Webinar SSL Français

Click here to load reader

  • date post

    05-Jul-2015
  • Category

    Technology

  • view

    483
  • download

    3

Embed Size (px)

description

Diapositives du Webinar SSL : INTRODUCTION Qu’est-ce que le SSL / TLS ? L’intérêt du SSL Rapide historique Déroulement d’une connexion TLS PARTIE 1 Quel est le rôle d’un certificat SSL ? Les niveaux de validation Les options d’un certificat SSL : Wildcard et SAN Le processus de commande La chaîne de certification Algorithmes SSL : chiffrement & authentification Étude de cas : exemples typiques PARTIE 2 Modes de déploiement TLS et épuisement des adresses IPv4 HAProxy et le SNI Impacts du TLS SSL offloading SEO Sécurité du protocole SSL

Transcript of Webinar SSL Français

  • 1. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBAvecIntroductionQuest-cequeLe SSL / TLSPartie1 propos des CertficatsSSLPartie2Impact etOptimisation SSL13/11/2014

2. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBBaptiste AssmanHAProxyINTRODUCTIONQuest-cequele SSL / TLS ?Quest-ce que le SSL / TLS ?Lintrt du SSLRapide historiqueDroulement dune connexion TLSGlossaireLes tapes 3. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBQuest-cequele SSL ?OSI modelLayer 7 applicationHTTP, POP, IMAPLayer 6 presentationLayer 5 sessionSSL/ TLSLayer 4 transportTCPLayer3 networkIPLayer2 linkLayer1 -physicalSSL(SecuredSocket Layers) lanc en 1994En 1999, lIETF cre une version standardise du SSL, et la nomme TLS (Transport Layer Security)On parle toujours de SSL par abus de langage. SSL = TLSDans le modle de communication rseau OSI, le SSL / TLS fonctionne sur la 5 coucheLe SSL estsymbolispar le s dansHTTPS, IMAPS, POPS, etc. 4. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBConfidentialit: personne ne peut comprendre le contenu chang entre deux entits ayant tabli une connexion TLSIntgrit: Aucune donne ne peut tre altre lorsquelle est transmise sur une connexion TLSAuthentification: chaque entit dune connexion TLS peut valider que lautre est bien celui quil annonce tre. (Dans ces slides, on ne sintressera qu la partie serveur)entit1entit2Connexion TLSIntrtdu protocole 5. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBHistoriqueSSL(SecuredSocket Layers)Premire version: Netscape en 1994SSL 2.0: 1995SSL 3.0: 1996Standardisation par lIETF : TLS(Transport Layer Security)TLS 1.0: 1999 (bas sur le SSL 3.0)TLS 1.1: 2006TLS 1.2: 2008TLS 1.3: 2015 6. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBDroulementduneconnexion TLSAvant de commencer, quelques dfinitions :Client hello: initialisation de la connexion TLS par le clientServer hello: rponse du serveur linitialisation de la connexion TLS du clientTLS handshake: phase durant laquelle le client et le serveur ngocient la faon dont la connexion va stablirClient random: suite de caractres alatoires, unique pour chaque session TLS, gnre par le clientServer random: suite de caractres alatoires, unique pour chaque session TLS, gnre par le serveurPre-master secret: donne en binaire fournie par le client, utilise pour gnrer la cl de sessionCiphersuite: suite spcifique dalgorithmes utiliss lors dune session TLSSession key: cl de chiffrement symtrique utilise suite auTLS handshakeSession ID: identifiant de session TLS, qui peut tre rutilis ultrieurement par le serveur et le clientGlossaire 7. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBDroulementduneconnexion TLS1reconnexion : les tapestape 1:client hello: le client ouvre une connexion TCP et envoie les ciphersuites quil connaittape 2:server hello: le serveur choisit uneciphersuite depuis la liste du client, et envoie son server randomLe serveur envoie son certificat SSL avec sa cl publique au clienttape 3:Le client vrifie lauthenticit et la validit du certificat du serveur (self signed, expiration, )tape 4:Le client utilise la cl publique du serveur pour chiffrer son randomet le pre-master secrettape 5:Le client et le serveur gnrent la cl de session laide du client random, duserveur randomet du pre-master secrettape 6:Le premier message chiffr est ensuite changClientServer(1) Client Hellociphersuites supportes(2) Server HelloCipherSuite, certificat Server, cl publique, Server Random(3)Vrification du certificat SSL du serveur(4) Client Key ExchangeClient Random, pre-master secret (chiffre avcela cl publique du serveur)(5)Gnration de la cl de session(5)Gnration de la cl de session et de lID de session(6) Premier message 8. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBReprise duneconnexion TLSTLS resume: les tapestape 1:client hello: le client ouvre une connexion TCP et envoie les ciphersuites quil connait ainsi que le session ID de la cl quil souhaite r-utilisertape 2:server hello: le serveur choisit une ciphersuite depuis la liste du client.Le serveur envoie son certificat SSL avec sa cl publique au clienttape 3:Le client vrifie lauthenticit et la validit du certificat du serveur (self signed, expiration, )tape 4:Le premier message chiffr est ensuite changClientServer(1) Client Hellociphersuites supportes, Session ID(2) Server HelloCipherSuite, certificat Server, cl publique(3)Vrification du certificat SSL du serveur(4) Premier message 9. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBFranois Marien SSL247Quelestle rledun certificatSSL ?Les niveauxde validationLes options dun certificatSSL : Wildcard et SANLe processusde commandeLa chanede certificationAlgorithmesSSL : chiffrement& authentificationtudede cas: exemplestypiquesPARTIE 1 propos des CertificatsSSL 10. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBQuelestle rledun certificatSSL ?SSL:Secure Socket LayerUn certificatSSL estun fichierreliant uneclpubliquecryptographique un nom de domaine. Un certificatSSL active le protocoleSSL / TLS lorsquilestinstallsurun serveurTLS:Transport Layer SecurityRemplacen1999 par3 rlesprincipauxChiffrer les donnes transfres en ligne> Quelquun peut-il lire les informations que jchange?Authentifier un serveur> Suis-je bien en train de communiquer avec le serveur que ce dernier prtend tre ?Garantir lintgrit dun contenu> Quelquun a-t-til pu modifier le contenu que jchange?Prouver lidentit de lorganisation qui contrle le domaine!(selon le niveau de validation) 11. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEB3 niveauxde validation possiblesChiffrement des donnesValidation du nom de domaine + authentification de lorganisationCadenas + https dans le navigateur webLes dtails de lorganisation sont indiqus dans le certificatmis en 1 -2 joursValidation de lorganisation = dlai dmission plus longChiffrement des donnesAuthentification stricte, qui respecte les normes de lindustrie SSLBarre verte + cadenas + https dans le navigateur webLes dtails de lorganisation sont indiqus dans le certificatmis en 5 6 joursValidation stricte et longue = confiance maximum des visiteursChiffrement des donnesValidation du nom de domaineCadenas + https dans le navigateur webCertificat mis en moins de 10 minutesAucune validation de lidentit du propritaire = mission rapideOV (Organisation Validation)EV (Extended Validation)DV (Domain Validation) 12. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEB2options / add-onsScuriseun nombreillimitde sous-domaines.Un Wildcard se reconnait son * (toile) dansle domaine. Exemple:*.ssl247.co.ukpeut scuriser blog.ssl247.co.uk, mail.ssl247.co.uk, server.ssl247.co.uk+Plusfacilegrer,moinscherquedacheteruncertificatparsous-domaine;Plusflexible-Silecertificatestcompromis,touslesserveursutilisantlecertificatWildcardsontcompromis; IncompatibleaveccertainsOSmobiles;IncompatibleaveclescertificatsEV(ExtendedValidation)Souventutilispour les services Unified Communications (UC) afinde scuriserles applications Microsoft oules Mobile Device Managers.Exemple: ssl247.com, exchange.ssl247.com, ssl247.net,new-ssl247.net-LeCAprocderalaverificationdechaquedomainescurisparvosSANs;NcessiteunbonneorganisationsivousavezdenombreuxSANs;Pluscherquuncertificatnormal+IlestgnralementmoinscherdacheterdesSANspluttqueplusieurscertificats;Sivossites/appssonthebergssurunseulserveur,unSANnerequiertpasuneadresseIPdiffrentepourchaquenomdedomaine 13. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBLes tapesde la commandeRequteValidation et missionInstallation123CSR = CertifiateSigning RequestInformationsdu commanditaireClpriveClpubliqueLorsquele CA metvotrecertificatSSL , cederniergarantitofficiellementquela clpubliquequi se trouvaitdansvotreCSR appartientbien www.votredomaine.com, et garantitgalementquewww.votredomaine.com estbiencontrlpar votreorganisation( lexceptiondes certificats DV puisquilssontmissans aucunevrification). 14. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBLa chanede certificationCertificat racine (root) = le certificat de lAutorit de Certification elle-mme!Une racine se chane un intermdiaire en le signant (en lauthentifiant).TrustInfrastructureCA intermdiaire= le dlgu duneracine.Lintermdiaireestencharge de signer (authentifier) les certificats SSL.CertificatSSL.Le certificatSSL estmispar le CA, puissignpar un intermdiaire, qui estlui-mmesignpar la racine. 15. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBAlgorithmesSSL : chiffrementRSA crpar Ron Rivest, AdiShamir et Leonard AdlemanDSA DigitalSignatureAlgorithmECC EllipticCurveCryptography NOUVEAU !a) Chiffrement asymtrique > 3 principaux algorithmes pour lchange de clLe SSL utilise deuxtypes de chiffrement:a) Chiffrement asymtrique: utilis au tout dbut de la session chiffre, pendant lchange de la cl de sessionNcessite deux cls, une publique et une prive)b) Chiffrement symtrique: utilis une fois la cl de session change(ncessite une cl de session temporaire)b) Chiffrement symtrique > 1 standard : AES (Advanced EncryptionStandard)Cipher suite = combinaisondes algorithmesdauthentification, dchangede clet de chiffrement 16. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBAlgorithmesSSL : authentification1algorithmeprincipal:SHA(SecureHashAlgorithm)Utilisdanslesconnexionsscurisesafindeprouverlintgritetlauthenticitdunmessageaurcepteur.AlgorithmestandarddanslescertificatsSSLLes certificats SHA-1 concernspar lactionde Google :Expirantentre le 01/06/2016 et le 31/12/2016Expirant partirdu 01/01/2017FinduSHA-1,bienvenueauSHA-2SHA-2 = empreintede 256 bitsVs.2fd4e1c67a2d28fced849ee1bb76e7391b93eb12e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855Google acclrela fin du SHA-1SHA-1 = empreintede 160 bitsLes 3 prochaines versions de Chrome vont faire apparatre progressivement des icones dalerte sur des sites scuriss par des certificats SHA-1 17. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBtudede cas: requtestypiques Jaibesoinde scurisermon serveurMicrosoft Exchangemail.contoso.commail.contoso-local.comautodiscover.contoso.comautodiscover.contoso-local.comlegacy.contoso.comsip.contoso.commeet.contoso.comlyncdiscover.contoso.comlyncweb.contoso.comdialin.contoso.comCertificat de type OV avec SANCertificat de type OV avec Wildcard+SANshop.contoso.com Jaiun project Lync avec 2 serveurs: Edge + ProxyCertificat Mono-url EVSymantec Jaiun site de e-commerce 18. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBPARTIE 2Impact et OptimisationBaptiste AssmannHAProxyModes de dploiementTLS et puisement des adresses IPv4HAProxy et le SNIImpacts du TLS :Sur la performance serveurSur les clientsSur les applications webSSL offloadingSEOScurit du protocole SSL 19. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBModes de dploiementHAProxyserverSSL pass through or forwardSSL offloadingSSL cut through or bridgingclientSSLSSLHAProxyserverclientSSLclearHAProxyserverclientSSLSSLEncrypteddataCleardataCleardataHAProxy peuttredployde 3 maniresdiffrentesdevantdes services reposantsurdu SSL.Il nya pas de bonne nide mauvaise architecture. Il faututilisercellequi rpond vospr-requis.Les pr-requissontdictspar lapplication, les serveurs, la capacitde traitement, etc.. 20. