decouvrez le ssl
Post on 25-May-2015
239 Views
Preview:
TRANSCRIPT
SSL by Keynectis
DateIntervenant KEYNECTIS
3
Croissance de la fraude sur Internet
3
‐
50 000
100 000
150 000
200 000
250 000
300 000
350 000
400 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Plaintes reçues par l'IC3
Plaintes reçues
Graphiques basés sur des données IC3 www.ic3.org ‐ avec des extrapolations
‐
1 000
2000 2005 2006 2007 2008 2009 2010 2011
Pertes en Million de dollars
Plaintes reçues
4
Croissance du SSL
4
Graphique basé sur des données Netcraft www.netcraft.com ‐ avec des extrapolations
‐
200 000
400 000
600 000
800 000
1 000 000
1 200 000
1 400 000
1 600 000
1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
SSL
Nombre de certificats
5
Rassurer les clients
• 83% des Internautes veulent plus d’assurance sur le fait que leurs informations sont sécurisées
• 86% des clients en ligne se sentent plus rassurés quand ils saisissent leurs informations personnelles sur des sites qui montrent des indicateurs de sécurité
(Sources: Synovate/GMI Research, September 2008; Javelin Strategy and Research, March 2009)
6
Objectifs du SSL
Pages web à risque
• Login / mot de passe• Formulaires• Paiement en ligne• Messageries électroniques• …
7
Expérience Utilisateur
8
https et non http Cadenas
https et non http Cadenas
Barre verte Nom légal de l’organisation et code pays
SSL
SSL Extended Validation
Certificat non valide
Certificats auto‐signés ou non valides
9
Les certificats SSL
10
« Carte d’identité » du site web
Chaine de confiance
11
Le navigateur fait confiance à Keynectis qui fait confiance à votre site web
Reconnaissance dans les navigateurs
12
SSL en action
13
Autorité de Certification
Organisation
1) demande de certificat SSL
2) installe
Internaute
4) Echange d’information chiffréSite web authentifié
3) Validation en temps réel (OCSP)
Processus de création
14
Serveur Web Autorité de CertificationCertificate Signing Request
fichier.csr
ValidationsCertificatfichier.cer ou base 64
1) Extrait 2) Envoie
5) Installe
Clé privée
Clé publique
3) Génère4) Envoie
Informations dans la CSR
CN = www.keynectis.comOU = Departement MarketingO = KeynectisSTREET = 11‐13 Rue Rene JacquesL = Issy les MoulineauxPostalCode = 92130S = IDFKey=3082010A0282010100BF9F9F71CE4F4….Taille de la clé = 2048 ...
15
Extraire
Types de certificats
16
Domain Validated
Organization Validated
Extended Validation
RGS 1 étoile
Unified Communication
Wildcard
Simple et économique Pour le secteur public
Inspire la confiance
Avec la barre verte Avec un nombre illimité de sous‐domaines
Pour les messageries
17
L’Offre SSL (1/2)
SSL Domain Validated Organization Validated Extended Validation RGS *
Niveau de confiance Basic (+) Optimum (++) Maximum (++++) Optimum (+++)
Cadenas √ √ √ √
Barre verte √ X
Validité 1 à 3 ans 1 à 3 ans 1 à 2 ans 1 à 3 ans
Garantie 10 000€ 50 000€ 100 000€ 50 000€
SAN (jusqu’à 99) √ √ √ √
Adresses IP √ √
Wildcard √ √
Support En ligne En ligne et téléphonique
En ligne et téléphonique
En ligne et téléphonique
Vérification Domaine Organisation Etendue Organisation +
Sceau dynamique √ √ √ √
Remplacement Gratuit Gratuit Gratuit Gratruit
Nom de l’organisation dans le certificat √ √ √
Délais de livraison 2 jours ouvrés 2 jours ouvrés 3 jours ouvrés 3 jours ouvrés
17
18
L’Offre SSL (2/2)
SSL Domain Validated Organization Validated Extended Validation RGS *
Taille de la clé 2048 2048 2048 2048
Nombre de licences 3 pour le prix d’une 3 pour le prix d’une 3 pour le prix d’une 3 pour le prix d’une
Support des vieuxnavigateurs à risque (CGC)
Non Non Non Non
Algorithme de hachage SHA1 SHA1 SHA1 SHA1
Documents requis Non Oui Oui Oui
Validation en temps réel (OCSP) √ √ √ √
Responsable de compte dédié Non Non Oui Non
domainname.com offert avec www.domainname.com
√ √ √ √
Strict respect du standard SSL X509 √ √ √ √
Réductions jusqu’à 30% sur le multi‐années
√ √ √ √
Renouvellement 10% de réduction 10% de réduction 10% de réduction 10% de réduction
18
Vérifications
19
Domain Validated
Organization ValidatedVérification de l’existence de l’organisation en utilisant des bases de données tierces telles que infogreffe et les pages jaunes. Vérification auprès du contact administratif par téléphone en passant par le standard.
