Blog officiel
뚠뚠멍의 생각들

Examen approfondi du TLS

Création: 2024-10-27

Création: 2024-10-27 21:31

À partir de 2020 environ, la fin du support de TLS 1.1 a nécessité

de vérifier les anciens serveurs.


Le maintien de TLS 1.1 peut entraîner des erreurs lors de la communication entre les services cloud tels qu'AWS et Azure, ou

des erreurs lors de la communication avec les API externes telles que les paiements, ou encore des problèmes selon la version du navigateur.


Tomcat

- Il semble que les versions antérieures à la 6.x ne prennent pas en charge TLS 1.2. Il faut utiliser un JRE Java 7 ou supérieur pour passer à TLS 1.2.

https://docs.oracle.com/javase/7/docs/technotes/guides/security/StandardNames.html

Nginx

- Il semble que la version 1.1.13 prenne en charge TLS 1.2.

https://nginx.org/en/CHANGES-1.2


Principe du TLS

Client Hello : Le client envoie une requête de connexion au serveur (y compris la version TLS prise en charge et l'ensemble de chiffre).

Server Hello : Le serveur envoie la version TLS à utiliser, l'ensemble de chiffre et le certificat SSL pour prouver sa fiabilité.

Échange de clés et création de clés de session : Le client et le serveur utilisent un algorithme d'échange de clés pour créer une clé de session partagée.

Message de fin : Le client et le serveur envoient chacun un message de fin chiffré avec leur propre clé.

Transfert de données : Les données sont chiffrées et échangées à l'aide de la clé de session.

Fin : Une fois le transfert de données terminé, un message de fin de session est échangé et les informations de la clé de session sont supprimées.


Quelles sont les différences entre TLS 1.2 et 1.1 ?

TLS est un protocole de sécurité de niveau transport, qui sert de base à HTTPS. Il fournit l'authentification, l'intégrité et le chiffrement.

On dit que 1.2 est supérieur à 1.1 en termes de sécurité et de performance.

- 1.1 utilise les algorithmes de hachage MD5 et SHA-1.

- 1.1 peut être exposé aux attaques BEAST, Man-in-the-middle et Cipher Suite.

* BEAST : L'attaquant intercepte la connexion HTTPS et injecte un contenu malveillant.

* Man-in-the-middle : L'attaquant intercepte la communication et vole les données.

- 1.2 utilise l'algorithme SHA-256 (algorithme de sécurité plus robuste).

- 1.2 prend en charge les suites de chiffrement GCM (Galois/Counter Mode), qui effectuent simultanément le chiffrement et l'authentification, ce qui le rend plus rapide.


Suite de chiffrement (Cipher Suite)

Tous les mécanismes de chiffrement nécessaires pour que le client et le serveur puissent échanger des données, composé de 4 éléments.

1. Algorithme d'échange de clés

- Méthode d'échange sécurisé de clés secrètes partagées, ex) RSA, Diffie-Hellman

2. Algorithme d'authentification

- Vérification de la fiabilité du serveur via un certificat ex) Clé publique RSA

3. Algorithme de chiffrement symétrique

- Méthode de chiffrement des données pendant la session, et de déchiffrement par le client et le serveur avec la même clé de session ex) AES

4. Code d'authentification de message

- Vérification de l'intégrité des données ex) HMAC-SHA256

La suite de chiffrement est une notation combinant les quatre éléments ci-dessus.


Sujet

  • #TLS

Commentaires0