Diapositives du Webinar SSL :
INTRODUCTION
Qu’est-ce que le SSL / TLS ?
L’intérêt du SSL
Rapide historique
Déroulement d’une connexion TLS
PARTIE 1
Quel est le rôle d’un certificat SSL ?
Les niveaux de validation
Les options d’un certificat SSL : Wildcard et SAN
Le processus de commande
La chaîne de certification
Algorithmes SSL : chiffrement & authentification
Étude de cas : exemples typiques
PARTIE 2
Modes de déploiement
TLS et épuisement des adresses IPv4
HAProxy et le SNI
Impacts du TLS
SSL offloading
SEO
Sécurité du protocole SSL
Diapositives du Webinar SSL :
INTRODUCTION
Qu’est-ce que le SSL / TLS ?
L’intérêt du SSL
Rapide historique
Déroulement d’une connexion TLS
PARTIE 1
Quel est le rôle d’un certificat SSL ?
Les niveaux de validation
Les options d’un certificat SSL : Wildcard et SAN
Le processus de commande
La chaîne de certification
Algorithmes SSL : chiffrement & authentification
Étude de cas : exemples typiques
PARTIE 2
Modes de déploiement
TLS et épuisement des adresses IPv4
HAProxy et le SNI
Impacts du TLS
SSL offloading
SEO
Sécurité du protocole SSL
Les défis les plus fréquents dans l’implémentation de HTTPSSemrush
Selon Google, HTTPS devient de plus en plus important, il est déjà considéré comme un des facteur de ranking ou “small ranking factor”. Donc, maintenant il n’est plus possible de ne pas prendre en compte HTTPS. Les pages sécurisées influencent positivement l’expérience utilisateur et rendent votre site plus crédible pour les internautes et les moteurs de recherche. Nous avons récemment réalisé une étude intéressante sur les erreurs les plus communes d’implémentation de HTTPS. Pendant cette conférence, Natalia vous fera découvrir les résultats de cette recherche exclusive et partagera avec vous des recommandations pour corriger les erreurs HTTPS.
---------------
The most common HTTPS implementation issues
According to Google, HTTPS is becoming more and more important, it is already considered as a “small ranking factor”. So now, it is no longer possible to ignore HTTPS. Secure pages positively influence user experience and make your website more credible for users and search engines. Recently SEMrush has carried out an interesting study on the most common HTTPS implementation mistakes. During this conference, Natalia presents the results of this exclusive research and shares tips on how to fix these problems.
SSH n'est pas un shell Unix comme Bourne shell et shell C
SSH est un protocole qui permet de se connecter de façon sécurisée à un système Mac, Linux ou Windows.
Utilise le cryptage (Secure Shell).
Sécuriser une connexion
Description du protocole SSL/TLS. Présentation du protocole et de ses terminologies. Découverte de divers méchanismes de chiffrement. Ensuite le document abordera la notion de certificat: les différents types de certificats, leur génération et installation. Enfin un bref aperçu sur les diffrérences qui existent entre le TLS et le SSL
La thématique de protection des données personnelles prend de plus en plus d'importance tandis que nos vies réelles et nos vies numériques se confondent.
Les gouvernements commencent à prendre cette préoccupation au sérieux et des lois contraignant les acteurs du numérique émergent:
* Droit à l'oubli
* Information sur les cookies
* GDPR en Europe
On le voit bien, ces lois ont des implications techniques.
On verra quelles sont les techniques utilisées actuellement pour répondre à ces contraintes, les standards émergeants (UMA 2), ...
En un mot, comment redonner le contrôle aux utilisateurs sur leurs données.
préparation à la certification LPIC2 version 3.5 en français
Chapitre 8 : Topic 208 : Services Web
Configuration de Apache2 et Squid
Partie 3 : sécurisation d'un serveur web avec ssl
Topic 208.2 partie 2
Mise en place de l'https sur Apache2 via mod_ssl et openssl.
Supports créés par Noël Macé sous Licence Creative Commons BY-NC-SA.
