2018-02-04

L’importance de TLS sur Internet (3)

La dernière fois, nous vous avons parlé de l’obtention et de l’installation des certificats SSL/TLS à partir d’autorités de certification. Aujourd’hui, nous allons parler des défenses et avantages que donnent TLS aux opérateurs de sites web, de manière plus perspicace.

TLS permet de sécuriser des connexions entre un serveur et un ordinateur, c’est-à-dire que toute donnée passant à travers le réseau est chiffré avec le certificat, et parfois authentifié (exemple des certificats OV et EV: on peut voir, sur le site de Mozilla, une barre verte avec le nom légal de Mozilla - si vous ne savez pas qui est Mozilla, il s’agit d’un organisme faisait la promotion d’un internet libre et sécuritaire, éduquant les internautes et développant Thunderbird et Firefox). Cela garantit que la donnée transmise provient bien du site web (ici même, vous pouvez être sûr qu’il s’agit de notre site avec le certificat SSL que nous avons installé).

Cela empêche ainsi des pirates d’écoute d’intercepter les communications entre le serveur et l’ordinateur, il ne verra que des caractères incompréhensibles.

Cependant, si un pirate MITM (homme au milieu) arrive correctement à tout capter, il sera en très mauvaise posture, car le chiffrage sera annulé. Ainsi, l’utilisateur verra une alerte, lorsqu’il se connectera via HTTPS. Pour vous renseigner, visitez le site de Moxie Marlinspike.

Cela aide encore mieux si HSTS (Strict Transport Security - forcer HTTPS) ou HPKP (Public Key Pinning - n’autoriser qu’un seul certificat SSL) est activé, car là c’est à coup sûr qu’un pirate a tenté d’intercepter les communications.

Cependant, si il n’y avait pas TLS, l’utilisateur ne saurait même pas qu’il est épié, le pirate aurait aussi la liberté de changer tout le contenu de la donnée transmise: le gouvernement chinois modifiait autrefois les pages non chiffrées de Wikipedia pour des fausses informations de propagande. Avec TLS forcé, le gouvernement chinois ne pouvait plus rien modifier, et conséquemment ça a été bloqué. (Ne vous inquiétez pas, le site du petit weblogger ne sera pas bloqué même s’il utilise SSL).

Vous, comme utilisateur, sentez que vous voulez avoir des choses vraies? Il faut que vous utilisiez des extensions comme HTTPS Everywhere pour forcer TLS partout.

Vous, comme webmaster, sentez le besoin de tout chiffrer sachant que votre contenu est proie, ou que vous êtes un peu maniaques? Obtenez un certificat SSL gratuitement avec Let’s Encrypt, cPanel, COMODO CA, Encryption Everywhere ou SSLForFree.

TLS est un excellent avantage lorsqu’il s’agit de diffuser des communications.