2. Introduction
Définition : SSL, c’est quoi ?
Origine SSL
Caractéristiques : Pourquoi SSL ?
Avantages & Inconvénients
Déroulement des échanges SSL
▪ La négociation SSL « Handshake»
▪ La communication SSL « Record »
Cas d’utilisations
Conclusion
2
3. Comment protéger sa vie privée sur le Web des
pirates ?
Comment sécuriser vos données (messagerie ,
payement en ligne …) qui transitent par le web ?
3
4. Protocoles généraux de sécurité des
échanges sur Internet :
▪ IPsec – Internet Protocol Security
protocole au niveau transport.
▪ SSL – Secure Sockets Layer
protocole au dessus de TCP (Entre TCP et l'application).
4
5. Protocole de sécurité.
Il crée un canal sécurisé entre deux machines
communiquant sur Internet ou un réseau
interne.
Simple pour l’utilisateur final
Le SSL est un protocole transparent qui nécessite peu
d'interaction de la part de l'utilisateur final.
Il agit comme couche
supplémentaire entre la couche
application (http,ftp..) et la couche
transport (tcp/ip)
5
6. SSL développé en 1995 par Netscape
En 2001 il a été racheté par l'IETF
▪ (Internet Engineering Task Force)
Depuis il s’appelle TLS
▪ (Transport Layer Security)
6
7. SSL est indépendant du protocole utilisé
▪ Il peut sécuriser différents protocoles comme:
http , ftp , Pop , Imap …
Protocole sécurisé Port Protocole non sécurisé Application
HTTPS 443 HTTP Web sécurisé
SSMTP 465 SMTP Transport du courrier
SNNTP 563 NNTP Transport des news Usernet
SSL-LDAP 636 LDAP Annuaires
IMAPS 993 IMAP4 Accès aux boites aux lettres
SPOP3 995 POP3 Accès aux boites aux lettres
FTPS 889/990 FTP Transfert de fichiers
TELNETS 992 TELNET Connexion interactive 7
8. Compatibilité avec les navigateurs
▪ La connection aux sites sécurisée avec SSL se fait
avec les différents navigateurs :
Internet explorer, Firefox, Opera…
8
9. Compatible avec TCP/IP
Protocole standardise
Etablissement rapide d’une session
De nombreuses applications utilisent SSL/TLS
Assure la confidentialité et empêche l’espionnage
ou l’interception de données.
Intégration facile avec les pare-feu
9
10. Authentification non obligatoire du client
Méthodes de sécurité peu sophistiquées pour
des transactions demandant haut niveau de
confidentialité
Modèle client-serveur insuffisant pour des
services de paiement d’un site marchand (une
banque)
10
11. Le protocole SSL est constitué de 4 sous protocoles :
11
18. • Découpe les données
en paquets,
• Compresse les
données,
• Chiffre les données,
• Les envoie.
Expéditeur
• déchiffre les données,
• vérifie la signature des
données,
• décompresse les
données,
• réassemble les paquets
de données.
Récepteur
18
19. Connexions et tout échange d'information
confidentielle
▪ Transactions bancaire en ligne.
Les applications et les messageries web
▪ Outlook Web Access, Exchange et Office
Communications Server.
Les connexions aux réseaux et aux traffics de
réseaux utilisant les VPNs SSL.
▪ Tels que VPN Access Servers, et les applications, telles que
Citrix Access Gateway.
19
20. SSL remplit les objectifs de
sécurité que l’on attend de lui, il
est capable d’assurer :
l’authentification mutuelle des
acteurs,
la confidentialité,
l’intégrité des données.
20
21. SSL est :
Sûr dans sa construction et ses
mécanismes,
Faible dans son authentification : ne
pouvant faire mieux qu’Internet, il n’offre
qu’une résistance passable aux attaques
actives.
21
22. Après plusieurs années de service
et d’usage généralisé :
SSL/TLS n’a pas subi d’attaque
dévastatrice,
Les vulnérabilités décelées concernent
principalement sa mise en œuvre et non
ses mécanismes.
22
