2. Enseignement
  3. Sécurité des Infrastructures
  4. 04_https
  5. Certificats et HTTPS

Certificats et HTTPS

Updated Modifié

Ce TP donne lieu à un rapport individuel à déposer sur AMETICE.

1. Création et Vérification de certificats

1.1. Analyse textuelle

Analyser le certificat godard.pem, quelle autorité a signé celui-ci?

Extraire les certificats correspondants des autorités au format PEM dans le fichier geant.pem.

Certificats et le Certificat de Votre Enseignant

Effectuer les commandes suivantes. 

openssl x509 -text -in godard.pem

openssl x509 -text -in geant.pem

openssl verify -CAfile geant.pem -purpose any godard.pem

Expliquer.

La clef publique de votre enseignant est-elle authentique?

Révocation : Comment vérifier que les précédents certificats n’ont pas été révoqués ?

La clef publique de votre enseignant est-elle vraiment authentique?

1.2. Nouvelle Autorité

Que peut-on dire des certificats suivants ?

Pour les besoins du TP, votre enseignant va signer vos clefs avec cette clef. Cette clef est-elle authentique? Qu’est-ce qui manque précisément dans la chaîne de certification?

Pourquoi ne peut-on pas simplement utiliser le certificat racine geant.pem ?

1.3. Vos Certificats

Vos clefs publiques et certificats seront dans un répertoire partagé sur https://amubox.univ-amu.fr/s/E4j3gcHM6EWndQT

Créer une clef si ce n’est déjà fait. Déposer votre requête de signature dans ce répertoire. La syntaxe est 

openssl req -new -key etud.key.pem -out etud.csr

Vérifier les certificats présents.

2. VMs en Environnement de TP

Si vous n’êtes pas sur une machine DirNum, mettre en place l’environnement suivant.

2.1. Installation de vagrant

Installer, si ce n’est déjà fait,

vagrant
>= 1.8.1 ( > 2.0 si virtualbox en version >= 5.2 ) Il peut être installé depuis le site de vagrant

virtualbox
>= 5.1 Dans votre distribution ou bien voir le site de VirtualBox.

2.2. Préalable

En utilisant la box suivante sous le nom de fsi-tp 

vagrant box add /chemin/vers/fsi-tp.box --name "fsi-tp"

Si nécessaire, (re)voir la remise à niveau de Master 1,

3. Audit de Site Web Sécurisé

3.1. Mise en place

Télécharger l’archive et démarrer l’ensemble des VMs avec la commande 

./startAll.sh

Pour commencer, seule web0 et dns seront lancés, il faudra ensuite faire 

cd web0; vagrant destroy;cd ..
./demarreVM.sh web1

Cela prend un peu temps. En attendant, vous aller créer la VM client. 

$ ./demarreVM.sh client

Rappel: Le répertoire local est monté sur /vagrant dans la VM.

3.2. Audit en boîte noire

Visiter et auditer les sites suivants

Vous pouvez utiliser (et comparer)

  • wireshark, installé sur client
  • openssl s_client -connect HOSTNAME:PORT -prexit -showcerts -state -status -tlsextdebug -verify 10
  • testssl.sh, voir la doc. testssl est-il un scanner passif ou offensif ?

3.3. Audit en boîte blanche

Consulter les fichiers de configuration serveur.conf de chaque VM dans les répertoires correspondants.

Rappel: si vous souhaitez avoir une interface graphique pour les autres VMs, il faudra décommenter vb.gui = true dans les Vagrantfile correspondants.

4. Bonnes pratiques

Référencer les bonnes pratiques de durcissement de sécurité d’un site web en https. Implémenter-les sur un site apache demo.