Guide ultime des certificats SSL : des concepts de base au déploiement sur Gateway

Zhihuang Lin

Zhihuang Lin

September 2, 2024

Technology

Actuellement, HTTPS est devenu la méthode principale de communication réseau et est largement utilisé sur divers sites web et services, en particulier dans les scénarios impliquant la transmission d'informations sensibles. HTTPS est basé sur le protocole SSL/TLS, fournissant un canal de communication chiffré qui assure la sécurité et l'intégrité de la transmission des données, empêchant efficacement les fuites et les altérations de données.

Les certificats SSL, en tant qu'implémentation clé du protocole SSL/TLS en pratique, jouent un rôle crucial dans la vérification des identités des serveurs et la sécurisation de la transmission des données.

Concepts de base des certificats SSL

Avant de plonger dans les détails des certificats SSL, il est nécessaire de comprendre les éléments clés de leur fonctionnement, principalement les concepts de clé publique et de clé privée.

  • Clé publique : Utilisée pour chiffrer les informations. Une fois que les informations sont chiffrées avec la clé publique, seule la clé privée correspondante peut les déchiffrer et lire le contenu.

  • Clé privée : Utilisée pour déchiffrer les informations. Elle a une relation un-à-un avec la clé publique, ce qui signifie que la clé privée ne peut déchiffrer que les informations chiffrées par la clé publique correspondante.

Les clés publique et privée sont générées en paire via un algorithme ; elles sont mathématiquement liées mais ne peuvent pas être dérivées l'une de l'autre de manière réalisable. La clé publique est accessible à tous, tandis que la clé privée est confidentielle et connue uniquement par le détenteur de la clé, ce qui est la pierre angulaire des algorithmes de chiffrement asymétrique.

Par exemple, supposons que vous souhaitiez échanger des informations chiffrées avec le site web d'une banque. Le processus de base est le suivant :

  1. La banque vous fournit d'abord sa clé publique. Cette clé publique est divulguée de manière sécurisée (par exemple, sur le site officiel de la banque ou via une autorité de certification tierce de confiance). La clé publique fait partie d'une paire de clés utilisée par la banque pour recevoir des informations chiffrées.

  2. Vous utilisez cette clé publique pour chiffrer les informations privées que vous souhaitez envoyer à la banque. Le chiffrement garantit que seule la personne possédant la clé privée correspondante (c'est-à-dire la banque) peut déchiffrer et lire les informations. Même si les données chiffrées sont interceptées par d'autres, elles ne peuvent pas être déchiffrées car seule la banque possède la clé privée.

  3. Lorsque la banque reçoit les informations chiffrées, elle utilise sa clé privée pour les déchiffrer. Comme la clé privée est unique à la banque et appariée à la clé publique, la banque peut déchiffrer et lire avec succès les informations privées que vous avez envoyées.

  4. Après avoir déchiffré et lu vos informations, la banque traite votre demande ou vos instructions en conséquence. Si nécessaire, la banque peut également utiliser votre clé publique pour chiffrer sa réponse afin d'assurer la sécurité de sa réponse.

Bien que ce processus de communication chiffrée semble parfait, il existe un risque : la clé publique que vous avez initialement reçue pourrait ne pas provenir de la banque mais d'un imposteur se faisant passer pour la banque. Cela signifie que si vous utilisez cette fausse clé publique pour le chiffrement sans vérifier son authenticité, toute information interceptée peut être déchiffrée par la fausse clé privée correspondante, entraînant une fuite d'informations.

Pour résoudre ce problème, un mécanisme est nécessaire pour vérifier la légitimité de la clé publique. C'est là qu'intervient le concept d'Autorité de Certification (CA). La CA est spécifiquement responsable de l'émission de certificats CA utilisés pour valider l'authenticité des clés publiques. Si la clé publique est illégale, elle ne doit pas être utilisée pour le chiffrement.

Un certificat SSL est un type de certificat CA émis par une CA. Il inclut la clé publique du serveur et la signature de la CA, tandis que la clé privée est généralement détenue par le propriétaire du serveur. Ensemble, les clés publique et privée travaillent pour assurer la sécurité et l'intégrité de la transmission des données.

Certificats SSL

Après avoir compris les concepts de clé publique, clé privée et certificats CA, l'étape suivante consiste à explorer comment ces concepts sont appliqués dans la communication réelle. Comme les certificats SSL sont utilisés pour le chiffrement de la communication, il est essentiel de comprendre comment déployer correctement ces certificats pour assurer la sécurité de la communication et la confidentialité des données.

Comment déployer des certificats sur les passerelles API ?

Après avoir compris les concepts de base des certificats SSL, discutons de leur déploiement. En pratique, les certificats sont généralement déployés sur les passerelles car les passerelles agissent comme des points d'entrée pour toutes les requêtes client, jouant un rôle critique dans la réception, la distribution, le traitement, le filtrage et le chiffrement des données entre les réseaux.

D'un point de vue de la gestion, déployer des certificats sur la passerelle simplifie grandement le processus de gestion des certificats. Comme toute communication chiffrée passe par la passerelle, les certificats SSL n'ont besoin d'être configurés et gérés que sur la passerelle plutôt que individuellement sur chaque serveur nécessitant une transmission chiffrée.

Par exemple, dans la passerelle open-source Apache APISIX, le déploiement des certificats SSL implique deux étapes principales :

  1. Préparer le certificat SSL : Acheter un certificat SSL auprès d'une CA ou générer un certificat auto-signé (uniquement pour les environnements de test) et obtenir les fichiers de certificat (format .crt ou .pem) et les fichiers de clé privée (format .key).