Un peu de TLS ne fait pas de mal - Sudweb 2013Eric D.
Et si nous passions un peu tout en HTTPS ? Il est peut être temps de s'y mettre.
Une minute pour rappeler le principe, deux pour convaincre que ça ne fait pas de mal, et même que ça ferait beaucoup de bien, une de plus pour démonter les préjugés qui vous bloquent.
La sécurité de tout système dépend à la fois de la sécurisation de ses différentes composantes et des interactions entre celles-ci. Ce constat est aussi valable pour le DNS (Domain Name System), maillon clé du fonctionnement de l’Internet, car la quasi-totalité des services en ligne utilise des noms de domaine à un moment ou à un autre.
HTTPS: What, Why and How (SmashingConf Freiburg, Sep 2015)Guy Podjarny
When users use our sites, they put their faith in us. They trust we will keep their information from reaching others, believe we provided the information they see, and allow us to run (web) code on their devices. Using HTTPS to secure our conversations is a key part of maintaining this trust.
If that’s not motivation enough, the web’s giants are actively promoting HTTPS, requiring it for features such as HTTP2 & ServiceWorker, using it for search engine ranking and more. To make the most of the web, you need to use HTTPS.
This deck reviews what HTTPS is, discusses why you should prioritize using it, and cover some of the easiest (and most cost effective) steps to get started using HTTPS
Principes des chiffrements symétriques, asymétriques et HTTPSPhilippe Le Van
Ces slides expliquent les grands principes des chiffrements symétriques, asymétriques et HTTPS.
Ils sont le support d'un talk aux Human talks de Grenoble le 12 février 2013.
Better Safe Than Sorry with HTTPS - SMX East 2016 - Patrick Stoxpatrickstox
This document discusses the benefits and challenges of adopting HTTPS. It begins by outlining the key benefits of HTTPS such as authentication, data integrity, encryption and HTTP/2 improvements. However, it also acknowledges challenges including retaining referral data, the technical difficulties of migrating sites to HTTPS, and potential security risks if not implemented correctly. The document provides various resources for learning more about HTTPS best practices and testing site implementations.
Pour tout savoir sur Google AMP : chiffres marché, mise en oeuvre, potentiel, d'audience, outils, monétisation, fonctionnalités; et bien sûr SEO Google AMP. Conférence au Black & White SEO le 7 octobre 2016 https://www.blackandwhiteseo.com/
This presentation is a basic insight into the Application Layer Protocols i.e. Http & Https. I was asked to do this as a part of an interview round in one of the networking company.
-Kudos
Harshad Taware
Bangalore ,India
Une icône ratée, des screenshots qui ne racontent rien ou qui ne rendent pas votre produit clair vont faire chuter drastiquement votre taux de conversion. Réduisez vos coûts d’acquisition mobile en créant des éléments graphiques qui fonctionnent.
Présentation aux AppDAys 2016
HTTP is a client-server protocol for transmitting hypermedia documents across the internet. It uses a request-response paradigm where clients make requests which are answered by HTTP servers. Requests use methods like GET and POST, and include headers. Responses contain status lines, headers, and content. HTTP allows caching, cookies, authentication, and redirects. It is the foundation of data communication for the World Wide Web via the hypertext transfer protocol.
Les défis les plus fréquents dans l’implémentation de HTTPSSemrush
Selon Google, HTTPS devient de plus en plus important, il est déjà considéré comme un des facteur de ranking ou “small ranking factor”. Donc, maintenant il n’est plus possible de ne pas prendre en compte HTTPS. Les pages sécurisées influencent positivement l’expérience utilisateur et rendent votre site plus crédible pour les internautes et les moteurs de recherche. Nous avons récemment réalisé une étude intéressante sur les erreurs les plus communes d’implémentation de HTTPS. Pendant cette conférence, Natalia vous fera découvrir les résultats de cette recherche exclusive et partagera avec vous des recommandations pour corriger les erreurs HTTPS.
