Protocole utilisé pour sécuriser

Sécuriser les flux d’échange de données par l’utilisation de TLS : obtenir des certificats aux niveaux adaptés (domaine, organisation ou étendu) auprès d’une autorité de certification et les gérer de manière adéquate ; mettre en œuvre le protocole TLS (en remplacement de SSL) sur tous les sites web, en utilisant uniquement les versions les plus récentes et en vérifiant sa bonne mise en œuvre ; rendre l’utilisation de TLS obligatoire pour toutes les pages d’authentification ou sur lesquelles sont affichées ou transmises des données personnelles.

Si l’accès à un serveur web passe uniquement par HTTPS, il faut autoriser uniquement les flux réseau IP entrants sur cette machine sur le port 443 et bloquer tous les autres ports.

Utiliser des services non sécurisés (ex. :authentification en clair, flux en clair).

L’ANSSI a publié sur son site des recommandations spécifiques pour mettre en œuvre TLS ou pour sécuriser un site web.

Les protocoles de communication ont un mode de fonctionnement distinct. Ces distinctions se sont développées au fil du temps, au fur et à mesure de l'évolution du protocole SSL avant son remplacement par le protocole TLS.

Un établissement de liaison est un processus au cours duquel un navigateur authentifie le certificat SSL ou TLS d'un serveur. Ce processus authentifie les deux parties, puis échange des clés cryptographiques. Un établissement de liaison SSL était une connexion explicite, tandis qu'un établissement de liaison TLS est une connexion implicite. Le processus d'établissement de liaison SSL comportait plus d'étapes que le processus TLS. En supprimant des étapes supplémentaires et en réduisant le nombre total de suites de chiffrement, le protocole TLS a accéléré le processus.

Les messages d'alerte permettent aux protocoles SSL et TLS de communiquer les erreurs et les avertissements. Dans SSL, il n'existe que deux types de messages d'alerte : les alertes d'avertissement et les alertes fatales. Une alerte d'avertissement indique qu'une erreur est survenue, mais que la connexion peut continuer. Une alerte fatale indique que la connexion doit être interrompue immédiatement. De plus, les messages d'alerte SSL ne sont pas chiffrés. Le protocole TLS est doté d'un type de message d'alerte supplémentaire, appelé close_notify, qui signale la fin de la session. Les alertes TLS sont également chiffrées pour plus de sécurité.

Les protocoles SSL et TLS utilisent tous deux des codes d'authentification des messages (MAC, message authentication codes), une technique cryptographique permettant de vérifier l'authenticité et l'intégrité des messages. À l'aide d'une clé secrète, le protocole d'enregistrement génère le code MAC sous la forme d'un code de longueur fixe et l'attache au message d'origine. Le protocole SSL utilise l'algorithme MD5 (désormais obsolète) pour la génération de codes MAC. Le protocole TLS utilise le code d'authentification de message utilisant hash (HMAC) pour une cryptographie et une sécurité plus complexes.

Une suite de chiffrement est un ensemble d'algorithmes qui créent des clés pour chiffrer des informations entre un navigateur et un serveur. En général, une suite de chiffrement inclut un algorithme d'échange de clés, un algorithme de validation, un algorithme de chiffrement en bloc et un algorithme MAC. Plusieurs algorithmes du protocole TLS ont été mis à niveau à partir de SSL pour des raisons de sécurité.

SSL est l’abréviation de Secure Sockets Layer (couche de sockets sécurisée). Il s’agit d’un protocole de sécurité qui crypte les communications entre un serveur web et un client, tel qu’un navigateur web.

Le protocole SSL a été introduit pour la première fois dans les années 1990, mais au fil du temps, il a évolué vers son successeur, le protocole TLS (Transport Layer Security), qui est encore utilisé aujourd’hui pour sécuriser les communications sur le web.

SSL fonctionne en créant une connexion cryptée entre un client et un serveur.

Le protocole HTTP n’est pas sécurisé et n’offre ni cryptage ni authentification. C’est pour remédier à cette situation que le protocole HTTPS a été mis au point.

HTTPS fonctionne de la même manière que HTTP, mais il ajoute le cryptage et l’authentification à la communication, la rendant ainsi sécurisée.

Fondamentalement, HTTPS est une combinaison du protocole de transfert hypertexte (HTTP) avec un certificat SSL ou TLS.

SSL (et TLS) est un protocole de sécurité qui assure le cryptage et l’authentification des communications internet.

HTTPS utilise SSL (ou TLS) pour crypter les données transmises et vérifier l’identité du serveur.