Vérification par email que la personne possédant le nom de domaine accepte la création du certificat SSL (whois ou noms prédéfinis tels que webmaster@nomdedomaine.com)
Vérifications
20
Extended ValidationVérification étendue de l’existence légale, physique et opérationnelle via des bases de données tierces telles que infogreffe et les pages jaunes. Vérification téléphonique auprès du manager du signataire du contrat en passant par le standard .
RGS *Vérification de l’existence de l’organisation en utilisant des bases de données tierces telles que infogreffe et les pages jaunes. Vérification auprès du contact administratif par téléphone en passant par le standard. Vérification de l’identité du signataire du contrat via une pièce d’identité.
Une offre SSL complète
21
Quelle est la vraie page ?
22
Quelle est la vraie page ?
23
Pourquoi le SSL Extended Validation
• Phishing : https://www.mabanque.com
• Typo‐squatting :
https://www.mabanques.comhttps://www.mzbanque.com
• Utilisation du locahost : https://mabanque.moncompte.com
24
https://www.mabanqueS.comLien hypertexte vers
https://*.moncompte.comSur le nom de domaine
Sécurité maximum avec le SSL EV
25
https et non http Cadenas
Barre verte Nom légal de l’organisation et code pays
SSL Extended Validation
www.keynectis.com appartient formellement à l’organisation Keynectis enregistrée en France
Guides pour les utilisateurs
26
Le SSL EV accroit la confiance
• 100% des participants remarquent si le site présente ou pas la barre verte
• 93% des participants préfèrent acheter sur des sites qui présentent la barre verte
• 97% sont plus enclins à partager les informations relatives à leur carte de crédit sur les sites avec la barre verte
• 77% des participants reportent qu’ils hésiteraient à acheter en ligne sur des sites qui avaient avant la barre verte et ne l’ont plus
In January 2007, Tec‐Ed5 researched usage and attitudes of 384 online shoppers and measured their responses to Web sites with and without green bars
27
L’offre Club
28
Principe de l’offre Club
29
Organisation Autorité de Certification
1) Communique une liste blanche de nom de domaines
2) Met à disposition une interface pour gérer les certificats en 24 / 7
3) Gère ses certificats SSL
Offre Club : Gestion des demandes
30
Web Master
Opérateur
1) Soumet
2) Valide
Sceau dynamique
31
Clique sur le sceau dynamique
Guides pour les utilisateurs
32
Server‐Gated Cryptographie ?
