TLS et SSL pour les débutants

Bienvenue au Guide du débutant sur TLS et SSL. Nous plongerons profondément dans les applications de la cartographie clé asymétrique ou publique.

Qu'est-ce que la cryptographie asymétrique?

La cryptographie par clé publique a été introduite au début de 1970. Avec elle est venue l'idée qu'au lieu d'utiliser une seule clé pour crypter et déchiffrer une information, deux clés distinctes doivent être utilisées: le cryptage et le décryptage. Cela signifie que la clé utilisée pour crypter les informations n'est pas pertinente pour la question du décryptage de ces informations. Il est également connu sous le nom de cryptographie asymétrique.

Ceci est un concept nouveau, et pour en élaborer davantage, cela nécessiterait l'utilisation d'un calcul très complexe, nous allons donc enregistrer cette discussion pour une autre fois.

Que sont TLS et SSL?

TLS signifie la sécurité de la couche de transport, tandis que SSL est une abréviation pour la couche de prise sécurisée. Les deux sont des applications publiques de cryptographie, et ensemble, ils ont rendu les internautes en mesure de faire des communications sur Internet.

Ce que ces deux sont exactement expliqués ci-dessous.

En quoi TLS est-il différent de SSL?

TLS et SSL utilisent tous deux l'approche asymétrique du cryptage pour sécuriser les communications sur Internet (poignées de main). La différence de base entre les deux est que SSL résulte de l'innovation commerciale, et donc une propriété à sa société mère, qui est Netscape. En revanche, TLS est une norme du groupe de travail d'ingénierie Internet, une version légèrement mise à jour de SSL. Il a été nommé différemment pour éviter les problèmes de droit d'auteur et potentiellement un procès.

Pour être précis, TLS vient avec certains attributs qui le séparent de SSL. Dans TSL, les poignées de main sont établies sans sécurité et sont renforcées par la commande startTLS, ce qui n'est pas le cas dans SSL.

Le TSL est considéré comme une amélioration de la SSL car il permet de mettre à niveau les poignées de main qui sont généralement dangereuses ou peu sûres.

Ce qui rend les connexions TLS plus sûres que SSL?

Il y a eu une concurrence intense sur les marchés de la sécurité informatique. SSL 3.0 ne pouvait pas suivre Internet et a été rendu obsolète en 2015. Il y a plusieurs raisons derrière cela, principalement avec les vulnérabilités qui n'auraient pas pu être corrigées. Une telle sensibilité est la compatibilité de SSL avec les chiffres qui sont capables de résister aux cyberattaques modernes.

La vulnérabilité reste avec TLS 1.0, comme un intrus pourrait forcer un SSL 3.0 connexion sur le client, puis exploiter sa vulnérabilité. Ce n'est plus le cas avec la nouvelle mise à niveau de TLS.

Quelles mesures pouvons-nous prendre?

Si vous êtes à la réception, vous gardez simplement votre navigateur à jour. De nos jours, tous les navigateurs sont livrés avec une prise en charge intégrée pour TLS 1.2, c'est pourquoi le maintien de la sécurité n'est pas si difficile pour les clients. Cependant, les utilisateurs doivent toujours prendre des précautions lorsqu'ils voient des drapeaux rouges. Pratiquement tous les messages d'avertissement de vos navigateurs pointent sur de tels drapeaux rouges. Les navigateurs Web modernes sont exceptionnels à détecter si quelque chose de Shady se déroule sur un site Web.

Les sites Web d'hébergement des administrateurs du serveur ont des responsabilités plus importantes sur leurs épaules. Vous pouvez faire beaucoup à cet égard, mais commençons à afficher un message lorsqu'un client utilise un logiciel obsolète.

Par exemple, ceux qui utilisent des machines Apache comme serveurs devraient l'essayer:

$ SSLOPTIONS + STDENVVARS
$ RequestHeader set x-ssl-protocol% ssl_protocol s
$ RequestHeader set x-ssl-cipher% ssl_cipher s

Si vous utilisez PHP, recherchez $ _Server dans le script. Si vous rencontrez tout ce qui indique que TLS est obsolète, un message sera affiché en conséquence.

Pour mieux renforcer la sécurité de votre serveur, il existe des services publics gratuits qui testaient le système de sensibilités aux lacunes TLS et SSL. Certains d'entre eux peuvent encore mieux configurer votre serveur. Si vous aimez cette idée, consultez le générateur de configuration de Mozilla SSL, qui fait essentiellement tout le travail pour que vous définissez votre serveur pour minimiser les risques TLS et tels.

Si vous souhaitez tester votre serveur pour la susceptibilités SSL, consultez les laboratoires SSL de Qualys. Il exécute une configuration automatisée à la fois complète et complexe si vous êtes orienté vers le détail.

En résumé

Tout bien considéré, le poids de la responsabilité réside sur les épaules de chacun.

Avec l'avènement des ordinateurs et des techniques modernes, les cyberattaques sont devenues de plus en plus percutantes et à grande échelle avec le temps. Tous les internautes doivent avoir une connaissance adéquate des systèmes protégeant leur confidentialité en ligne et prendre les précautions nécessaires tout en communiquant sur Internet.

Dans tous les cas, vous êtes toujours beaucoup mieux en train d'utiliser l'ouverture car ils sont plus sûrs, gratuits et peuvent faire le travail.