---------------
The most common HTTPS implementation issues
According to Google, HTTPS is becoming more and more important, it is already considered as a “small ranking factor”. So now, it is no longer possible to ignore HTTPS. Secure pages positively influence user experience and make your website more credible for users and search engines. Recently SEMrush has carried out an interesting study on the most common HTTPS implementation mistakes. During this conference, Natalia presents the results of this exclusive research and shares tips on how to fix these problems.
SSH n'est pas un shell Unix comme Bourne shell et shell C
SSH est un protocole qui permet de se connecter de façon sécurisée à un système Mac, Linux ou Windows.
Utilise le cryptage (Secure Shell).
Sécuriser une connexion
Description du protocole SSL/TLS. Présentation du protocole et de ses terminologies. Découverte de divers méchanismes de chiffrement. Ensuite le document abordera la notion de certificat: les différents types de certificats, leur génération et installation. Enfin un bref aperçu sur les diffrérences qui existent entre le TLS et le SSL
La thématique de protection des données personnelles prend de plus en plus d'importance tandis que nos vies réelles et nos vies numériques se confondent.
Les gouvernements commencent à prendre cette préoccupation au sérieux et des lois contraignant les acteurs du numérique émergent:
* Droit à l'oubli
* Information sur les cookies
* GDPR en Europe
On le voit bien, ces lois ont des implications techniques.
On verra quelles sont les techniques utilisées actuellement pour répondre à ces contraintes, les standards émergeants (UMA 2), ...
En un mot, comment redonner le contrôle aux utilisateurs sur leurs données.
préparation à la certification LPIC2 version 3.5 en français
Chapitre 8 : Topic 208 : Services Web
Configuration de Apache2 et Squid
Partie 3 : sécurisation d'un serveur web avec ssl
Topic 208.2 partie 2
Mise en place de l'https sur Apache2 via mod_ssl et openssl.
Supports créés par Noël Macé sous Licence Creative Commons BY-NC-SA.
Un peu de TLS ne fait pas de mal - Sudweb 2013Eric D.
Et si nous passions un peu tout en HTTPS ? Il est peut être temps de s'y mettre.
Une minute pour rappeler le principe, deux pour convaincre que ça ne fait pas de mal, et même que ça ferait beaucoup de bien, une de plus pour démonter les préjugés qui vous bloquent.
La sécurité de tout système dépend à la fois de la sécurisation de ses différentes composantes et des interactions entre celles-ci. Ce constat est aussi valable pour le DNS (Domain Name System), maillon clé du fonctionnement de l’Internet, car la quasi-totalité des services en ligne utilise des noms de domaine à un moment ou à un autre.
HTTPS: What, Why and How (SmashingConf Freiburg, Sep 2015)Guy Podjarny
When users use our sites, they put their faith in us. They trust we will keep their information from reaching others, believe we provided the information they see, and allow us to run (web) code on their devices. Using HTTPS to secure our conversations is a key part of maintaining this trust.
If that’s not motivation enough, the web’s giants are actively promoting HTTPS, requiring it for features such as HTTP2 & ServiceWorker, using it for search engine ranking and more. To make the most of the web, you need to use HTTPS.
This deck reviews what HTTPS is, discusses why you should prioritize using it, and cover some of the easiest (and most cost effective) steps to get started using HTTPS
Principes des chiffrements symétriques, asymétriques et HTTPSPhilippe Le Van
Ces slides expliquent les grands principes des chiffrements symétriques, asymétriques et HTTPS.
Ils sont le support d'un talk aux Human talks de Grenoble le 12 février 2013.
Better Safe Than Sorry with HTTPS - SMX East 2016 - Patrick Stoxpatrickstox
This document discusses the benefits and challenges of adopting HTTPS. It begins by outlining the key benefits of HTTPS such as authentication, data integrity, encryption and HTTP/2 improvements. However, it also acknowledges challenges including retaining referral data, the technical difficulties of migrating sites to HTTPS, and potential security risks if not implemented correctly. The document provides various resources for learning more about HTTPS best practices and testing site implementations.
