Certificados SSL: cómo y cuándo utilizar OpenSSL
A la hora de proteger los sistemas de una empresa, el protocolo SSL (Secure Sockets Layer) se ha convertido en un arma esencial, pues cifra los datos que se transmiten por Internet y …
Sinnvoller Einsatz von Open SSL: wo und wie?
SSL Zertifikate (Secure Sockets Layer) gehören zur Grundausstattung jedes Unternehmens für den Schutz seiner Systeme. Das Protokoll mit integrierter Datenverschlüsselung ist die Standar…
OpenSSL : quand et comment ?
La technologie SSL – Secure Socket Layer – représente une arme redoutable pour toutes les entreprises qui souhaitent assurer la sécurité de leurs systèmes. En intégrant la cryptographie de données au protocole, elle s’impose comme la référence absolue en matière de sécurisation des communications par Internet.
Vos différentes recherches à travers les méandres de la sécurité en ligne vous ont certainement conduit un jour vers la célèbre bibliothèque libre de sécurisation des communications : OpenSSL (OpenSecure Socket Layer). Il se peut même que votre entreprise l’utilise – sans toutefois que vous en connaissiez réellement les mécanismes. Steve Marquess, de la OpenSSL Software Foundation, est d’ailleurs le premier à reconnaître sa complexité. En ce sens, il me confessait récemment : « Il est très difficile de décrire [un tel système de] cryptographie de manière succincte aux non-initiés ». Tous ceux qui ont un jour tenté d’approfondir le sujet vous le diront ! Après tout, nul besoin de connaître tous les rouages d’un outil pour pouvoir l’utiliser correctement. Pour autant, il pourrait vous être très utile de mieux savoir quand y avoir recours.
Qu’est-ce donc exactement que l’OpenSSL ? En substance, OpenSSL désigne une implémentation open source des certificats SSL et TLS (Transport Layer Security) – un utilitaire gratuit, compris dans la plupart des déploiements MacOS X, Linux, BSD et Unix. Une copie binaire est également disponible en téléchargement pour les environnements Windows.
Quelle est sa vocation exacte ? OpenSSL contient tout ce dont vous avez besoin pour créer votre propre autorité de certification privée. Écrite en langage C, la bibliothèque principale implémente les fonctions basiques de cryptographie et fournit diverses fonctionnalités utilitaires. Au menu : valeurs de hachage, cryptage et décryptage de fichiers, certificats et signatures numériques, et nombres aléatoires. Il s’agit également d’un outil de ligne de commande. Il peut donc effectuer les mêmes activités que l’API (interface de programmation applicative), avec en prime la possibilité de tester les serveurs et clients SSL.
Toutefois, les solutions open source manquent d’une véritable crédibilité et souffrent d’un déficit d’image auprès des utilisateurs finaux. Si bien que la question se pose : OpenSSL fait-il le poids face aux certificats émis par des autorités de certification (AC) reconnues ? Pour les applications commerciales et financières, la réponse est clairement « non ». Certes, l’utilisation de l’OpenSSL prend (surtout du point de vue financier) tout son sens lorsque vous souhaitez créer et gérer votre propre certificat auto-signé pour un réseau interne. En revanche, si vous cherchez à instaurer une externe relation de confiance et à rassurer vos clients ou utilisateurs quant à votre dispositif de sécurité, il vous faudra prendre d’autres dispositions et surtout une certification reconnue.
Éditeur de solutions réputées dans le monde entier, Symantec a fait de la confiance son cœur de métier. Ses produits de sécurisation des sites Web intègrent une technologie SSL (et SSL EV) leader, ainsi que des fonctionnalités de gestion des certificats, de détection des vulnérabilités et d’analyse anti-malware. Avec Symantec, non seulement vous bénéficiez de nos savoir-faire en matière de sécurité, mais vous profitez également des faire-savoir que sont le sceau Norton Secured et la fonction Symantec Seal-in-Search. Résultat : vos clients se sentent en sécurité tout au long de leur expérience en ligne – des moteurs de recherche à l’acte d’achat, en passant par la navigation sur votre site.
Dans le monde de l’entreprise, il est d’usage de ne travailler qu’avec des personnes en qui vous avez totalement confiance. Dans l’univers de la sécurité en ligne, où les enjeux sont colossaux, ce précepte tient lieu de règle d’or.
