LCC 125 - Interview sur HTTPS avec Tom Delmas - partie 1

Emmanuel et Arnaud discutent avec Tom Delmas d’HTTPS. Comment ça marche, quelles sont les faiblesses et les diverses protections. Mais aussi comment mettre en place concrètement un certificat sur un site web.

Enregistré le 23 mai 2015

Téléchargement de l’épisode LesCastCodeurs-Episode-125.mp3

Interview

Ta vie ton œuvre

@kermiite
Blog de Tom Delmas
ENSIIE
GroupCamp

Pourquoi HTTPS

Protection de la vie privée

• FireSheep

Protection contre les méthodes de certains FAI :

• Ajout de publicités
• Ajout de cookies

Obligation légale de protection des données personnelles

Des détails sur le fait que Chrome et FF vont déprécier des trucs en HTTP. - Hubert SABLONNIÈRE Le HTTPS avec HTTP2 ? - Hubert SABLONNIÈRE

Des infos sur HTTPS et HTTP/2

Mise en place d’interception SSL chez un client est ce légal ? Pour surveiller les comme et interdire les posts sur facebook. - Rémy Menétrieux

Les recommandations de la CNIL sur l’analyse de flux HTTPS

Comment marche HTTPS

Ca veut dire quoi être sous HTTPS
SSL v2 v3 TLS 1.0, 1.2 c’est quoi tout ce bazar.
Les différents niveaux de certificats SSL (classes)

• Certificat extended validation

Chrome vs SHA1
Attaque des suites d’export

Les différences entre les certificats SSL :

• simple
• wildcard
• Multiple domaines

Un certificat == 1 IP ou pas avec le SNI
Server Name Indication

Les autorités de certification

Pourquoi mon navigateur a confiance dans le serveur SSL des cast codeurs ?

Nos navigateurs autorisent des centaines de CA Une seule suffit à tout bousiller

CNNIC banni par Google
CNNIC dénonce l’attitude de Google
ANSSI chopée par Google

Discussion sur les proxy et les proxy SSL

Google Chrome HTTPS pinning
Mozilla se base sur la liste de chrome
HPKP
DANE
DNSSEC
Key pinning et interceptions
Pas de DANE dans les navigateurs

Les autorités de certification gratuites :

• https://www.startssl.com/ (mais révocation payante)
• https://www.wosign.com/english/freeSSL.htm
• https://fr.godaddy.com/ssl/ssl-open-source.aspx (pour les projets open source)
• https://letsencrypt.org (futur proche)

Comment les vendeurs de browsers choisissent les CA qu’ils supportent nativement ? Procédure standard ou jungle ? - Jean-Baptiste Nizet

Mozilla a des critères
Pas que les navigateurs mais aussi les systèmes d’exploitation
Forum des CA
CACert

Pourquoi n’existe-t-il pas de CA public. L’État n’est-il pas plus habilité pour ce service que des boîtes privées ? - Jean-Baptiste Nizet

Il y en a plein en fait France, US, Chine et autre : Département de la defense américain, Hong-Kong post office etc

La suite

Comment obtenir un certificat.
Comment serrer les boulons.

Nous contacter

Contactez-nous via twitter http://twitter.com/lescastcodeurs
sur le groupe Google http://groups.google.com/group/lescastcodeurs
ou sur le site web http://lescastcodeurs.com/
Flattr-ez nous (dons) sur http://lescastcodeurs.com/
En savoir plus sur le sponsoring ? sponsors@lescastcodeurs.com