Https utilise-t-il TLS?

Qu’est-ce que HTTPS

Pour protéger un site Web orienté public avec HTTPS, il est nécessaire d’installer un certificat SSL / TLS signé par une autorité de certificat de confiance publiquement (CA) sur votre serveur Web. SSL.com’S KnachesBase comprend de nombreux guides utiles et How-Tos pour configurer une grande variété de plates-formes de serveurs Web pour prendre en charge les HTTP.

Résumé:

HTTPS est un protocole sécurisé utilisé pour protéger les sites Web. Il nécessite l’installation d’un certificat SSL / TLS à partir d’un CA de confiance. SSL.com fournit des guides pour configurer des serveurs Web pour prendre en charge les HTTP.

Points clés:

1. Sécurité de la couche de transport (TLS): TLS assure la sécurité de la communication entre les hôtes. Il assure l’intégrité, l’authentification et la confidentialité. Il est couramment utilisé dans les navigateurs Web mais peut être utilisé avec n’importe quel protocole qui utilise TCP.

2. TLS vs SSL: SSL est le prédécesseur du protocole TLS. Certains termes, comme les certificats SSL, sont utilisés de manière interchangeable. Il est important d’utiliser TLS au lieu du protocole SSL insécurité.

3. Utilisation du port: Certaines applications utilisent un seul port pour les séances non cryptées et cryptées. Pour passer de non crypté à crypté, StartTLS est utilisé. Le terme SSL peut être utilisé lorsqu’un seul port utilise directement le protocole TLS.

4. SSL / TLS dans Wireshark: Wireshark a un dissecteur TLS entièrement fonctionnel, qui prend en charge le déchiffrement si des secrets appropriés sont fournis. Le dissecteur a été renommé de SSL à TLS dans Wireshark 3.0.

5. TLS Decryption: Wireshark prend en charge le décryptage TLS à l’aide d’un fichier journal clé ou d’une clé privée RSA. Le fichier journal clé est recommandé car il fonctionne dans tous les cas. La clé privée RSA a des limites.

6. Paramètres de préférence: Les préférences liées à TLS peuvent être trouvées dans le menu Edit -> Préférences. Les préférences notables incluent le nom de fichier journal (pré) -master-secret, la liste des clés RSA, la clé pré-partagée et le fichier de débogage TLS.

7. Préférences du protocole TCP: Pour activer le décryptage TLS, l’option “Autoriser le sous-récisctor à réassembler les flux TCP” doit être activé. À partir de Wireshark 3.0, l’option “remonter l’option de segments hors commande est désactivée par défaut.

8. Dialogue RSA Keys: À partir de Wireshark 3.0, une nouvelle boîte de dialogue RSA Keys est disponible sous Edit -> Préférences -> RSA Keys. Il permet d’ajouter des clés privées de format PEM ou des clés PKC # 12 pour le décryptage.

Des questions:

Question 1: Quel est le but de l’installation d’un certificat SSL / TLS pour HTTPS?

Répondre: L’installation d’un certificat SSL / TLS est nécessaire pour établir une communication sécurisée et protéger le site Web de l’accès non autorisé. Il vérifie l’identité du serveur et permet le cryptage des données échangées entre le serveur et les clients.

Question 2: Les TL peuvent-ils être utilisés avec des protocoles autres que les navigateurs Web?

Répondre: Oui, TLS peut être utilisé avec n’importe quel protocole qui utilise TCP comme couche de transport. Il assure la sécurité, l’intégrité et l’authentification pour la communication entre les hôtes.

Question 3: Quelles sont les différences entre TLS et SSL?

Répondre: SSL est le prédécesseur du protocole TLS. TLS est le protocole recommandé, car SSL est considéré comme peu sûr. Cependant, les termes certificats SSL et SSL sont toujours utilisés de manière interchangeable dans certains cas, ce qui entraîne une confusion.

Question 4: Comment Wireshark décrypter le trafic TLS?

Répondre: Wireshark peut décrypter le trafic TLS si des secrets appropriés sont fournis. Il prend en charge le décryptage à l’aide d’un fichier journal clé ou d’une clé privée RSA. Le fichier journal clé est recommandé pour le décryptage.

Question 5: Où les paramètres de préférence pour le décryptage TLS peuvent être trouvés dans Wireshark?

Répondre: Les paramètres de préférence pour le décryptage TLS peuvent être trouvés dans le menu Edit -> Préférences. Sous l’arbre des protocoles, sélectionnez TLS. Des préférences supplémentaires sont disponibles sous les préférences du protocole TCP.

Question 6: Quelles sont les limites de l’utilisation d’une clé privée RSA pour le déchiffrement TLS?

Répondre: La méthode de clé privée RSA pour le décryptage TLS a des limites. Cela ne fonctionne que si la suite de chiffre sélectionnée par le serveur n’utilise pas (EC) DHE, la version protocole est SSLV3 ou (D) TLS 1.0-1.2 (ne fonctionne pas avec TLS 1.3), et la clé privée correspond au certificat de serveur. De plus, la session ne doit pas reprendre.

Question 7: Comment le décryptage TLS peut-il être activé dans Wireshark pour tous les cas?

Répondre: Le décryptage TLS peut être activé pour tous les cas en utilisant un fichier journal clé. Le fichier journal clé est un fichier texte généré par des applications comme Firefox, Chrome et Curl lorsque la variable d’environnement SSLKEYLOGFILE est définie. Il nécessite une exportation continue de secrets à partir du client ou de l’application serveur.

Question 8: Quelles sont les préférences notables pour le décryptage TLS dans Wireshark?

