Préparé par : BEN ABDEL OUAHAB IKRAM 1

 Introduction
 Définition : SSL, c’est quoi ?
 Origine SSL
 Caractéristiques : Pourquoi SSL ?
 Avantages & Inconvénients
 Déroulement des échanges SSL
▪ La négociation SSL « Handshake»
▪ La communication SSL « Record »
 Cas d’utilisations
 Conclusion
2

 Comment protéger sa vie privée sur le Web des
pirates ?
 Comment sécuriser vos données (messagerie ,
payement en ligne …) qui transitent par le web ?
3

 Protocoles généraux de sécurité des
échanges sur Internet :
▪ IPsec – Internet Protocol Security
 protocole au niveau transport.
▪ SSL – Secure Sockets Layer
 protocole au dessus de TCP (Entre TCP et l'application).
4

 Protocole de sécurité.
 Il crée un canal sécurisé entre deux machines
communiquant sur Internet ou un réseau
interne.
 Simple pour l’utilisateur final
 Le SSL est un protocole transparent qui nécessite peu
d'interaction de la part de l'utilisateur final.
 Il agit comme couche
supplémentaire entre la couche
application (http,ftp..) et la couche
transport (tcp/ip)
5

 SSL développé en 1995 par Netscape
 En 2001 il a été racheté par l'IETF
▪ (Internet Engineering Task Force)
 Depuis il s’appelle TLS
▪ (Transport Layer Security)
6

 SSL est indépendant du protocole utilisé
▪ Il peut sécuriser différents protocoles comme:
 http , ftp , Pop , Imap …
Protocole sécurisé Port Protocole non sécurisé Application
HTTPS 443 HTTP Web sécurisé
SSMTP 465 SMTP Transport du courrier
SNNTP 563 NNTP Transport des news Usernet
SSL-LDAP 636 LDAP Annuaires
IMAPS 993 IMAP4 Accès aux boites aux lettres
SPOP3 995 POP3 Accès aux boites aux lettres
FTPS 889/990 FTP Transfert de fichiers
TELNETS 992 TELNET Connexion interactive 7

 Compatibilité avec les navigateurs
▪ La connection aux sites sécurisée avec SSL se fait
avec les différents navigateurs :
 Internet explorer, Firefox, Opera…
8

 Compatible avec TCP/IP
 Protocole standardise
 Etablissement rapide d’une session
 De nombreuses applications utilisent SSL/TLS
 Assure la confidentialité et empêche l’espionnage
ou l’interception de données.
 Intégration facile avec les pare-feu
9

 Authentification non obligatoire du client
 Méthodes de sécurité peu sophistiquées pour
des transactions demandant haut niveau de
confidentialité
 Modèle client-serveur insuffisant pour des
services de paiement d’un site marchand (une
banque)
10

 Le protocole SSL est constitué de 4 sous protocoles :
11

12

13

14

15

16

17

• Découpe les données
en paquets,
• Compresse les
données,
• Chiffre les données,
• Les envoie.
Expéditeur
• déchiffre les données,
• vérifie la signature des
données,
• décompresse les
données,
• réassemble les paquets
de données.
Récepteur
18

 Connexions et tout échange d'information
confidentielle
▪ Transactions bancaire en ligne.
 Les applications et les messageries web
▪ Outlook Web Access, Exchange et Office
Communications Server.
 Les connexions aux réseaux et aux traffics de
réseaux utilisant les VPNs SSL.
▪ Tels que VPN Access Servers, et les applications, telles que
Citrix Access Gateway.
19

 SSL remplit les objectifs de
sécurité que l’on attend de lui, il
est capable d’assurer :
 l’authentification mutuelle des
acteurs,
 la confidentialité,
 l’intégrité des données.
20

 SSL est :
 Sûr dans sa construction et ses
mécanismes,
 Faible dans son authentification : ne
pouvant faire mieux qu’Internet, il n’offre
qu’une résistance passable aux attaques
actives.
21

 Après plusieurs années de service
et d’usage généralisé :
 SSL/TLS n’a pas subi d’attaque
dévastatrice,
 Les vulnérabilités décelées concernent
principalement sa mise en œuvre et non
ses mécanismes.
22

23