Sites web sécurisés (SSL)
Introduction
Le protocole SSL (Secure Socket Layer) sécurise les connexions aux sites web en validant l’authenticité du serveur web et en chiffrant les données transférées.
La validation de l’authenticité du serveur web permet de s’assurer que l’on est bien connecté au bon serveur web (anti phishing) et pas au serveur web créé (avec des pages visuellement identiques) par une personne mal intentionnée afin de récupérer des informations confidentielles, comme les identifiants de l’utilisateur.
Les données transférées sont sécurisées à l’aide d’un chiffrement symétrique. Les navigateurs actuels, en accord avec les législations, utilisent une clé de chiffrement symétrique de 256 bits.
Les connexions SSL s’effectuent sur le port TCP 443 et les URLS des sites sécurisés commencent par HTTPS (HyperText Transfer Protocol Secure).
SSL est très utilisé car il sécurise les sites web, mais aussi tous les portails applicatifs (Owa, applications bureau à distance, connexion bureau à distance…).
Processus de connexion SSL
Les étapes suivantes sont réalisées lors de la connexion d’un client à un serveur web SSL :
-
Authentification du serveur web
-
Le serveur web refuse la connexion en http.
-
Le serveur web renvoie une réponse au client où il exige une connexion en HTTPS. Cette réponse inclut aussi son certificat serveur (avec sa clé publique uniquement).
-
Le client vérifie l’authenticité du certificat du serveur à l’aide du certificat de l’autorité de certification qui l’a signé.
-
Chiffrement des données transmises
-
Le client génère une clé symétrique aléatoire.
-
Le client chiffre la clé symétrique avec clé publique du certificat du serveur web (chiffrement asymétrique) et l’envoie au serveur web.
-
Le serveur web déchiffre la clé symétrique avec sa clé privée.
-
Le client et le serveur disposent de la clé symétrique pour le chiffrement et déchiffrement des données.
La connexion SSL sécurisée est établie (cadenas dans la barre d’état et URL en vert).
Le certificat de l’autorité de certification permet de valider l’authenticité du certificat du serveur web.
Méthodologie d’implémentation
La méthodologie d’implémentation du protocole SSL sur un serveur web est la suivante :
-
Créer un modèle de certificat personnalisé SSL
-
Inscrire un certificat SSL basé sur le modèle personnalisé
-
Associer le certificat SSL obtenu au site web
-
Exiger une connexion sécurisée SSL
-
Tester la connexion sécurisée au site web
Ces étapes sont réalisées et décrites en détail dans l’atelier Serveur web sécurisé de ce chapitre.
Atelier : Serveur web sécurisé
1. Objectif
Dans l’atelier pratique de ce chapitre, nous allons implémenter un serveur web sécurisé utilisant le protocole SSL. Pour cela notre serveur web devra obtenir un certificat auprès de notre autorité de certification puis le lier au protocole HTTPS. Nous testerons ensuite le fonctionnement du protocole SSL en détail.
Les ordinateurs virtuels utilisés dans cet atelier sont les suivants :
S1 : contrôleur de domaine (Corp.lan)
S2 : autorité de certification (CorpRootCA)
S3 : serveur web du domaine (Corp.lan)
W10 : ordinateur client du domaine (Corp.lan)
2. Créer un serveur web IIS (Internet Information Services) (S3)
Nous allons installer dans un premier temps un serveur web opérationnel sur le serveur s3.
a. Installer le rôle
Ouvrez la console de gestion Gestionnaire de serveur, développez le menu Gérer et sélectionnez le menu Ajouter des rôles et fonctionnalités.
Dans la fenêtre Avant de commencer de l’assistant, cliquez sur le bouton Suivant.
Dans l’assistant Ajout de rôles et de fonctionnalités, dans la fenêtre Sélectionner le type d’installation, sélectionnez Installation basée sur un rôle ou une fonctionnalité et cliquez sur le bouton Suivant.
Dans la fenêtre Sélectionner le serveur de destination, sélectionnez Sélectionner un serveur du pool de serveurs et sélectionnez le serveur s3.corp.lan.
Dans la fenêtre Sélectionner des rôles de serveurs, cochez Serveur Web IIS.
Dans la fenêtre Assistant Ajout de rôles et de fonctionnalités, cliquez sur le bouton Ajouter des fonctionnalités puis cliquez sur le bouton Suivant.
Dans la fenêtre Sélectionner des fonctionnalités, cliquez sur le bouton Suivant.
Lisez la description de l’écran Rôle Web Server (IIS) et cliquez sur le bouton Suivant.
Dans la fenêtre Sélectionner des services de rôles, cliquez sur le bouton Suivant.
Dans la fenêtre Confirmer les sélections d’installation, validez les éléments qui seront installés puis cliquez sur le bouton Installer.
Attendez que l’installation soit complète puis cliquez...