Répondre: Certaines préférences notables pour le décryptage TLS dans Wireshark incluent le nom de fichier du journal (pré) -master-secret, la liste des clés RSA (dépréciée en faveur de la boîte de dialogue RSA Keys), la clé pré-partagée pour le processus de chiffrement PSK et le fichier de débogage TLS pour la rédaction de détails internes sur le processus de décry.

Question 9: Quelles préférences de protocole TCP sont nécessaires pour permettre le décryptage TLS dans Wireshark?

Répondre: Deux préférences du protocole TCP sont nécessaires pour permettre le décryptage TLS dans Wireshark: “Autoriser le sous-récisctor pour réassembler les flux TCP” (activés par défaut) et “réassembler les segments hors commande” (désactivé par défaut depuis Wireshark 3 3.0).

Question 10: Quel est le but de la boîte de dialogue RSA Keys dans Wireshark?

Répondre: La boîte de dialogue RSA Keys dans Wireshark permet d’ajouter des touches privées PEM ou des clés PKC # 12 pour le décryptage. Il fournit un moyen pratique de configurer les clés privées RSA à des fins de décryptage.

Qu’est-ce que HTTPS

Pour protéger un site Web orienté public avec HTTPS, il est nécessaire d’installer un certificat SSL / TLS signé par une autorité de certificat de confiance publiquement (CA) sur votre serveur Web. SSL.com’S KnachesBase comprend de nombreux guides utiles et How-Tos pour configurer une grande variété de plates-formes de serveurs Web pour prendre en charge les HTTP.

Sécurité de la couche de transport (TLS)

Transport Layer Security (TLS) assure la sécurité de la communication entre deux hôtes. Il fournit l’intégrité, l’authentification et la confidentialité. Il est utilisé le plus souvent dans les navigateurs Web, mais peut être utilisé avec n’importe quel protocole qui utilise TCP comme couche de transport.

La couche sécurisée de sockets (SSL) est le prédécesseur du protocole TLS. Ces noms sont souvent utilisés de manière interchangeable, ce qui peut entraîner une certaine confusion:

  • Une configuration qui utilise le Protocole SSL (Sslv2 / sslv3) n’est pas en sécurité. Le Protocole TLS devrait être utilisé à la place.
  • X.509 Les certificats d’authentification sont parfois également appelés Certificats SSL.
  • Certaines applications (telles que les e-mails) utilisent un seul port pour les séances non chiffrées et cryptées. Passer de non crypté à crypté, (Démarrer) TLS est utilisé. Lorsqu’un seul port utilise directement le protocole TLS, il est souvent appelé SSL.
  • Pour des raisons historiques, les logiciels (Wireshark inclus) se réfèrent à SSL ou SSL / TLS alors qu’il signifie réellement le protocole TLS car c’est aujourd’hui ce que tout le monde utilise.

Dépendances du protocole

  • TCP: En règle générale, TLS utilise TCP comme protocole de transport.

Dissection TLS à Wireshark

Le dissecteur TLS est entièrement fonctionnel et prend même en charge des fonctionnalités avancées telles que le déchiffrement de TLS si des secrets appropriés sont fournis (#TLS_DECRYPTION).

Depuis Wireshark 3.0, le dissecteur TLS a été renommé de SSL à TLS. L’utilisation du filtre d’affichage SSL émettra un avertissement.

Décryptage TLS

Wireshark prend en charge le décryptage TLS lorsque des secrets appropriés sont fournis. Les deux méthodes disponibles sont:

  • Fichier journal clé à l’aide de secrets par session (#Usingthe (pré) -Master Secret).
  • Décryptage à l’aide d’une clé privée RSA.

Un fichier journal clé est un mécanisme universel qui permet toujours le déchiffrement, même si un échange de clés Diffie-Hellman (DH) est utilisé. La clé privée RSA ne fonctionne que dans un nombre limité de cas.

Le fichier journal clé est un fichier texte généré par des applications telles que Firefox, Chrome et Curl lorsque la variable d’environnement SSLKEYLOGFILE est définie. Pour être précis, leur bibliothèque sous-jacente (NSS, OpenSSL ou BORINGSSL) écrit les secrets par session requis à un fichier. Ce fichier peut par la suite être configuré dans Wireshark (#Using the (pre) -master Secret).

Le fichier de clés privés RSA ne peut être utilisé que dans les circonstances suivantes:

  • La suite de chiffre sélectionnée par le serveur n’utilise pas (ec) dhe.
  • La version protocole est sslv3, (d) tls 1.0-1.2. Cela fait pas travailler avec TLS 1.3.
  • La clé privée correspond à la serveur certificat. Cela ne fonctionne pas avec le client Certificat, ni certificat de certificat Autorité (CA).
  • La session n’a pas repris. La poignée de main doit inclure le ClientKeyExchange message de poignée de main.

Le fichier journal clé est généralement recommandé car il fonctionne dans tous les cas, mais nécessite la capacité continue d’exporter les secrets à partir du client ou de l’application serveur. Le seul avantage de la clé privée RSA est qu’il ne doit être configuré qu’une seule fois dans Wireshark pour permettre le déchiffrement, sous réserve des limitations ci-dessus.

Paramètres de préférence

Aller à Modifier -> Préférences. Ouvrir le Protocoles arbre et sélectionner TLS. Alternativement, sélectionnez un paquet TLS dans la liste des paquets, cliquez avec le bouton droit sur le TLS calque dans le paquet Détails Afficher et ouvrir le Préférences de protocole menu.