Pour tout savoir sur Google AMP : chiffres marché, mise en oeuvre, potentiel, d'audience, outils, monétisation, fonctionnalités; et bien sûr SEO Google AMP. Conférence au Black & White SEO le 7 octobre 2016 https://www.blackandwhiteseo.com/
This presentation is a basic insight into the Application Layer Protocols i.e. Http & Https. I was asked to do this as a part of an interview round in one of the networking company.
-Kudos
Harshad Taware
Bangalore ,India
Une icône ratée, des screenshots qui ne racontent rien ou qui ne rendent pas votre produit clair vont faire chuter drastiquement votre taux de conversion. Réduisez vos coûts d’acquisition mobile en créant des éléments graphiques qui fonctionnent.
Présentation aux AppDAys 2016
HTTP is a client-server protocol for transmitting hypermedia documents across the internet. It uses a request-response paradigm where clients make requests which are answered by HTTP servers. Requests use methods like GET and POST, and include headers. Responses contain status lines, headers, and content. HTTP allows caching, cookies, authentication, and redirects. It is the foundation of data communication for the World Wide Web via the hypertext transfer protocol.
Planification du développement des EnR dans le Pays Seine et TillesRéseau Tepos
Planification énergétique
Organiser la desserte énergétique des territoires pour répondre aux besoins en valorisant les ressources locales
Afin de structurer les filières, de définir des niveaux de mutualisations efficients et d’organiser l’accompagnement technique et financier des différents acteurs, une planification énergétique des territoires s’impose. Les collectivités ont un rôle essentiel à confirmer dans cette évolution des modes de production et de consommation de l’énergie.
Animé par Pascaline FISCH, Responsable Cellule Énergie au SICECO
Interventions :
– Marie-Capucine BARRACHIN, Animatrice Énergie Climat du Pays Seine-et-Tilles
– Thierry BESANÇON, Président du Conseil de Développement du Pays Seine-et-Tilles
– Patrice COTON, Directeur Général Adjoint du SIEEEN
– Jean-Luc FRANÇOIS, Chargé de mission, AILE
Cet atelier s'est déroulé le jeudi 6 juin 2013 à Cluny (Pays Sud Bourgogne), dans le cadre des 3è rencontres nationales "énergie et territoires ruraux, vers des territoires à énergie positive".
Plus d'informations: www.territoires-energie-positive.fr
Réseaux d'énergies et mobilité électrique sur l'Ile d'YeuRéseau Tepos
Réseaux d’énergies
Adapter les réseaux de distribution à une politique énergétique ambitieuse
Les réseaux de distribution d’énergies sont un outil essentiel au service d’une politique locale de transition énergétique ambitieuse. Ils accueillent déjà des productions d’énergies renouvelables, et intégreront demain les compteurs communicants et les infrastructures associées à la mobilité électrique ou au biométhane carburant. Malgré les freins existants à l’exercice de leur compétence de distribution, certaines collectivités parviennent à mener des actions innovantes sur leurs réseaux.
Animé par Raphaël CLAUSTRE, Directeur du CLER, Réseau pour la transition énergétique
Interventions :
– Michel MAYA, Maire de Tramayes
– Bruno NOURY, Maire de l'Ile d'Yeu
– Jean-Baptiste BIAU, Respnsable du projet MIETEC à Montdidier, Energies Demain
Cet atelier s'est déroulé le jeudi 6 juin 2013 à Cluny (Pays Sud Bourgogne), dans le cadre des 3è rencontres nationales "énergie et territoires ruraux, vers des territoires à énergie positive".