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBModes de dploiementserverclientSSLSSLHAProxyEncrypteddataHAProxy et SSL pass through ouSSL forwardfrontend ft_wwwmode tcpbind 10.0.0.1:443default_backendbk_wwwbackend bk_wwwmode tcpserver s1 10.0.0.11:443 21. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBModes de dploiementHAProxyserverclientSSLclearCleardataHAProxy et SSL offloadingfrontend ft_wwwmode httpbind 10.0.0.1:443 sslcrtmycrt.pemdefault_backendbk_wwwbackend bk_wwwmode httpserver s1 10.0.0.11:80 22. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBModes de dploiementHAProxyserverclientSSLSSLCleardataHAProxy et SSL cut through oubridgingfrontend ft_wwwmode httpbind 10.0.0.1:443 sslcrtmycrt.pemdefault_backendbk_wwwbackend bk_wwwmode httpserver s1 10.0.0.11:443 ssl 23. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBTLS et puisementdes adressesIPv4Extension TLS: Server Name Indication (SNI)Le certificat prsent par le serveur doit correspondre EXACTEMENT au hostname, ou le client recevra une alerte de type domainmismatch.Ce qui se passait avant larrive du SNI :Quand le serveur doit envoyer le certificat, il ne sait pas quel service le client essaie dutiliserLe hostnamedu service est une donne en HTTP (niveau 7 du modle OSI), qui nest pas disponible sur la couche TLS (niveau 5 du modle OSI)Puisquil tait impossible pour le serveur de faire le lien entre lun de ses certificats et le service souhait par le client, on a souvent conseill daffecter une adresse IP par certificatLes certifiatsde type wildcardet SANspouvaient aider, mais ntaient pas totalement flexibles 24. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBTLS et puisementdes adressesIPv4Extension TLS: Server Name Indication (SNI)En Avril 2006, le RFC 4366 est publi, introduisant les extensions TLS.Lune de ces extensions sappelle Server Name Indication (SNI)Cette extension permet au client, durant le client hello, denvoyer au serveur le nom du service que le client souhaite atteindre dans la couche suprieure (HTTP) laide de cette information, le serveur peut dsormais slectionner le bon certificat envoyerLe client et le serveur doivent pouvoir supporter le SNIClientServer(1) Client HelloSupportedciphersuites,Server Name Indication(2) Server HelloCipherSuite, Server certificate, public key, Server Random(3)Verifyserver certificateServer chooses the certificate based on SNI sent by the client 25. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBTLS et puisementdes adressesIPv4HAProxy et le SNIEntantquepoint de terminaisonSSLIndiquez HAProxy de charger tousles certificatsdisponiblesdansun repertoire spcifique: (validenproduction avec 50000 certificats)Chemindu certificatenvoypar dfaut(lorsquele client ne supportepas le SNI):Pour enregistrerles informationsdu SNI, utilisezle sample fetch ssl_fc_sni dansunedirective log-format :Enmode TLS passthroughRoutezles connexionsTLS versdiffrentsserver farmsfrontend ft_wwwbind 10.0.0.1:443 sslcrt/etc/haproxy/certs/frontend ft_wwwbind 10.0.0.1:443 sslcrt/etc/haproxy/certs/default.pemcrt/etc/haproxy/certs/log-format ...%[ssl_fc_sni]...frontend ft_sslbind 10.0.0.1:443tcp-request inspect-delay 5stcp-request content accept if { req_ssl_hello_type1 }use_backendbk_webmailif { req.ssl_sniiowa.domain.com mail.domain.com }use_backendbk_sharepointif { req.ssl_sniisharepoint.domain.com } 26. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBImpact du TLS surles performancesCPUUtilisation du CPU :Le processus de calcul des cls demande beaucoup de ressources, dautant plus que le nouveau standard pour la longueur des cls est de 2048 bitsLa reprise dune session TLS est moins couteuse en ressourcesChiffrer une requte dans une session TLS tablie est peu couteuse avec un CPU moderne et des instructions AES-NIPerformance HAProxy / OpenSSLavec un CPU single corei7 cadenc 3.4Ghz :Nombre de calculs pour dchiffrer des cls 2048 bits : environ 600/sPendant une reprise de session TLS (TLS 1.2) : environ 12000/sBande-passante TLS : 4.3Gb/sVous comprenez maintenant lutilit de la reprise de connexion TLS!!!! (x20 en perf)Le choix de la cihpersuite est galement trs important!!! lire: https://wiki.mozilla.org/Security/Server_Side_TLS 27. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBImpact du TLS surles performancesCPUUtilisezla section globaledHAProxypour grerles paramtresSSL (HAProxy 1.5.8 +)Enregistrezle user-agent du client et la cipher suite ngocieExemplede log: ...{TLSv1/ECDHE-RSA-AES128-SHA}...Adaptezvoscipher suites aux besoinsde vosclients, pas justepour avoirun joliA+ surSSL Labs!!!Encasde problme, HAProxy enregistreraunemention TLS handshake error, sans autreinformation. Cettepartieestgrepar la librairieOpenSSL.Configurezle cache de clde session SSL dHAProxy:globalssl-default-bind-ciphers tune.ssl.default-dh-param2048ssl-default-bind-options no-sslv3capture request header User-Agent len128log-format ...{sslv/sslc}...globaltune.ssl.cachesize50000 # default to 20000tune.ssl.lifetime600 # default to 300 seconds 28. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBImpact du TLS surles performancesMmoireUtilisationde la mmoire(sans tuning, paramtresHAProxy et systmepar dfaut) :UneconnexionTCP raw passant par HAProxy demande50Ko de mmoireAjoutez64Ko de mmoirepar connexionTLSMmoirencessairepour 1000 connexionsTLS :Limitezle nombrede connexionTLSMode de dploiementNombrede calculsMmoiretotalerequiseTLS pass through1000 * 50K50 MbTLS offloading1000 * (50K + 64K)114 MbTLS cutthrough1000 * (50K + 64K + 64K)178 Mbglobalmaxsslconn10000 29. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBImpact du TLS surles clientsForward proxiesCertaines entreprises interdisent le HTTPssur leurs forwardproxiesTout site web devrait tre disponible en HTTP et HTTPS (donnes publiques)Les applications web devraient en revanche tre disponibles en HTTPS seulementCertains forwardproxiesfont de linspection SSL, rendant le TLS inutile:https://www.google.fr/search?&q=SSL+inspection+applianceAppareilsde faiblecapacitDes ressources CPU faibles ont un impact majeur sur la performance :Augmentation de la consommation de batterieLatence et dlais daffichageSeules les versions obsoltes du SSL supportes, pas de mise jour possibleEncore une fois, le choix des ciphersuites est trs important !!! 30. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBImpact du TLS surles clientsDsactiverTLS v1.0 oupas ???Matricede compatibilitsans le TLS v1.0 (listenon exhaustive) 31. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBImpact du TLS surles clientsDsactiverTLS v1.0 oupas ???Matricede compatibilitavec le TLS v1.0 (listenon exhaustive) 32. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBImpact du TLS surles applications webAfin de supporter le passage au TLS, une application web doit tre agile.Les liens doivent tre adapts (HTTP ou HTTPS). Liens relatifs de prfrence.Les rponses HTTP doivent correspondre au mode choisi (HTTP ou HTTPS) et au port (80 ou 443)Il est parfois ncessaire de passer sur un mode SSL bridgingCe qui doit tre chiffr :Toute page contenant des information sensibles / personnellesLintgralit de la page doit tre chiffreLes cookies ne doivent jamais tre envoys via une connexion non scuriseMlanger deux noms de domaine pour tlcharger le contenu statique en clair et le contenu dynamique en SSL sur une mme page peut gnrer des warnings de type mixed contentdans le navigateur 33. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBImpact du TLS surles applications webHAProxy peutactiverles Secure flags des cookies de vosapplications :Le Secure flag demandeau navigateurde ne pas envoyerde cookie suruneconnexion non scurisePour forcer un logout siun cookie a tenvoysuruneconnexion enclair:Scuriserles cookies de vosapplicationsBackendmyappaclhttpsssl_fcaclsecured_cookieres.hdr(Set-Cookie),lower-m subsecurerspirep^(set-cookie:.