPS Cette procédure suppose que votre site dispose déjà d'un certificat qui lui est assigné. 1. Ouvrez une session sur l’ordinateur serveur Web en tant qu’administrateur. 2. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Panneau de configuration. 3. Double-cliquez sur Outils d'administration, puis double-cliquez sur Gestionnaire des Services Internet. 4. Dans la liste des différents sites servis dans le volet gauche, sélectionnez le site Web. 5. Cliquez droit sur le site Web, le dossier ou le fichier pour lequel vous souhaitez configurer des communications SSL, puis cliquez sur Propriétés. 6. Cliquez sur l’onglet Sécurité de répertoire . 7. 8. Cliquez sur Modifier. Si vous souhaitez que le site Web, le dossier ou le fichier exige des communications SSL, cliquez sur exiger canal sécurisé (SSL) . 9. Cliquez sur cryptage requièrent de 128 bits pour configurer 128-bit (40 bits) prise en charge du cryptage. 10.

Pour permettre aux utilisateurs de se connecter sans fournir leurs propres certificats, cliquez sur Ignorer les certificats clients.

Vous pouvez également, pour permettre à un utilisateur de fournir son propre certificat, utiliser accepter les certificats clients. 11.

Pour configurer le mappage client, cliquez sur Activer le mappage de certificat client, puis cliquez sur Modifier pour mapper des certificats clients à des utilisateurs.

Si vous configurez cette fonctionnalité, vous pouvez mapper des certificats clients à des utilisateurs individuels dans Active Directory.

Vous pouvez utiliser cette fonctionnalité pour identifier automatiquement un utilisateur en fonction du certificat qu’ils fournis lorsqu’ils accèdent au site Web.

Vous pouvez mapper les utilisateurs aux certificats sur une base individuelle (un certificat qui identifie un utilisateur) ou vous pouvez mapper de nombreux certificats à un seul utilisateur (une liste de certificats est mis en correspondance avec un utilisateur spécifique en fonction de règles spécifiques.

La première correspondance valide devient la mise en correspondance). 12.

Cliquez sur OK. Appliquer les connexions SSL Maintenant que le certificat de serveur est installé, vous pouvez appliquer les communications par canal sécurisé SSL avec les clients du serveur web.

Tout d'abord, vous devez activer le port 443 pour établir des communications sécurisées avec le site web.

Pour cela, procédez comme suit : 1. Dans la console de gestion de l'ordinateur, cliquez avec le bouton droit sur le site web sur lequel vous souhaitez appliquer le protocole SSL, puis cliquez sur Propriétés. 2. Cliquez sur l'onglet Site web.

Dans la section Identification du site Web, vérifiez que le champ Port SSL contient la valeur numérique 443. 3. Cliquez sur Options avancées.

Vous devriez voir deux champs.

L'adresse IP et le port du site Web doivent déjà figurer dans le champ Identités multiples pour ce site Web.

Sous le champ Identités SSL multiples pour ce site Web, cliquez sur Ajouter si le port 443 n'est pas déjà répertorié.

Sélectionnez l'adresse IP du serveur et tapez la valeur numérique 443 dans le champ Port SSL.

Cliquez sur OK. Maintenant que le port 443 est activé, vous pouvez appliquer les connexions SSL.

Pour cela, procédez comme suit : 1. Cliquez sur l'onglet Sécurité de répertoire.

Dans la section Communications sécurisées, notez que Modifier est maintenant disponible.

Cliquez sur Modifier. 2. Sélectionnez Requérir un canal sécurisé (SSL).REMARQUE : Si vous spécifiez un cryptage 128 bits, les clients qui utilisent un navigateur avec une puissance de 40 ou 56 bits ne pourront.... »