Plus d'informations: www.territoires-energie-positive.fr
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANEAfnic
Alors que la sécurisation des communications sur Internet n’a jamais été autant d’actualité, l’Afnic lance un dossier thématique consacré au protocole DANE
Rétro-ingénierie de protocole crypto: Un "starter pack"Maxime Leblanc
Dans cette présentation, vous apprendrez les bases de l'analyse de protocole cryptographique, et quelques pistes pouvant aider à détecter une faille au sein de ces protocoles. Aucune connaissance crypto n'est nécessaire a priori (il ne s'agit pas ici de briser des protocoles éprouvés, mais de voir comment leur mauvaise utilisation peut les rendre inefficaces). On fera par le fait même un survol des outils utiles pour la rétro-ingénierie réseau, comme "Wireshark". La présentation sera basée sur un exemple réel d'un protocole VoIP brisé et corrigé récemment.
"Les organisations de toute taille s’appuient sur un nombre croissant de services dans le Cloud pour assoir les nouveaux usages et modèles d’affaire dans le cadre de leur transformation numérique. Au-delà des contrôles en place et autres dispositions prises par défaut en matière de sécurité par ces services, d’aucun voit dans le chiffrement de leurs données et l’utilisation de leurs propres clés de chiffrement les clés de la confiance.
Dans ce contexte, cette session vous propose une vue d'ensemble illustrée des différentes solutions de chiffrement proposées dans Azure et Office 365. Elle vise à présenter ces solutions et à donner des indications claires sur la façon de choisir la ou les solutions appropriées en fonction de cas d’usage donnés ou/et d’exigences particulières. Les risques ainsi couverts seront explicités au cas par cas."
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...Horgix
This is the slide deck of a talk by Alexis "Horgix" Chotard and Laurentiu Capatina presented at the MongoDB Paris User Group in June 2024 about the feedback on how PayFit move away from a monolithic hell of a self-hosted MongoDB cluster to managed alternatives. Pitch below.
March 15, 2023, 6:59 AM: a MongoDB cluster collapses. Tough luck, this cluster contains 95% of user data and is absolutely vital for even minimal operation of our application. To worsen matters, this cluster is 7 years behind on versions, is not scalable, and barely observable. Furthermore, even the data model would quickly raise eyebrows: applications communicating with each other by reading/writing in the same MongoDB documents, documents reaching the maximum limit of 16MiB with hundreds of levels of nesting, and so forth. The incident will last several days and result in the loss of many users. We've seen better scenarios.
Let's explore how PayFit found itself in this hellish situation and, more importantly, how we managed to overcome it!
On the agenda: technical stabilization, untangling data models, breaking apart a Single Point of Failure (SPOF) into several elements with a more restricted blast radius, transitioning to managed services, improving internal accesses, regaining control over risky operations, and ultimately, approaching a technical migration when it impacts all development teams.
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
3. Introduction
Imaginez que votre grenier possède une porte que vous partagez avec un
voisin fouineur. D'habitude, elle reste fermée. Mais fermée ne signifie pas
(toujours) fermée à clef. Car vous ne possédez pas la clef et votre voisin non
plus. Vous présumez que votre voisin n'entre pas chez vous, mais comment
pouvez-vous en être sûr(e) si vous vous trouvez en bas, dans le salon, et que
la porte du haut est ouverte (pas fermée à clef) ?
C'est un peu ce qui a conduit à la création du protocole HTTPS (Hyper Text
Transfer Protocol Secure, Protocole de Transfert Hypertexte Sécurisé) - afin de
vous protéger et de protéger vos données des curieux (pas forcément vos
voisins).
Nous étudierons en général le HTTPS du point de vue de son mode de
fonctionnement , de son implémentation.
3
4. Définition
L’HyperText Transfer Protocol Secured, plus connu sous l'abréviation HTTPS,
soit « protocole de transfert hypertexte sécurisé » est la combinaison du
HTTP avec une couche de chiffrement comme SSL ou TLS.
Il permet au visiteur de vérifier l'identité du site auquel il accède grâce à un
certificat d'authentification émis par une autorité tierce réputée fiable (et
faisant généralement partie de la liste blanche des navigateurs). Il garantit
théoriquement la confidentialité et l'intégrité des données envoyées par
l'utilisateur (notamment des informations entrées dans les formulaires) et
reçues du serveur. Il peut permettre de valider l'identité du visiteur si celui-ci
utilise également un certificat d'authentification client.