How and when to use self-signed SSL Certificates
SSL – Secure Socket Layer – is a vital weapon in the armory of any organisation intent on ensuring its systems are safe. It is the standard behind ensuring secure communication on the Interne…
Ponga rumbo a tierras más seguras con el protocolo TLS
Las redes privadas virtuales (VPN) son de gran ayuda para las empresas que desean abaratar la comunicación empresarial y, al mismo tiempo, facilitar el acceso seguro a los datos a qui…
Schützen Sie den Datenverkehr in Ihrer Umgebung mit TLS
Virtuelle private Netzwerke (VPN) sind eine hervorragende Lösung, wenn Sie die Kommunikationskosten Ihres Unternehmens senken und Telearbeitern, Mitarbeitern auf Geschäftsreise und …
Sécurisez Vos Communications En Ligne
Les réseaux privés virtuels (VPN) représentent la solution idéale pour garantir un accès sécurisé et économique aux télétravailleurs et autres collaborateurs mobiles de l’entreprise. Mais voilà, le déploiement et la gestion d’un VPN sécurisé peuvent s’avérer pour le moins complexes. Heureusement, des solutions existent. État des lieux.
Le protocole TLS (Transport Layer Security) – qui succède aux certificats SSL (Secure Sockets Layer) – constitue sans aucun doute l’une des meilleures solutions. Pour ceux qui connaissent mal cette technologie, il s’agit d’un mécanisme de cryptage des communications point à point sous de nombreux protocoles (HTTPS, SMTPS, POP3S, etc.). Un VPN TLS permet à des échanges autrement non cryptés d’emprunter un canal sécurisé. Résultat : vos données sensibles sont protégées sur vos sites Web, intranets et extranets.
Un VPN peut être configuré de manière à transmettre des communications sécurisées vers le site distant, en aval du VPN. Le site distant peut aussi servir de passerelle. L’intégralité du trafic entre le poste de travail local et le routeur VPN est alors cryptée. Un VPN TLS encapsule les données sous-jacentes dans des paquets cryptés selon le protocole TLS. En d’autres termes, des paquets VPN pourront être des paquets HTTP cryptés en TLS – le VPN agissant comme une couche inférieure du modèle OSI.
Au terme de ce bref aperçu des rouages du dispositif, peut-être vous demandez-vous ce qu’il en est vu de l’extérieur, là où la confiance de vos clients décide de la réputation et de la réussite de votre entreprise. Tout naturellement, vous souhaitez garantir une protection de tous les instants aux visiteurs de vos sites Web. Dans cette optique, et face à des cybermenaces en constante évolution, la technologie SSL/TLS s’est imposée comme la pierre angulaire de la protection et de la confiance des internautes depuis plus de 10 ans, et ce pour encore longtemps. Le TLS 1.2 ne peut pas encore être utilisé avec tous les platforms web et tous les programmes, mais il se traite, sans doute, du protocole TLS du future.
C’est à ce niveau que Symantec Website Security Solutions (WSS), combinés avec les TLS d’excellente qualité,intervient. Aujourd’hui, 100 % des entreprises du Fortune 500 font appel à Symantec. Nos produits de sécurisation des sites Web ont donc largement fait leurs preuves dans des environnements aussi exigeants que fréquentés.
La gamme Symantec SSL repose sur une infrastructure évolutive et fiable.En moyenne, nos services de validation SSL traitent 4,7 milliards de hits par jour, le tout sans interruption de service depuis plus de 8 ans. Ça n’est pas rien !
Même si la technologie sous-jacente s’avère élaborée, l’objectif reste simple : sécuriser les transactions en ligne, pour vous comme pour vos clients. À cet égard, le protocole TLS ne constitue bien entendu qu’une pierre de l’édifice. Pour renforcer encore davantage la protection de votre VPN, vous pourriez notamment adopter Symantec Validation and ID Protection (VIP), une solution d’authentification à deux facteurs qui permet aux entreprises de sécuriser l’accès à leurs réseaux et à leurs applications contre d’éventuelles intrusions.
Toute modestie à part, il n’existe aucune marque de confiance plus reconnue que le sceau Norton Secured. Or, lorsqu’il s’agit de protéger nos biens les plus précieux, personne n’est enclin aux compromis. Il en va sans aucun doute de même pour la réputation et la sécurité de votre entreprise. Là encore, les solutions Symantec vous aident à rester exempt de tout reproche.
