Secure Socket Layer : couche de prises sécurisées.

Besoin

Sécuriser les échanges sur TCP/IP (donc Web y compris)

Analyse

SSL réalise :

Conception

SSL implémente comme son nom l'indique (socket layer) la sécurité de la couche transport au-dessus de TCP/IP.

Session SSL
Transport
Réseau

L'authentification est réalisée via un cryptage asymétrique : le 1er message est crypté avec la clé publique du destinataire certifié (un serveur généralement) par un certificat X509.

L'intégrité des messages échangés est réalisée via un cryptage symétrique (DES, RC4) plus rapide : une fois l'une des parties certifiée, une clé de cryptage unique (une clé secrète de cryptage de session, ou token) est générée et transmise au destinataire authentifié. Cette clé n'est pas visible puisqu'insérée dans le message lisible uniquement par le destinaire (le serveur typiquement). Elle reste néanmoins connue du client qui l'a générée et du serveur qui l'a reçue dans son premier message crypté avec sa clé publique. Les deux parties peuvent alors s'échanger des messages cryptés avec cette clé de session partagée.

SSL Version 1 2 3 Commentaires
Release 0
Couche Technologie Fixpack

Implémentation

Java propose une implémentation portable de SSL au travers de JSSE.

JSSE Version Commentaires
Release
Couche Technologie Fixpack
Intégré dans J2EE 1.2 Non
1.3 Non
1.4 Oui

Notes

  • SSL 3.0 a été perfectionné pour donner TLS (Transport Layer Security), largement adopté.
  • SET est un Protocole de commerce électronique situé au-dessus de SSL
  • Créé par Netscape en 1994
  • La dernières version est SSL 3.0.
  • Une nouvelle génération de SSL est TLS.

Limitations

  • Ne supporte pas certaines caractéristiques de TCP/IP comme des données hors de bande (out of band data).

Voir