Editions ENI Livres | Vidéos | e-Formations
Chiffrement d'échange (SSL/TLS)
Introduction
Sur internet d’aujourd’hui, l’encryptage n’est plus optionnel. Les administrateurs système demandent la sécurité, les utilisateurs et les clients exigent la confidentialité, les autorités obligent à la protection de la vie privée et les navigateurs et les moteurs de recherche insistent aussi sur le chiffrement.
SSL (en anglais : Secure Sockets Layer, couche de sockets sécurisée) et TLS (en anglais : Transport Layer Security, sécurité de la couche de transport) sont des termes fréquents dans ce contexte, ils sont souvent utilisés de manière interchangeable. La raison en est double : d’une part, TLS se base sur SSL et en est le successeur, les protocoles sont donc liés et ils ont le même but ; d’autre part, les deux protocoles utilisent les mêmes certificats pour le chiffrement des données.
Les différences les plus importantes sont la façon d’établir la connexion (en anglais : handshake, poignée de main) et le fait qu’en TLS, quelques faiblesses de SSL ont été réparées. Ces termes seront certainement encore utilisés de façon interchangeable pendant un certain temps ; l’internaute, qui vient de s’habituer au terme SSL, aura besoin de temps pour intégrer le terme TLS.
La TLS peut servir...
Let’s Encrypt
Il existe plusieurs fournisseurs de certificats sans frais, mais tous ces certificats sont obtenus de Let’s Encrypt (cryptons). Let’s Encrypt est un organisme sans but lucratif qui se consacre au chiffrement de tout le trafic internet. Les services de Let’s Encrypt sont gratuits et complètement automatisés. Les certificats ont une durée de validité de trois mois mais ils peuvent être renouvelés indéfiniment.
1. Certbot
Il existe plusieurs clients pour faire la demande et l’installation des certificats, mais Let’s Encrypt conseille l’utilisation de Certbot. Certbot fonctionne comme suit :
1. L’administrateur système crée un hôte virtuel (Apache) ou un serveur virtuel (Nginx) sous le nom d’hôte pour lequel le certificat sera obtenu.
2. L’administrateur système lance Certbot et répond aux quelques questions qui sont posées (adresse courriel, etc.).
3. Certbot crée un fichier dans le répertoire de l’hôte ou du serveur virtuel.
4. Certbot envoie un message à Let’s Encrypt.
5. Let’s Encrypt requiert par HTTP le fichier créé en étape 3.
6. Si Let’s Encrypt trouve ce fichier à la bonne adresse, le demandeur a démontré être le propriétaire du domaine, et Certbot reçoit le certificat.
7. Certbot installe le certificat reçu.
8. L’administrateur système modifie la configuration du serveur web, ou autre service, pour l’utilisation du certificat.
L’enregistrement du nom de domaine et la configuration du DNS sont donc des conditions préalables à la demande du certificat, pour permettre à Let’s Encrypt l’envoi de la requête HTTP.
Sous FreeBSD, il existe plusieurs paquets nommés py*_certbot. Comme le préfixe py signifie, en principe, toujours Python (le langage de programmation), la version de Certbot doit correspondre à la version du paquet Python installé.
freebsd# pkg search certbot
freebsd# pkg info | grep python
freebsd# pkg install py36-certbot
debian# apt install certbot
centos# yum install certbot Il est pratique de créer un répertoire dédié au fichier créé dans l’étape 3 ci-dessus. Cela...