Les préférences notables du protocole TLS sont:

  • (Pré) -Master-Secret Log File Name (TLS.keylog_file): chemin pour lire le fichier journal de clé TLS pour le décryptage.
  • Liste des touches RSA: ouvre une boîte de dialogue pour configurer les clés privées RSA pour le déchiffrement. Déprécié en faveur du Préférences ->Clés RSA dialogue.
  • Key pré-partagée: utilisé pour configurer la clé de décryptage pour les suites de chiffrement PSK. Pas généralement utilisé.
  • Fichier de débogage TLS (TLS.DEBUG_LOGFILE): Chemin pour écrire des détails internes sur le processus de décryptage. Contiendra les résultats du déchiffrement et les clés utilisées dans ce processus. Cela peut être utilisé pour diagnostiquer pourquoi le décryptage échoue.

Les préférences du protocole TCP suivantes sont également nécessaires pour permettre le décryptage TLS:

  • Autoriser le sous-récisctor à réassembler les flux TCP. Activé par défaut.
  • Réassemblez les segments hors commande (depuis Wireshark 3.0, désactivé par défaut).

En commençant par Wireshark 3.0, une nouvelle boîte de dialogue RSA Keys peut être trouvée à Modifier -> Préférences -> Clés RSA. Dans cette boîte de dialogue, utilisez le Ajouter un nouveau fichier de clés… bouton pour sélectionner un fichier. Vous serez invité à un mot de passe si nécessaire. Le Ajouter un nouveau jeton… Le bouton peut être utilisé pour ajouter des clés à partir d’un HSM qui peut nécessiter l’utilisation Ajouter un nouveau fournisseur… pour sélectionner une DLL /.Donc, fichier et configuration supplémentaire spécifique au fournisseur.

Le fichier clé RSA peut être un Pem format la clé privée ou un clés PKCS # 12 (généralement un fichier avec un .PFX ou .Extension p12). La clé PKCS # 12 est un fichier binaire, mais le format PEM est un fichier texte qui ressemble à ceci:

-----Begin Private Key ----- Miievgibadanbgkqhkig9w0baqefaascbkgwggskageaaoibaqdreqzlkveak8b5 trcrbhsi9iywhx8nqc8k4Hedrvn7hibqqqpp3bHukvekdOxprlyvuc7a8h1blr93qw . KOI8FZL + JHG + P8VTPK5ZAIYP ----- End Private Key-----

Le déprécié Liste des clés RSA La boîte de dialogue peut être supprimée à un moment donné. Pour configurer les clés, utilisez le Clés RSA Dialogue à la place. Pour modifier le protocole pour les données réseau déchiffrées, cliquez avec le bouton droit sur un paquet TLS et utilisez Décoder comme pour changer le Actuel protocole pour le Port TLS. Le adresse IP et Port Les champs ne sont pas utilisés.

Exemple de fichier de capture

  • décharge.pcapng tlsv1.2 Capture avec 73 suites de chiffre d’affaires, vous avez besoin de ce prémaster.Fichier TXT pour le décryptage du trafic. (lié à partir de https: // bogues.Wireshark.org / bugzilla / show_bug.CGI?id = 9144)
  • TLS12-DSB.pcapng – TLS 1.2 Trace avec des clés de décryptage intégrées. (Test Capture dans l’arbre source de Wireshark ajouté ici)
  • https: // gitlab.com / wireshark / wireshark / – / arbre / maître / test / captures – la suite de test contient diverses traces TLS.

Filtre d’affichage

Une liste complète des champs de filtre d’affichage TLS peut être trouvée dans la référence du filtre d’affichage

Afficher uniquement le trafic basé sur TLS:

Filtre de capture

Vous ne pouvez pas filtrer directement les protocoles TLS lors de la capture. Cependant, si vous connaissez le port TCP utilisé (voir ci-dessus), vous pouvez filtrer sur celui-ci, par exemple en utilisant le port TCP 443 .

En utilisant le (pré) -master-secret

Le Master Secret permet le décryptage TLS dans Wireshark et peut être fourni via le fichier journal clé. Le secret de pré-maître est le résultat de l’échange de clés et peut être converti en Master Secret par Wireshark. Ce secret de pré-maître peut être obtenu lorsqu’une clé privée RSA est fournie et qu’un échange de clés RSA est utilisé.

Instructions étape par étape pour décrypter le trafic TLS de Chrome ou Firefox à Wireshark:

  1. Fermez complètement le navigateur (vérifiez votre gestionnaire de tâches juste pour être sûr).
  2. Définissez la variable d’environnement SSLKEYLOGFILE sur le chemin absolu d’un fichier écrivable.
  3. Démarrer le navigateur.
  4. Vérifiez que l’emplacement de l’étape 2 est créé.
  5. À Wireshark, allez à Modifier ->Préférences ->Protocoles ->TLS, et changer le (Pré) -Master-Secret Log File Name préférence au chemin de l’étape 2.
  6. Démarrer la capture de Wireshark.
  7. Ouvrez un site Web, par exemple https: // www.Wireshark.org /
  8. Vérifiez que les données décryptées sont visibles. Par exemple, en utilisant le filtre TLS et (HTTP ou HTTP2).