Transported to a more secure environment
Virtual private networks (VPNs) are a real boon when it comes to reducing the cost of business communication, while at the same time extending secure remote access to teleworkers, travellers and mobile professio…
An ongoing threat exists for computer users who, while browsing the Internet, began receiving pop-up security warnings that state their computers are infected with numerous viruses. These pop-ups known as scareware, fake, or rogue anti-virus software look authentic and may even display what appears to be real-time anti-virus scanning of… Read more »
今では、データ侵害の事例をほぼ毎週のように見かけるようになりました。そのたびに膨大なユーザーアカウントと、おそらくはそれ以外にも重要なデータが危険にさらされていますが、ほとんどの人はそうした報道に驚きさえしなくなっています。データ侵害はそれほど日常茶飯事になりつつあるからです。
データ侵害に使われる攻撃のなかでも特に多いのが、SQL インジェクションです。SQL インジェクションは、Web アプリケーションの欠陥ランキング OWASP Top 10 でも、長年にわたってトップの座を占め続けています。SQL インジェクションを防ぐ手段はいくつも知られているはずですが、残念ながらアクセス数の多いサイトでも SQL インジェクションの発生は後を絶ちません。さらに、Web サーバーの設定不備やリモート管理ツールの脆弱性を狙えば、攻撃者はシステムにアクセスし、潜在的に重要なファイルを読み取ることができます。
最も確実なパスワードの保存方法については長い間さかんに議論されてきましたが、今でもその結論は出ていません。データベースに平文でパスワードを保存するのは好ましくない、というのは大多数の一致するところですが、実際には今でも至るところで行われています。言い訳として返ってくるのは、「データベースには誰も読み取りアクセス権を持っていないのだから、何も問題ないでしょう?」といった言葉です。歴史が繰り返し証明しているように、この言葉がいつまでも当てはまることはありえません。
一般のユーザーは、自分のパスワードがサービス上でどのように保存されているのか知らないのが普通です。パスワードリセットの機能を利用するという鮮やかな手口も考えられます。なかには、ユーザーのパスワードを平文で記載したメールを送信してくるサービスもありますが、それだけでもパスワードが平文で保存されていることは明らかです。疑問に思ったら、サービス会社に問い合わせてみることもできますが、たいてい「パスワードは最新の暗号化技術で保護されています」と請け合うだけで、それ以上のことは知らされないでしょう。
それでも、キーワードは間違っていません。ほとんどのシステムでは、一方向の暗号化関数が導入されているからです。パスワードの保存には、MD5 や SHA1 など、いわゆるハッシュ関数が使われています。注意したいのは、これがパスワード保護の関数ではなく、通常はメッセージダイジェストを作成するための関数だということです。これをパスワードに利用し、ハッシュ値だけを保存することで、平文パスワードの問題は消え去るように見えます。ところが攻撃者には、パスワードとそれに対応するハッシュ値のペアをあらかじめ計算した「レインボーテーブル」を作成するという手があります。最近のクラウドサービスを使えば、レインボーテーブルの生成にそれほど時間はかからず、組み合わせの値も簡単に保存できます。こうした仕組みを利用すれば、簡単なルックアップだけで一般的なパスワードはすべて瞬時のうちに破ることができるのです。
レインボーテーブルでもパスワードを簡単に破ることができないように、ソルト(salt)を使う方法があります。ソルトとは、ランダムな長い文字列で、これをハッシュ化する前にパスワードと組み合わせます。ユーザー単位でこれを使うと、文字列は一気に複雑になります。仮に 2 人のユーザーが同じパスワード(たとえば、123456)を使ったとしても、結果的にテーブルでは異なるハッシュとして生成されます。しかも、攻撃者は想定されるソルトごとにレインボーテーブルが必要になるので、多数のユーザーのパスワードを同時に解析することは大幅に難しくなります。それでも、特定の 1 ユーザー(たとえば管理者)のパスワードを総当たりで突き止めることは、依然として可能です。
ここで登場するのが、イテレーション(反復)またはキーストレッチです。ハッシュ関数を何度も何度も繰り返すと、全体のプロセスは遅くなります。通常の使い方でログオンする場合には、多少の遅延もそれほど問題になりませんが、総当たり攻撃となれば、パスワードの解析に要する時間は数千年に達するかもしれません。簡単に組み込める例が、bcrypt と PBKDF2 です。もちろん、2 要素認証を使うだけでも障壁を高くすることはできます。シマンテックの VIP サービスもその一例です。
パスワードの保存にどのような機能が使われるとしても、サービスごとに異なるパスワードを使うようにするのが理想的であることは変わりません。すべてのサービスで同じパスワードを使っている場合、そのひとつでも破られてしまうと(おそらくはパスワード保存のしかたが悪いために)、他のパスワードもすべて攻撃者に知られてしまうことになるからです。データ侵害に成功するたびに、攻撃者は他のサービスに対しても電子メールパスワードの組み合わせを試そうとするものです。あわよくば、という期待程度にすぎませんが。
そもそも強力なパスワードを使うことが必須であることは、言うまでもありません。「123456」は、もちろん強力なパスワードとはほど遠く、けっして使うべきではありません。パスワードを変えたらすべて覚えていられない、というのであれば、パスワードマネージャを使うという手があります。そうすれば、パスワードをスマートフォンに保存して、いつでも確認できます。もちろん、そのスマートフォンを紛失した場合には誰もパスワードマネージャにアクセスできないようにしておく必要がありますが、それはまた別に考えるべき問題です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。