  2. Ajouter des ressources de certificat via l'API Admin : APISIX fournit une API Admin qui vous permet de créer, mettre à jour et supprimer dynamiquement des ressources SSL. Vous pouvez configurer des ressources SSL en utilisant une requête HTTP PUT en spécifiant le certificat, la clé et une liste optionnelle de SNI (Server Name Indication).

Pour configurer une ressource SSL pour le domaine test.com, vous pouvez utiliser une commande similaire à la suivante :

curl http://127.0.0.1:9180/apisix/admin/ssls/1 \  
-H 'X-API-KEY: your-api-key' -X PUT -d'  
{  
    "cert" : "'"$(cat t/certs/apisix.crt)"'",
     "key": "'"$(cat t/certs/apisix.key)"'",
     "snis": ["*.test.com"]
}'

Si vous utilisez NGINX, vous devez recharger la configuration après avoir configuré le certificat SSL. Cependant, APISIX supporte le rechargement à chaud, donc la configuration du certificat prend effet immédiatement après l'ajout des ressources SSL.

Flux de travail des certificats SSL

Une fois le certificat SSL configuré, lorsqu'un client tente de se connecter à test.com ou à ses sous-domaines (par exemple, www.test.com, comme spécifié dans la liste SNI *.test.com) via HTTPS, APISIX utilisera le certificat et la clé fournis pour établir une connexion sécurisée. Le flux de travail général est le suivant :

  1. Phase de poignée de main : Lorsque le serveur APISIX reçoit une requête sur le port HTTPS (par défaut : 9443), il initie le processus de poignée de main SSL. Pendant ce processus, APISIX envoie le certificat SSL préconfiguré au client. Le certificat inclut la clé publique du serveur et des informations sur la CA. Le client valide le certificat, vérifiant s'il est émis par une CA de confiance, s'il est dans sa période de validité et si le nom de domaine correspond au domaine demandé. Si la validation réussit, le client génère un nombre aléatoire comme Pre-Master Secret, le chiffre avec la clé publique du serveur et l'envoie au serveur.

  2. Échange de clés : APISIX déchiffre le Pre-Master Secret en utilisant la clé privée de la ressource SSL, obtenant ainsi le Pre-Master Secret. Le client et le serveur utilisent ce Pre-Master Secret et d'autres paramètres (comme des nombres aléatoires et des versions de protocole) pour calculer une clé de session partagée, qui sera utilisée pour le chiffrement et le déchiffrement ultérieurs.

  3. Transmission des données : Après l'échange de clés, un canal de communication chiffré sécurisé est établi entre le client et le serveur APISIX. Le client utilise la clé de session pour chiffrer les données avant de les envoyer au serveur APISIX, qui les déchiffre ensuite en utilisant la même clé de session pour obtenir les données originales. De même, APISIX chiffre les données avant de les renvoyer au client.

  4. Traitement de la requête et retour de la réponse : APISIX traite la requête reçue (maintenant déchiffrée) selon les routes configurées. Avant de renvoyer une réponse, APISIX chiffre les données de réponse avec la clé de session pour assurer une transmission sécurisée.

  5. Fermeture de la connexion : Après la fin de la communication, le client et le serveur APISIX ferment de manière sécurisée la connexion SSL et libèrent les ressources associées.

Points clés dans la gestion des certificats SSL

Les certificats SSL assurent une communication sécurisée et chiffrée entre le client et le serveur. Cependant, les certificats SSL seuls ne suffisent pas à garantir une sécurité de communication à long terme ; comprendre l'importance de la gestion des certificats SSL est également crucial. Une gestion efficace des certificats assure la validité et la sécurité continues des certificats, prévenant les risques de sécurité causés par des certificats expirés ou une mauvaise gestion.

Lors de la gestion des certificats SSL sur les passerelles, les points clés suivants doivent être notés :

  1. Les certificats SSL ont une durée de validité fixe. Une fois expirés, le navigateur affichera des avertissements lors de l'accès au site, ce qui aura un impact négatif sur l'expérience utilisateur et la confiance dans le site. Les administrateurs doivent régulièrement vérifier la validité des certificats et configurer des rappels pour renouveler les certificats avant leur expiration.

  2. À mesure que l'échelle des activités augmente, la gestion manuelle des certificats SSL devient de plus en plus impraticable. Pour minimiser les erreurs humaines et gagner du temps, il est recommandé d'utiliser des outils d'automatisation (par exemple, des clients ACME, Certbot) pour demander, déployer, mettre à jour et révoquer automatiquement les certificats.

  3. Centraliser la surveillance de l'état et des performances des certificats SSL pour détecter et résoudre rapidement tout problème potentiel. Configurer des stratégies d'alerte efficaces pour notifier immédiatement les administrateurs si les certificats sont sur le point d'expirer, présentent des anomalies ou contiennent des vulnérabilités de sécurité.

Conclusion

En résumé, les certificats SSL jouent un rôle essentiel dans la sécurité de la communication réseau. En comprenant les principes et la gestion des certificats SSL et en les déployant efficacement sur les passerelles, nous pouvons considérablement améliorer la sécurité et l'intégrité de la transmission des données. Cela protège non seulement les informations sensibles contre les fuites ou les altérations, mais améliore également l'expérience utilisateur et la confiance dans le site web.

Tags:
SSL Certificate