Pour les fenêtres, Une variable d’environnement peut être définie à l’échelle mondiale comme décrit dans cette procédure pas à pas, mais cela n’est pas recommandé car il est facile d’oublier et peut être un problème de sécurité car il permet le décryptage de tout votre trafic TLS. Une meilleure façon de définir la variable d’environnement est via un fichier batch. Créer un fichier start-fx.cmd avec:

@echo off set sslkeylogfile =% userprofile% \ Desktop \ keylogfile.txt démarrer Firefox

Pour Linux, Vous ouvrez un terminal, puis démarrez le navigateur avec:

Exporter sslkeylogfile = $ home / bureau / keylogfile.TXT Firefox

Pour macos, Vous ouvrez un terminal, puis démarrez le navigateur avec:

Exporter sslkeylogfile = $ home / bureau / keylogfile.txt ouvert -a Firefox

Modifiez le chemin SSLKEYLOGFILE au besoin et remplacez Firefox par Chrome pour Google Chrome. Ce mécanisme actuellement (2019) ne fonctionne pas pour Safari, Microsoft Edge et autres depuis leurs bibliothèques TLS (Microsoft Schannel / Apple SecureTransport) ne soutient pas ce mécanisme. Ce mécanisme fonctionne également pour des applications autres que les navigateurs Web, mais il dépend de la bibliothèque TLS utilisée par l’application.

Note: Les versions basées sur le chrome de Edge (version 79+) devraient également fonctionner.

Exemples d’autres applications:

  • Les applications utilisant OpenSSL peuvent utiliser un GDB ou une astuce LD_PRELOAD pour extraire les secrets. Cela inclut Python.
    • Pour une procédure pas à pas pour Apache HTTP Server en utilisant ce libsslkeylog.Alors bibliothèque, voir ce post.
    • jsslkeylog: http: // jsslkeylog.sourceforge.filet/
    • extrait-tls-secrets: https: // github.com / neykov / extrait-tls-secrets

    Pour une enquête sur les applications et bibliothèques TLS prises en charge, voir également la page 19 de la présentation de l’UE SSL / TLS de Peter Wu.

    Incorporer les secrets de décryptage dans un fichier pcapng

    Depuis Wireshark 3.0 Vous pouvez intégrer le fichier journal de clé TLS dans un pcapng déposer. Cela rend beaucoup plus facile de distribuer des fichiers de capture avec des secrets de décryptage et facilite la commutation entre les fichiers de capture car la préférence du protocole TLS n’a pas à être mise à jour. Pour ajouter le contenu des clés du fichier journal des clés.txt pour capturer le fichier dans.PCAP et écrivez le résultat à OUT-DSB.pcapng:

    EditCap – Inject-Secrets TLS, Clés.txt dans.PCAP OUT-DSB.pcapng

    Le DSB Le suffixe signifie un bloc de secrets de décryptage (DSB) et fait partie de la spécification PCAPNG.

    Un fichier journal de clé peut contenir des clés qui ne sont pas liées à un fichier de capture. Pour vous assurer que les clés inutiles ne sont pas divulguées, vous pouvez utiliser les encrets Inject-TLS.script py de https: // gist.github.com / lekensteyn / f64ba6d6d2c6229d6ec444647979ea24 pour filtrer le fichier journal clé et ajouter les secrets requis à un fichier de capture. Le script shell a été testé avec Linux et MacOS, mais une version Python 3 est également disponible pour toutes les plates-formes, y compris Windows. Exemple:

    git clone https: // gist.github.com / lekensteyn / f64ba6d6d2c6229d6ec444647979ea24 ~ / its ~ / its / inject-tls-secrets.clés py.txt.PCAP

    Voir également

    Certains autres protocoles sont dérivés de TLS. Ceci comprend:

    • DTLS est basé sur la norme TLS et fonctionne au-dessus de l’UDP en tant que protocole de transport.
    • Quic est un protocole de développement qui utilise TLS pour son chiffrement, l’état de Wireshark peut être suivi sur https: // github.com / Quicwg / Base-Drafts / Wiki / Tools # Wireshark.

    Liens externes

    • https: // en.Wikipédia.org / wiki / transport_layer_security wikipedia Article pour TLS
    • https: // sharkfesteurope.Wireshark.org / actifs / présentations16eu / 07.PDFSHARKFEST’16 Présentation de l’UE par sake Blok sur le dépannage SSL avec Wireshark / Tshark (ou regarder la vidéo de la présentation sur https: // youtu.be / odady9qcnxk)
    • https: // Lekensteyn.NL / Fichiers / Wireshark-SSL-TLS-Decryption-Serets-Sharkfest18EU.PDFSHARKFEST’18 PRÉSENTATION DE L’UE par Peter Wu sur TLS Decryption (vidéo pour une conférence antérieure en Asie sur https: // youtu.be / bwjebwgoebg)
    • https: // Lekensteyn.NL / Fichiers / Wireshark-TLS-Debugging-Sharkfest19US.PDFSHARKFEST’19 Présentation américaine par Peter Wu décrivant le décryptage TLS et l’utilisation de secrets de décryptage intégrés (https: // youtu.be / ha4slhcef6w).
    • Comment fonctionne SSL / TLS? – Échange de pile de sécurité de l’information
    • SSL sans clé: les détails techniques de Nitty Gritty avec une bonne introduction dans TLS
    • Polarproxy de NetResec est un proxy SSL / TLS transparent créé pour les intervenants incidents et les chercheurs de logiciels malveillants qui sont principalement conçus pour intercepter et déchiffrer le trafic TLS à partir de logiciels malveillants. Polarproxy décrypte et réincrypte le trafic TLS, tout en enregistrant le trafic déchiffré dans un fichier PCAP qui peut être chargé dans Wireshark ou un système de détection d’intrusion (IDS).

    Qu’est-ce que HTTPS?

    HTTPS (Hypertext Transfer Protocol Secure) est une version sécurisée du protocole HTTP qui utilise le protocole SSL / TLS pour le cryptage et l’authentification. HTTPS est spécifié par RFC 2818 (mai 2000) et utilise le port 443 par défaut au lieu de HTTP’S PORT 80.

