SSL (Secure Sockets Layer) (couche de sockets sécurisée) C’est le moyen de sécuriser les sites de e-Commerce
SSL est indépendant du protocole utilisé Il agit comme couche supplémentaire entre la couche application (http,ftp..) et la couche transport (tcp/ip) il peut sécuriser différents protocoles comme http ftp Pop, imap
SSL transparent pout l’utilisateur La connection aux sites sécurisée avec ssl se fait avec les différents navigateurs : Internet explorer, firefox, opera… C’est nescape navigator qui en avait le brevet L’url d’un serveur sécurisé commence par https
SSL / TLS Le brevet de SSL appartenait à Netscape En 2001 il a été racheté par l'IETF (Internet Engineering Task Force) Depuis il s’appelle TLS (Transport Layer Security)
Fonctionnement Basé sur un échange de clés
Les certificats Le certificat associe une clé publique à une entité (Entreprise ou machine)
L’ autorités de certifications C A Certification Authority C’est un organisme de confiance qui : Délivre les certifcats dont il a vérifié la validité et assigné une date de validité Révoque un certificat en cas de compromission de la clé publique
Certificats et navigateur
Autorités de certification Autorité de certification commerciale Vérifie l’identité des sociétés commerciales en s’appuyant sur différents documents officiels puis signe le certificat ex : verisign Autorité de certification privée Chaque société peut crée ses propres certificats qui ne seront alors utilisable qu’en Internet (Intranet d’une gde entreprise)
Exemple de transaction SSL Le client se connecte au site marchand Il demande au site de s’identifier
Le client se connecte au site marchand Il demande au site de s’identifier Le client envoie lors de cette requête la liste des systèmes de cryptographie que son navigateur supporte.
Réponse du serveur I l envoie un certificat contenant sa clé publique signé par une autorité de certification. Il indique quel système de cryptographie il retiendra.
Décryptage chez le client .
Le client dialogue t-il avec le bon serveur ? Le serveur envoie un document qui permettra de l’identifier. Il « hache » ce document (empreinte) Il signe (crypte) ce document avec sa clé privé.
Le client vérifie l’identité du serveur Il utilise la clé publique du serveur pour décrypter le message Il calcule l’empreinte de ce message qu’il pourra comparer avec celle envoyée par le serveur.
Utilisation d’une clé privé (clé de session) Pour que les transactions soit plus rapide il sera utilisée une clé privé. Cette clé générée de façon aléatoire portera le nom de : Clé de session
Le client crée une clé de session
Le serveur reçoit la clé de session
Les transaction peuvent démarrer .