*) 1;Secure if https !secured_cookieaclhttpsssl_fcaclapp_cookiereq.cook(JSESSIONID) -m foundaclpath_logoutpathi /logout.jsphttp-requestredirect/logout.jspif !https app_cookie!path_logout 34. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBImpact du SSL offloadingLa difficult principale du SSL offloading: le client navigue sur du HTTPS alors que la connexion entre le proxy et lapplication serveur est en clairChecklist:HAProxy doit informer le serveur du protocole utilis par le clientLe server doit adapter la rponse (localisation, set-cookie, etc.)Les liens dans le contenu des pages doivent tre adapts galementHAProxyserverclientSSLclearCleardatafrontend ft_wwwmode httpbind 10.0.0.1:443 sslcrtmycrt.pemdefault_backendbk_wwwbackend bk_wwwmode httpserver s1 10.0.0.11:80 35. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBImpact du SSL offloadingDemander HAProxy denregistrerdes informationsutiles:Demander lapplicationserveurquelprotocolea tutilispar le client :Tracker les erreurset adapter les rponsesdu serveurselonle type de connexion du client :Ne pas oublierle Secure flag !capture responseheader Locationlen32capture responseheader Set-Cookie len32http-requestset-header X-Forwarded-Proto https if{ ssl_fc}http-requestset-header X-Forwarded-Proto httpif !{ ssl_fc}rspirep^Location:http://(.*):80(.*) Location:https://1:4432 if { ssl_fc}rspirep^Location:http://(.*) Location:https://1 if { ssl_fc} 36. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBSearch Engine OptimisationRcemment, Google a annoncquele protocoleutilise (HTTP / HTTPs) par les sites web seraitprisencomptepar lalgorithmede rfrencement: HTTPs tantpriorisIl estimportant et urgent de migrerenHTTPs sile business de lentrepriseestliau rfrencementdansGoogleSi le business de lentreprisenestpas liau rferencement, alorsla migration estmoinsurgente. 37. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBScuritdu protocoleSSLLes faiblessesdu SSL / TLSPlusieursvulnrabilitsonttrcemmentdcouvertesLibrairieOpenSSL: vrifiezbienquevousdisposezde la dernireversion compatible avec votreOSHeartbleadCCS (CVE 2014-0224)Le protocoleSSL :Beast attack: utilisezunelibrairieSSL jourSSLv3 Poodle: dsactivezle support du SSLv3:viteztouteattaquepar downgrade (TLS_FALLBACK_SCSV)Compression TLSglobalssl-default-bind-options no-sslv3 38. SSL/TLS: IMPACT ET SOLUTIONS POUR VOS APPLICATIONS WEBConclusion / rappelLintgrationdu SSL nestpas unechose simpleSi lapplicationa tpensepour, aucunproblmeSi lapplicationnestpas prte, apeutfonctionner(au piredes casenmode SSL bridging)Dansde rarescas, ilfaudraprvoirunemise jour applicativeNe pas oublierde faire un audit avanttoutemigrationIl fautbiengarder lespritquele client lui-mmea un impact surle protocoleSSL (compatibilit, limitation, ciphers, etc)La flexibilitdHAProxy, son reporting, sesperformances, sontvosmeilleursallispour cetteintgrationPasser au SSLChoisirle bon certificatSSLUn certificatSSL fait plus quele chiffrementde donnesVousdeveztrouverle bon quilibreentre le niveaude validation, le niveaude chiffrementet les add-ons (Wildcards/SAN) dontvousavezbesoinSSL247peutvousaider trouverle(s) certificat(s) le(s) plus adapt(s) vosbesoins 39. LIENS [email protected]+33 (0)3 66 72 95 [email protected]+33 (0)1 75 43 40 70www.haproxy.com/fr-https://www.ssl247.fr/ssl-tools/certificate-decoder> dcoder un certificat SSL-https://www.ssllabs.com/ssltest/> tester votre serveur SSL-https://istlsfastyet.com/> plusdinformation sur le passage au TLS-https://www.ssl247.fr/support/assistant> choisir le bon certificat-https://www.ssl247.fr/ssl-certificates/brands/GeoTrust/geotrust-trial> utiliser un certificatSSL de 30 jours, gratuit, pour tester le SSL sur vos serveurs