• Permet d’être en 128 ou 256 bits pour les très anciens navigateurs (10 ans et +)
• 99,9% des navigateurs supportent le 128 et 256 bits• Typologie d’utilisateurs sans sécurité et à risque• Très anciens navigateurs avec des trous de sécurité• Exemple de navigateur: IE 5 – RTM en Mars 1999
– Dernière version sans le 128 et 256 bits• Recommandation: Ne pas installer le SGC
33
Part de marché des navigateurs
Microsoft Internet Explorer 8,0 30,07%Firefox 4,0 10,46%Microsoft Internet Explorer 6,0 10,18%Chrome 12,0 7,32%Firefox 3,6 7,08%Microsoft Internet Explorer 7,0 6,58%Microsoft Internet Explorer 9,0 5,63%Safari 5,0 5,04%Chrome 11,0 3,93%Firefox 5,0 2,05%Opera 11,x 1,37%Safari 4,0 1,33%Firefox 3,5 1,10%Netscape 6,0 0,87%Firefox 3,0 0,75%Chrome 10,0 0,62%Opera Mini 4,1 0,35%Opera Mini 4,2 0,31%Safari on Windows 53 ‐Maxthon Edition 0,26%Opera 10,x 0,25%Safari on Windows 5,0 0,24%Chrome 13,0 0,24%Opera Mini 5,1 0,23%Chrome 9,0 0,21%Chrome 8,0 0,21%Opera Mini 6,2 0,21%Microsoft Internet Explorer 8,0 ‐Maxthon Edition 0,20%Safari 4,1 0,19%Microsoft Internet Explorer 6,0 ‐ Tencent Traveler Edition 0,18%Firefox 2,0 0,18%Microsoft Internet Explorer 6,0 ‐ TheWorld Edition 0,17%Microsoft Internet Explorer 8,0 ‐ TheWorld Edition 0,17%Chrome 6,0 0,16%Microsoft Internet Explorer 8,0 ‐ Tencent Traveler Edition 0,14%Safari 41 0,13%Microsoft Internet Explorer 6,0 ‐Maxthon Edition 0,12%Microsoft Internet Explorer 7,0 ‐Maxthon Edition 0,11%Chrome 5,0 0,10%Opera 9,x 0,10%Chrome 7,0 0,09%
34
Microsoft InternetExplorer 8,0
Firefox 4,0
Microsoft InternetExplorer 6,0
Chrome 12,0
Firefox 3,6
données http://marketshare.hitslink.com/
Support des Navigateurs
35
Navigateur SSL SSL EV Version actuelle
Internet Explorer 5+ 8+ 9
FireFox 2+ 3.5+ 4
Safari (Mac OSX) 4+ 4+ 5
Opera 9.5+ 11+ 11
Chrome/Android 1+ 6+ 12
Windows Phone 7+ N/A 7
Safari Mobile 1+ 5+ 5
Mini‐Opera 5+ N/A 6.2
RIM Black Berry 6.1+ N/A 6.0
pour le support d’autres navigateurs – nous contacter.
Promo: Signez les documents sur votre site !
36
Pour l’achat d’un certificat SSL Extended Validation 2 ansUne clé K.Sign 2 ans offerte* (Valeur de 299€)
* Offre valable jusqu’au 31 décembre 2011.
Merci de votre attention.
11‐13 rue René Jacques ‐ 92131 Issy‐les‐Moulineaux Cedex France+33 (0)1 55 64 22 00 ‐ www.keynectis.com
Les rôles
• Contact Technique : – Fait la demande de certificat, peut ne pas faire partie de l’organisation
• Contact Administratif : (lister dans le whois)– Approuve la demande de certificat, peut nommer le Contact Technique,
fait partie de l’organisation
• Contact Facturation : – Paie la facture, peut ne pas faire partie de l’organisation
• Signataire du contrat : – Signe le contrat, peut ne pas faire partie de l’organisation
• Propriétaire du nom de domaine: – Est listé dans le whois, peut ne pas faire partie de l’organisation
38
Domain Validated
• Vérifications : le propriétaire du nom de domaine accepte bien la création du certificat
• Méthode: Envoi d’un email pour confirmation à l’adresse email dans le whois (Technical Contact, Administrative Contact, Registrant Contact) ou à admin, administrator, webmaster, hostmaster, or postmaster (admin@domainname.com for example)
• Documents requis: Aucun• Champs requis: CN, SAN, C• Champs optionnels: OU (O, STREET et S sont vides)
39
Organization Validated
• Vérifications : le propriétaire du nom de domaine accepte bien la création du certificat et l’organisation possède bien le nom de domaine.
• Méthode: Appel téléphonique en passant par le standard identifié via les pages jaunes. L’organisation est bien celle mentionnée dans le whois.
• Documents requis: K.Bis ou équivalent• Champs requis: CN, O, SAN, C• Champs optionnels : STREET, S, OU
40
top related