Phenquestions
Bienvenue dans le guide du débutant sur TLS et SSL. Nous allons approfondir les applications de la cartographie asymétrique ou à clé publique.
Qu'est-ce que la cryptographie asymétrique?
La cryptographie à clé publique a été introduite au début des années 1970. Avec elle est venue l'idée qu'au lieu d'utiliser une seule clé pour crypter et décrypter une information, deux clés distinctes devraient être utilisées : le cryptage et le décryptage. Cela signifie que la clé utilisée pour crypter les informations n'est pas pertinente pour la question du décryptage de ces informations. Il est également connu sous le nom de cryptographie asymétrique.
Il s'agit d'un nouveau concept, et l'approfondir nécessiterait l'utilisation d'un calcul très complexe, nous garderons donc cette discussion pour une autre fois.
Que sont TLS et SSL?
TLS signifie Transport Layer Security, tandis que SSL est l'abréviation de Secure Socket Layer. Les deux sont des applications de cryptographie à clé publique et, ensemble, elles ont permis aux internautes d'effectuer des communications sur Internet.
Ce que sont exactement ces deux-là est expliqué ci-dessous.
En quoi TLS est-il différent de SSL?
TLS et SSL utilisent tous deux l'approche asymétrique du cryptage pour sécuriser les communications sur Internet (poignées de main). La principale différence entre les deux est que SSL est le résultat d'une innovation commerciale, et donc d'une propriété de sa société mère, Netscape. En revanche, TLS est un Internet Engineering Task Force Standard, une version légèrement mise à jour de SSL. Il a été nommé différemment pour éviter les problèmes de droit d'auteur et potentiellement un procès.
Pour être précis, TLS est livré avec certains attributs qui le séparent de SSL. En TSL, les poignées de main sont établies sans sécurité et sont renforcées par la commande STARTTLS, ce qui n'est pas le cas en SSL.
TSL est considéré comme une amélioration par rapport à SSL car il permet aux poignées de main qui sont généralement dangereuses ou non sécurisées d'être mises à niveau vers un statut sécurisé.
Ce qui rend les connexions TLS plus sûres que SSL?
Il y a eu une concurrence intense sur les marchés de la sécurité informatique. SSL 3.0 ne pouvait pas suivre Internet et est devenu obsolète en 2015. Il y a plusieurs raisons à cela, principalement liées aux vulnérabilités qui n'auraient pas pu être corrigées. L'une de ces susceptibilités est la compatibilité de SSL avec des chiffrements capables de résister aux cyberattaques modernes.
La vulnérabilité reste avec TLS 1.0, car un intrus pourrait forcer un SSL 3.0 connexion sur le client puis exploiter sa vulnérabilité. Ce n'est plus le cas avec la nouvelle mise à niveau de TLS.
Quelles mesures pouvons-nous prendre?
Si vous êtes du côté de la réception, gardez simplement votre navigateur à jour. De nos jours, tous les navigateurs sont livrés avec un support intégré pour TLS 1.2, c'est pourquoi le maintien de la sécurité n'est pas si difficile pour les clients. Cependant, les utilisateurs doivent toujours prendre des précautions lorsqu'ils voient des drapeaux rouges. Pratiquement tous les messages d'avertissement de vos navigateurs pointent vers de tels drapeaux rouges. Les navigateurs Web modernes sont exceptionnels pour détecter si quelque chose de louche se passe sur un site Web.
Les administrateurs de serveurs hébergeant des sites Web ont de plus grandes responsabilités sur leurs épaules. Vous pouvez faire beaucoup à cet égard, mais commençons à afficher un message lorsqu'un client utilise un logiciel obsolète.
Par exemple, ceux qui utilisent des machines Apache comme serveurs devraient essayer ceci :
$ SSLOptions +StdEnvVars$ RequestHeader défini X-SSL-Protocol %SSL_PROTOCOLs
$ RequestHeader défini X-SSL-Cipher %SSL_CIPHERs
Si vous utilisez PHP, recherchez $_SERVER dans le script. Si vous rencontrez quelque chose qui indique que TLS est obsolète, un message s'affichera en conséquence.
Pour mieux renforcer la sécurité de votre serveur, il existe des utilitaires gratuits qui testent le système pour les susceptibilités aux lacunes TLS et SSL. Certains d'entre eux peuvent encore mieux configurer votre serveur. Si vous aimez cette idée, consultez Mozilla SSL Configuration Generator, qui fait essentiellement tout le travail pour vous de configurer votre serveur pour minimiser les risques TLS et autres.
Si vous souhaitez tester votre serveur pour les susceptibilités SSL, consultez Qualys SSL Labs. Il exécute une configuration automatisée qui est à la fois complète et complexe si vous êtes soucieux des détails.
En résumé
Tout bien considéré, le poids de la responsabilité repose sur les épaules de tous.
Avec l'avènement des ordinateurs et des techniques modernes, les cyberattaques sont devenues de plus en plus percutantes et à grande échelle avec le temps. Tous les internautes doivent avoir une connaissance adéquate des systèmes protégeant leur vie privée en ligne et prendre les précautions nécessaires lors de la communication sur Internet.
Dans tous les cas, il vaut toujours mieux utiliser l'open source car ils sont plus sûrs, gratuits et peuvent faire le travail.
