transmission:ssl

SSL

SSL (Secure Socket Layer) est une surcouche que l'on peut facilement appliquer aux services Internet pour chiffrer les données. Ainsi https est http+ssl, imaps est imap+ssl, etc. Elle est indispensable dès lors que l'on transmet un mot de passe pour s'authentifier auprès du service, pour éviter que quelqu'un interceptant la communication puisse lire le mot de passe. Elle est aussi utile pour que celui-ci ne sache pas ce que l'on fait du service (voir Vie privée).

La difficulté est d'être sûr que la clé de chiffrement utilisée pour protéger les données est bien celle du service auquel on s'adresse, et non d'un intermédiaire. On pourrait appeler au téléphone quelqu'un du service pour vérifier l'empreinte de la clé, mais c'est un fonctionnement qui ne passe pas à l'échelle dès qu'il y a des milliers d'abonnés :)

Il y a deux principaux modes de fonctionnement:

  • TOFU (Trust On First Use) La première fois qu'on se connecte, on parie qu'il n'y a pas d'interception, et le logiciel note dans un coin la clé. Si plus tard le logiciel constate que la clé a changé, il montre un gros avertissement pour indiquer que peut-être il y a une interception en cours, ou bien que peut-être simplement le service a été réinstallé avec une nouvelle clé. Cela fonctionne donc aussi de manière plutôt limitée.
  • CA (Certificate Authority): un tiers de confiance, appelé CA, signe un certificat qui certifie que la clé est la bonne. Autrement dit, on déporte la question de confiance: plutôt qu'avoir à appeler au téléphone quelqu'un du service pour vérifier la clé du service, il suffit d'avoir la clé du CA pour vérifier que la clé du service est la bonne. Bien sûr cela ne fait que déplacer le problème: comment avoir la clé du CA ? Il se trouve qu'elle est préinstallée sur les systèmes d'exploitation et navigateurs web de nos ordinateurs. Nos ordinateurs font donc /par défaut/ confiance à quelques centaines de CA, à notre place. Bien sûr, si un CA se met à signer des certificats bidon, on ne peut plus lui faire confiance. C'est une des raisons pour lesquelles il faut faire les mises à jour, pour éliminer la clé d'un CA qui se mettrait à faire n'importe quoi (oui, cela arrive).
  • Éventuellement des liens vers des articles grand public
  • Éventuellement des liens ou vidéos vers des tutoriels
  • Éventuellement une vidéo geek
  • Éventuellement les liens vers les travaux de la fédé
  • [[documentation:cacertclientfederes|Documentations des fédérés]
  • transmission/ssl.txt
  • Dernière modification: 2019/07/13 12:33
  • de bikepunk