4
5. Mécanisme de Fonctionnement
(Présentation)
5
La sécurité des informations transmises par HTTPS est basée sur
l'utilisation d'un algorithme de chiffrement, et sur la reconnaissance de
validité du certificat d'authentification du site visité.
Soit HTTPS = HTTP + SSL
Chiffrement de données
Clé symétrique
Clé asymétrique
Certificat
Demande de certificat
6. Mécanisme deFonctionnement
(HTTP)
6
C'est un protocole de communication entre un
client et un serveur développé pour le WWW.
Le navigateur doit donc savoir quel protocole vous
utilisez pour vous connecter à une adresse,
d'où le fait de devoir écrire ''http:////''. Il existe
en effet d'autres protocoles de
communication, celui que l'on peut le plus
souvent rencontrer sur internet est ''ftp://''. Il
sert à se connecter en direct à un serveur (qui
stocke des fichiers à télécharger le plus
souvent), pour télécharger directement ce qui
s'y trouve sur votre ordinateur. Le débit est
souvent meilleur qu'en téléchargeant par le
protocole HTTP.
De nos jours ce dernier étant à 99% le seul utilisé
par les utilisateurs de navigateur web, il est
ajouté par défaut aux adresses internet (plus
besoin de le taper donc, tout comme parfois
les www.).
7. Mécanisme de Fonctionnement
(Protocole de sécurité : SSL)
7
HTTPS est la variante du HTTP sécurisé par l’usage des protocoles SSL et TLS. Le
serveur HTTPS utilise le port 443 alors que le HTPP utilise par défaut le 80.
Transport Layer Security (TLS), et son prédécesseur Secure Sockets Layer (SSL), sont
des protocoles de sécurisation des échanges sur Internet, développé à l'origine par
Netscape (SSL version 2 et SSL version 3.
Il y a très peu de différences entre SSL et TLS. En outre, TLS diffère de SSL pour la
génération des clés symétriques. Cette génération est plus sécurisée dans TLS que
dans SSLv3 dans la mesure où aucune étape de l'algorithme ne repose uniquement
sur MD5 - Message Digest 5 pour lequel sont apparues des faiblesses en
cryptanalyse.
Caractéristiques
Authentification par certificat numérique
Confidentialité des données échangées ou session chiffrée
Intégrité des données échangées
8. CERTIFICAT
- Génération d’une
demande de signature
de certificat
- Autorisation par un tiers
dont une Autorité de
Certification
Ensemble de données contenant :
au moins une clé publique ;
des informations d'identification, par exemple : noms, localisation, emails ;
au moins une signature ; de fait quand il n'y en a qu'une, l'entité signataire est une autorité dont
elle-seule permet de prêter confiance (ou non) à l'exactitude des informations du certificat.
9. Certificat non valide
L’ Accès au site dont les certificats ne sont pas
signés pose un problème d’identité.
Les certificats sont stockés par des serveurs
de clés, qui peuvent aussi faire office
d'autorité d'enregistrement et de
certification (repère A).
Ils recensent et contrôlent les certificats. Ils
possèdent souvent une liste des certificats
révoqués pour une quelconque raison.
Quelques marques de confiances pour vos certificats:
Thawte, GlobalSign (149 euro);
GeoTrust (129 euro);
RapidSSL (49 euro).
10. Implémentation
Types de serveurs
ISPConfig
Microsoft Exchange (voir Certificat sur Outlook)
Apache2 (utilisation de l’outil OpenSSL)
Autres Serveur
Procédé général
Créer un certificat
Soumettre demande de certificat
Installer puis configurer
Tester
10
11. Conclusion
Conclusion
HTTPS est un peu plus lent que le HTTP
- Cout de Sécurité
Référence
https://www.ssl247.fr/support/creer-csr
http://fr.gentoo-wiki.com/wiki/Apache2/Certificats_SSL
https://www.ssl247.fr
11