? Achats en ligne représente une très grande partie de l'activité économique de l'Internet. Cependant, sans un moyen de protéger les données sensibles envoyées entre un navigateur et un site Internet , achats en ligne n'aurait jamais pris son envol. Netscape SSL créé en 1994 pour chiffrer les communications de données sensibles. SSL et ses successeurs sont maintenant utilisés pour protéger les consommateurs et les banquiers en ligne. Définition de SSL
SSL signifie « Secure Sockets Layer». Il s'agit d'une méthode de chiffrement des données. SSL fonctionne au niveau le plus bas d'une connexion réseau, la prise , de sorte qu'il peut être utilisé simultanément avec les protocoles de haut niveau tels que HTTP ou FTP.
Histoire de SSL
< p> Netscape a développé le protocole SSL en 1994 , mais jamais rendu public SSL 1.0. Netscape abord publié SSL 2.0 dans Februrary 1995. Netscape a publié SSL 3.0 en 1996 pour corriger des vulnérabilités dans le protocole SSL 2.0 .
Fonctionnement de SSL
abord, SSL fournit un moyen d'authentifier l'identité de un serveur (par exemple, un site Web) . Ceci est connu comme la «poignée de main ». Quand un client (par exemple, un navigateur) contacte le serveur , le serveur répond avec un certificat de clé publique . Le client vérifie cette clé grâce à des services tiers tels que VeriSign.
SSL fournit alors un moyen pour chiffrer une séance privée entre le serveur et le client. Après vérification de l'identité du serveur , le client envoie les clés de session générées de manière aléatoire vers le serveur , en utilisant la clé publique du serveur pour chiffrer le message . Le serveur utilise sa clé privée (correspondant à sa clé publique ) pour déchiffrer le message . Pour le reste de la session , à la fois le client et le serveur utilisent les clés de session pour chiffrer et déchiffrer les messages .
Failles dans SSL 2.0
SSL 2.0 est vulnérable à une « man-in -the-middle " attaque. Dans l'attaque -middle man-in- the- vis d'un tiers intercepte «voyous» tous les messages entre le client et le serveur. Le parti voyous apparaît au client comme le serveur et le serveur que le client. Pendant la négociation , les substituts voyous du parti du certificat du serveur avec son propre afin que le client autorise par erreur l'ordinateur voyous au lieu du serveur .
La partie voyous remplace également les clés de session générées par le client avec des clés de session générées par le voleur . Le parti voyous est alors capable de lire et de modifier tous les messages transmis entre le serveur et le client sans détection . SSL 2.0 utilise également la fonction MD5 pour l'authentification du message. La fonction MD5 est considéré comme intrinsèquement dangereux à des fins de chiffrement
Support du navigateur
plupart des navigateurs supportent encore SSL 2.0
Microsoft Internet Explorer: . . Début avec la version 7 , les navires d'Internet Explorer avec SSL 2.0 désactivées . Toutefois, les utilisateurs peuvent toujours permettre SSL 2.0
Mozilla Firefox : . Partir de la version 2 , les navires Firefox avec SSL 2.0 désactivées . Toutefois, les utilisateurs peuvent toujours activer le protocole SSL 2.0.