    Le protocole HTTPS permet aux utilisateurs de sites Web de transmettre des données sensibles telles que les numéros de carte de crédit, les informations bancaires et les informations d’identification de connexion en toute sécurité sur Internet. Pour cette raison, HTTPS est particulièrement important pour assurer des activités en ligne telles que les achats, les services bancaires et les travaux à distance. Cependant, HTTPS devient rapidement le protocole standard pour tous Sites Web, qu’ils échangent ou non des données sensibles avec les utilisateurs.

    En quoi HTTPS est-il différent de HTTP?

    Https ajoute chiffrement, authentification, et intégrité au protocole HTTP:

    Chiffrement: Parce que HTTP a été initialement conçu comme un protocole de texte clair, il est vulnérable à l’écoute et à l’homme dans les attaques moyennes. En incluant le cryptage SSL / TLS, HTTPS empêche les données envoyées sur Internet d’être interceptées et lues par un tiers. Grâce à la cryptographie par clé publique et à la poignée de main SSL / TLS, une session de communication cryptée peut être établie en toute sécurité entre deux parties qui ne se sont jamais rencontrées en personne (E.g. un serveur Web et un navigateur) via la création d’une clé secrète partagée.

    Authentification: Contrairement à HTTP, HTTPS comprend une authentification robuste via le protocole SSL / TLS. Un site Web’Le certificat SSL / TLS SSL comprend un Clé publique Qu’un navigateur Web puisse utiliser pour confirmer que les documents envoyés par le serveur (tels que les pages HTML) ont été signés numériquement par quelqu’un en possession du correspondant Clé privée. Si le serveur’Le certificat a été signé par une autorité de certificat de confiance publiquement (CA), comme SSL.com, le navigateur acceptera que toutes les informations d’identification incluses dans le certificat ont été validées par un tiers de confiance.

    Les sites Web HTTPS peuvent également être configurés pour authentification mutuelle, dans lequel un navigateur Web présente un certificat client identifiant l’utilisateur. L’authentification mutuelle est utile pour des situations telles que le travail à distance, où il est souhaitable d’inclure l’authentification multi-facteurs, réduisant le risque de phishing ou d’autres attaques impliquant un vol d’identification. Pour plus d’informations sur la configuration des certificats clients dans les navigateurs Web, veuillez lire ce comment.

    Intégrité: Chaque document (comme une page Web, une image ou un fichier JavaScript) envoyé à un navigateur par un serveur Web HTTPS comprend une signature numérique qu’un navigateur Web peut utiliser pour déterminer que le document n’a pas été modifié par un tiers ou autrement corrompu pendant le transport en transit. Le serveur calcule un hachage cryptographique du document’S Contenu, inclus avec son certificat numérique, que le navigateur peut calculer indépendamment pour prouver que le document’L’intégrité est intacte.

    Ensemble, ces garanties de cryptage, d’authentification et d’intégrité font de HTTPS un beaucoup Protocole plus sûr pour la navigation et la conduite des affaires sur le Web que HTTP.

    Quelles informations HTTPS fournit-elle aux utilisateurs concernant les propriétaires de sites Web?

    CAS utilise trois méthodes de validation de base lors de la délivrance des certificats numériques. La méthode de validation utilisée détermine les informations qui seront incluses dans un site Web’Certificat SSL / TLS:

    Validation du domaine (DV) confirme simplement que le nom de domaine couvert par le certificat est sous le contrôle de l’entité qui a demandé le certificat.
    Organisation / validation individuelle (OV / IV) Les certificats incluent le nom validé d’une entreprise ou d’une autre organisation (OV), ou d’une personne individuelle (IV).
    Validation prolongée (EV) Les certificats représentent la norme la plus élevée en fiducie Internet et nécessitent le plus d’efforts de l’AC pour valider. Les certificats EV ne sont délivrés qu’aux entreprises et autres organisations enregistrées, pas aux particuliers, et incluent le nom validé de cette organisation.

    Pour plus d’informations sur la visualisation du contenu d’un site Web’S Certificat numérique, veuillez lire notre article, comment puis-je vérifier si un site Web est géré par une entreprise légitime?

    Pourquoi utiliser HTTPS?

    Il existe plusieurs bonnes raisons d’utiliser HTTPS sur votre site Web et d’insister sur les HTTPS lors de la navigation, des achats et du travail sur le Web en tant qu’utilisateur:

    Intégrité et authentification: Grâce au chiffrement et à l’authentification, HTTPS protège l’intégrité de la communication entre un site Web et un utilisateur’navigateurs S. Vos utilisateurs sauront que les données envoyées à partir de votre serveur Web n’ont pas été interceptées et / ou modifiées par un tiers en transit. Et si tu’VE a fait l’investissement supplémentaire dans les certificats EV ou OV, ils pourront également dire que les informations provenaient vraiment de votre entreprise ou de votre organisation.

    Confidentialité: Bien sûr, personne ne veut que des intrus ramassent leurs numéros de carte de crédit et leurs mots de passe pendant qu’ils achètent ou bancaient en ligne, et HTTPS est idéal pour empêcher cela. Mais tu veux vraiment Vous voulez que tout ce que vous voyez et faites sur le Web soit un livre ouvert pour quiconque a envie d’étourdir (y compris les gouvernements, les employeurs ou quelqu’un qui construit un profil pour désanoniser vos activités en ligne)? HTTPS joue aussi un rôle important ici.

    Expérience utilisateur: Les changements récents dans l’interface utilisateur du navigateur ont entraîné la signalisation des sites HTTP comme insécurisés. Voulez-vous vos clients’ navigateurs pour leur dire que votre site Web est “Pas sécurisé” Ou montrez-leur une serrure réduite lorsqu’ils le visitent? Bien sûr que non!

    Compatibilité: Les modifications actuelles du navigateur poussent de plus en plus HTTP à l’incompatibilité. Mozilla Firefox a récemment annoncé un mode HTTPS uniquement en option, tandis que Google Chrome se déplace régulièrement pour bloquer le contenu mixte (ressources HTTP liées aux pages HTTPS). Lorsqu’il est vu avec les avertissements du navigateur de “insécurité” Pour les sites Web HTTP, il’est facile à voir que l’écriture est sur le mur pour http. En 2020, tous les principaux navigateurs et appareils mobiles actuels prennent en charge les HTTPS, vous avez donc gagné’T Perdre les utilisateurs en passant de HTTP.

    SEO: Les moteurs de recherche (y compris Google) utilisent HTTPS comme signal de classement lors de la génération de résultats de recherche. Par conséquent, les propriétaires de sites Web peuvent obtenir un boost de référencement facile simplement en configurant leurs serveurs Web pour utiliser HTTPS plutôt que HTTP.

    En bref, il n’y a plus de bonnes raisons pour lesquelles les sites Web publics continuent de prendre en charge HTTP. Même le gouvernement américain est à bord!

    Comment fonctionne HTTPS?

    Https ajoute chiffrement au protocole HTTP en emballage HTTP à l’intérieur du protocole SSL / TLS (c’est pourquoi SSL est appelé protocole de tunneling), de sorte que tous les messages sont chiffrés dans les deux directions entre deux ordinateurs en réseau (E.g. un client et un serveur Web). Bien qu’un écouteur puisse potentiellement accéder aux adresses IP, aux numéros de port, aux noms de domaine, à la quantité d’informations échangées et à la durée d’une session, toutes les données réelles échangées sont en toute sécurité cryptées par SSL / TLS, y compris:

    Demande URL (Quelle page Web a été demandée par le client)
    Contenu du site Web
    Paramètres de requête
    Têtes
    Biscuits

    HTTPS utilise également le protocole SSL / TLS pour authentification. SSL / TLS utilise des documents numériques appelés X.509 certificats pour lier la cryptographie paires clés à l’identité d’entités telles que les sites Web, les particuliers et les entreprises. Chaque paire de clés comprend un Clé privée, qui est maintenu en sécurité et un Clé publique, qui peut être largement distribué. Toute personne avec la clé publique peut l’utiliser pour:

    • Envoyer un message que seul le possesseur de la clé privée peut décrypter.
    • Confirmer qu’un message a été signé numériquement par sa clé privée correspondante.

    Si le certificat présenté par un site Web HTTPS a été signé par une confiance publiquement Autorité de certificat (CA), tel que SSL.com, Les utilisateurs peuvent être assurés que l’identité du site Web a été validée par un tiers de confiance et rigoureusement audit.

    Que se passe-t-il si mon site Web ne fait pas’t Utiliser les https?

    En 2020, les sites Web qui n’utilisent pas HTTPS ou servent du contenu mixte (servant des ressources comme des images via HTTP à partir des pages HTTPS) sont soumises aux avertissements et erreurs de sécurité du navigateur. De plus, ces sites Web compromettent inutilement leurs utilisateurs’ confidentialité et sécurité, et ne sont pas préférés par les algorithmes de moteur de recherche. Par conséquent, les sites Web HTTP et Contacent peuvent s’attendre Plus d’avertissements et d’erreurs de navigateur, Faire confiance à la confiance des utilisateurs et SEO plus pauvre que s’ils avaient activé HTTPS.

    Comment savoir si un site Web utilise HTTPS?

    barre d'adresse

    Une URL https commence par https: // au lieu de http: // . Les navigateurs Web modernes indiquent également qu’un utilisateur visite un site Web HTTPS sécurisé en affichant un symbole de cadenas fermé à gauche de l’URL:

    Dans les navigateurs modernes comme Chrome, Firefox et Safari, les utilisateurs peuvent Cliquez sur le verrouillage Pour voir si un site Web HTTPS’S Certificat numérique comprend des informations d’identification sur son propriétaire.

    Comment activer les HTTPS sur mon site Web?

    Pour protéger un site Web orienté public avec HTTPS, il est nécessaire d’installer un certificat SSL / TLS signé par une autorité de certificat de confiance publiquement (CA) sur votre serveur Web. SSL.com’S KnachesBase comprend de nombreux guides utiles et How-Tos pour configurer une grande variété de plates-formes de serveurs Web pour prendre en charge les HTTP.

    Pour des guides plus généraux pour la configuration et le dépannage du serveur HTTP, veuillez lire les meilleures pratiques SSL / TLS pour 2020 et dépanner les erreurs de navigateur SSL / TLS et les avertissements.

    Merci d’avoir visité SSL.com! Si vous avez des questions sur la commande et l’installation de certificats SSL / TLS, veuillez contacter notre équipe d’assistance 24/7 par e-mail chez support @ ssl.com, par téléphone au 1-877-SSL-Secure, ou simplement en cliquant sur le lien de chat en bas à droite de cette page Web.

    Https utilise-t-il TLS?

    О этой срранице

    Ыы зарегистрtures. С помощюю ээой страницы ыы сжжем оределить, что заES’t. П’t?

    Эта странdent к Te. Странdent. До ээого момента для исоллash.

    Источником заves просов может слжжж Вve ыыы заES’t. Еслèe Вы ис démar. Обратитесь к своему ситемному адмииииии. Подробнее.

    Проверка по слову может также появляться, ели Вы Вводите сложные заы, оычно рссзevretic емами, или же Вводите заES’t.

    Qu’est-ce qu’un certificat TLS / SSL, et comment ça marche?

    Chaque fois que vous envoyez ou recevez des informations sur Internet, il passe par un réseau de plusieurs ordinateurs pour atteindre la destination. Historiquement, n’importe lequel de ces ordinateurs pouvait lire vos données, car elle n’a pas été cryptée.

    Une grande partie de ces données est assez sensible – et précieuse pour les pirates. Il peut inclure des communications privées qui ne sont pas cryptées de bout en bout (nouvelle fenêtre), des informations financières et, pour les applications Web qui donnent’t Utilisez le protocole de mot de passe distant sécurisé (nouvelle fenêtre), même les informations de connexion.

    Pour protéger les données sensibles, les experts en sécurité ont développé un nouveau protocole standard pour envoyer et recevoir un trafic Internet: Transport Layer Security (TLS). Cela a été précédé par une couche de sockets sécurisée (SSL) mais cela a maintenant été largement remplacé par TLS.

    Dans cet article, nous’LL couvre les concepts de base derrière les certificats TLS et TLS. Vous pouvez également passer aux différentes sections:

    1. Qu’est-ce que TLS?
    2. Qu’est-ce qu’un certificat TLS?
    3. Comment fonctionne un certificat TLS?
    4. Quelles sont les faiblesses d’un certificat TLS?
    5. Pourquoi les autorités de certificat de confiance?
    6. Précautions de sécurité supplémentaires prises par Proton Mail

    Qu’est-ce que TLS?

    Avant de approfondir ce qu’est un certificat TLS ou comment il fonctionne, vous devez comprendre un peu de la technologie sous-jacente.

    La sécurité des couches de transport est un protocole qui établit une session cryptée entre deux ordinateurs sur Internet. Il vérifie l’identité du serveur et empêche les pirates d’intercepter les données.

    TLS (et son prédécesseur SSL) permet aux utilisateurs de transmettre en toute sécurité des données sensibles lors de l’utilisation du protocole HTTPS (nouvelle fenêtre) . En d’autres termes, HTTPS est http superposé au-dessus de TLS. Cette technologie est idéale pour des applications telles que la banque, l’authentification des informations, l’échange de courriels et toute autre procédure nécessitant un niveau de confidentialité et de sécurité plus élevé. TLS aide à fournir une couche de protection améliorée en chiffrant les données autrement lisibles, ce qui rend difficile pour les pirates d’obtenir des informations privées.

    Image montrant comment une session TLS est formée

    Ce cadre fournit une confidentialité entre les différents points de terminaison de la transmission des données et assure les données’s intégrité. Il utilise également des certificats numériques pour aider à vérifier l’authenticité des serveurs. Ces certificats sont communément appelés certificats TLS.

    L’authentification de ces certificats se produit en utilisant la cryptographie de la clé publique. Ceci est basé sur des paires clés composées d’une clé publique et d’une clé privée. Le décryptage des données cryptées ne peut se produire que lorsque la clé publique et la clé privée sont présents. Les certificats TLS utilisent l’authentification de la clé publique pour aider à vérifier que les données sont accessibles par le destinataire prévu.

    Qu’est-ce qu’un certificat TLS?

    Les certificats numériques, également appelés certificats d’identité ou certificats de clés publics, sont des fichiers numériques qui sont utilisés pour certifier la propriété d’une clé publique. Les certificats TLS sont un type de certificat numérique, délivré par une autorité de certificat (CA). Le CA signe le certificat, certifiant qu’ils ont vérifié qu’il appartient aux propriétaires du nom de domaine qui fait l’objet du certificat.

    Les certificats TLS contiennent généralement les informations suivantes:

    • Le nom de domaine sujet
    • L’organisation
    • Le nom de la CA émetteur
    • Noms de domaine de sujet supplémentaires ou alternatifs, y compris les sous-domaines, le cas échéant
    • Date d’émission
    • Date d’expiration
    • La clé publique (la clé privée, cependant, est un secret.)
    • La signature numérique par le CA

    Comment fonctionne un certificat TLS?

    Lorsqu’un utilisateur essaie de se connecter à un serveur, le serveur leur envoie son certificat TLS.

    L’utilisateur vérifie alors le serveur’S certificat à l’aide de certificats CA qui sont présents sur l’utilisateur’S de l’appareil pour établir une connexion sécurisée. Ce processus de vérification utilise la cryptographie de clé publique, comme RSA ou ECC, pour prouver que l’AC a signé le certificat. Tant que vous faites confiance à l’AC, cela démontre que vous communiquez avec le certificat de serveur’S Sujet (E.g., Courrier proton.com).

    Donc, cela signifie-t-il qu’il est à 100% sécurisé et infaillible? Eh bien, pas toujours.

    Quelles sont les faiblesses des certificats TLS?

    Bien que les certificats TLS soient généralement sécurisés, il existe des façons d’attaquer les pirates et potentiellement compromettre TLS. Ceux-ci inclus:

    Empoisonnement au magasin de certificats

    Si un attaquant infecte un ordinateur avec un logiciel malveillant, il pourrait accéder aux certificats numériques stockés sur cet appareil et insérer un certificat racine. Ceci, ainsi que la capacité de répondre frauduleusement à cet utilisateur’Les demandes du site Web leur permettraient d’identiter un site Web, leur permettant ainsi de lire toutes les données qui lui sont envoyées.

    Attaquer CAS directement

    Pour que la certification TLS fonctionne, l’AC doit être sécurisé. Toute violation de l’AC pourrait conduire à l’autorisation incorrecte ou frauduleuse des clés. Cela s’est produit à l’occasion dans le passé, Comodo et Diginotar (nouvelle fenêtre) étant des exemples relativement très médiatisés.

    Certificats délivrés à tort

    Les utilisateurs comptent sur CAS pour authentifier le serveur auquel ils se connectent. Cependant, il y a parfois un problème avec un certificat qui présente une vulnérabilité que les pirates peuvent exploiter. Lorsqu’il est combiné avec une connexion Internet non sécurisée, un attaquant peut utiliser un certificat mal émis pour compromettre votre connexion avec un serveur.

    Si tous ces problèmes existent, est-il prudent de faire confiance à Cas aveuglément? Faites confiance, oui. Aveuglément, non.

    Pourquoi les autorités de certificat de confiance?

    Comme les agents chargés de vérifier que les données que vous avez reçues proviennent du serveur que vous attendiez et que vous n’ayez pas été falsifié en route, les CAS jouent un rôle important dans Internet moderne. En émettant des millions de certificats numériques chaque année, ils sont l’épine dorsale de la communication Internet sécurisée, contribuant à crypter des milliards d’échanges et de transactions de données.

    La configuration physique d’une CA est connue sous le nom de son infrastructure clé publique (PKI). PKI se compose de plusieurs éléments opérationnels, y compris du matériel, des logiciels, une infrastructure de sécurité, du personnel, des cadres de politique, des systèmes d’audit et des déclarations de pratique, qui contribuent tous à s’assurer que le processus de validation du certificat TLS est fiable.

    Le modèle de confiance du PKI s’appuie sur deux éléments principaux: les certificats racinaires (également appelés racines de confiance) et le serveur’certificat S. Tous les certificats délivrés par un CA seront automatiquement fiables par votre navigateur, à condition que le CA’Le certificat racine est installé dans le magasin de certificats de votre appareil. Chaque appareil a un magasin de certificats, qui est une collection locale de certificats racine de Trust CAS.

    Précautions de sécurité supplémentaires prises par Proton Mail

    S’il est vrai que les méthodes de chiffrement basées sur CAS et TLS sont relativement sécurisées, là’S TOUJOURS SOPE pour l’amélioration.

    Ici à Proton, offrir une confidentialité et une sécurité améliorées est notre objectif principal. Nous utilisons des mesures supplémentaires pour établir des connexions sécurisées et dignes de confiance. Voici quelques-unes des étapes que nous prenons.

    DNS Certificate Authority Autorisation (CAA)

    En 2011, lorsque les nouvelles sont sorties concernant les certificats à tort, il y a eu besoin de mécanismes de sécurité améliorés. L’un des résultats de ces besoins est DNS CAA, qui bloque la délivrance de certificats incorrects.

    L’utilisation d’un enregistrement de ressources DNS permet aux propriétaires de domaines de décider quels AC sont autorisés à émettre des certificats pour un domaine donné. Si un enregistrement CAA existe, seul le CAS répertorié dans cet enregistrement peut émettre l’hôte’certificat S.

    Bien que cela offre une certaine protection contre une abus de certificat involontaire, il est très difficile pour les utilisateurs de détecter si un CA ignore le conseil CAA. C’est pourquoi la transparence du certificat est nécessaire.

    Transparence du certificat

    Pour garantir la validité des certificats et éviter les erreurs de mauvaise émission, tous les CAS affichent les certificats qu’ils ont générés sur les serveurs de journaux publics, appelés journaux de transparence des certificats (CT). Ces serveurs envoient une signature au CA, promettant de publier leur certificat.

    Nous servons un en-tête d’expectation-CT, qui dit au navigateur d’exiger la présence de cette signature. Nous avons également des serveurs de surveillance et d’audit qui vérifient le journal CT pour tous les certificats promis destinés à être publiés.

    Ensemble, toutes ces mesures rendent hautement improbable pour quiconque, y compris un acteur de l’État, à générer un certificat TLS pour Proton.moi et l’utilisez pour intercepter les connexions sans être détectée.

    Épinglage du certificat TLS

    L’épinglement de certificat est un processus qui relie un service à leur clé publique spécifique. Une fois qu’un certificat est établi pour un service particulier, il est épinglé en permanence au service. S’il y a plusieurs certificats valides pour un service donné, les épingles sont fusionnées dans un pingre. Pour valider un pingret, au moins un élément du service doit correspondre aux éléments de la pingre. Nous épinglons la clé publique de nos certificats dans toutes nos applications natives.

    Notre mission est de construire un Internet plus sûr et d’être informé de la façon dont vos données sont protégées peuvent vous permettre de prendre de meilleures décisions sur les services que vous utilisez. Si vous avez d’autres questions ou commentaires sur les certificats TLS ou comment nous les utilisons, faites-le nous savoir sur les réseaux sociaux sur Twitter (nouvelle fenêtre) ou Reddit (nouvelle fenêtre) .

    Cordialement,
    L’équipe Proton Mail

    Nous fournissons également un Service VPN gratuit (nouvelle fenetre) Pour protéger votre vie privée. Proton Mail et Proton VPN (nouvelle fenêtre) sont financés par les contributions communautaires. Si vous souhaitez soutenir nos efforts de développement, vous pouvez passer à un plan payant (nouvelle fenetre) ou donner (nouvelle fenetre) . Merci pour votre soutien.

    N’hésitez pas à partager vos commentaires et vos questions avec nous via nos réseaux sociaux officiels sur Twitter (nouvelle fenêtre) et Reddit (nouvelle fenêtre) .

Related Posts

© racavedigger.com 2024