[SSL] Quelques questions de base

[silmaa]

Salut

J'ai quelques questions à poser à propos de SSL, car ce que je trouve sur le net n'est pas très clair, voire contradictoire. Pour fixer les idées, intéressons nous à des protocoles bien connus : HTTP, POP, SMTP.

Quand on dit qu'on utilise POPS, HTTPS, SMTPS ça veut dire que les informations de la couche appli sont cryptées, c'est assez clair. Maintenant c'est sur les différentes façon de faire que je m'emmêle les pinceaux :

• Est-ce que POPS, HTTPS, SMTPS sont des protocoles à part entière ? Ou alors ça signigie juste que les communications sont sécurisées par du SSL (ou TLS n'importe) ? Je suis tenté de dire que ce ne sont pas des protocoles puisque je ne trouve pas de RFC qui décrit spécifiquement le SMTPS par exemple. En revanche, on a des documents qui définissent le secure SMTP over TLS par exemple.
• Ensuite, est-ce que pour faire du HTTPS, SMTPS ou POPS, on est obligé des passer par une commande startTLS (ce qui signifie que le tout début de la communication n'est pas crypté) ? Ou alors on peut faire ça en montant dès le départ un tunnel SSL ?
• openSSL dans tout ça, il permet de faire quoi ? Je veux dire : un serveur HTTP, POP ou SMTP a-t-il besoin d'openSSL pour sécuriser ses communications ? Ou alors il implémente déjà du SSL (et auquel cas, que intérêt d'avoir openSSL).

Bon j'espère que mes questions ne sont pas trop floues, et surtout que vous aurez de nombreuse réponses à m'apporter, bien que le forum d'Arch ne soit probablement pas le plus adapté à ce genre d'interrogation.

[FoolEcho]

Quand on dit qu'on utilise POPS, HTTPS, SMTPS ça veut dire que les informations de la couche appli sont cryptées, c'est assez clair

Juste pour préciser: la sécurisation s'opère entre ce qui sort de l'application et avant son transport.

Est-ce que POPS, HTTPS, SMTPS sont des protocoles à part entière ? Ou alors ça signigie juste que les communications sont sécurisées par du SSL (ou TLS n'importe) ?

Plutôt oui à ta seconde interprétation. Mais oui à la première aussi, ce ne sont que des variantes (désolé, réponse de normand... ). En fait, http, comme ssl sont des protocoles...

Ensuite, est-ce que pour faire du HTTPS, SMTPS ou POPS, on est obligé des passer par une commande startTLS (ce qui signifie que le tout début de la communication n'est pas crypté) ? Ou alors on peut faire ça en montant dès le départ un tunnel SSL ?

Pas sûr d'avoir bien compris la question... Mais la communication peut (et devrait à mon avis, mais on peut aussi démarrer sans chiffrement) effectivement être chiffré dès le début...

openSSL dans tout ça, il permet de faire quoi ? Je veux dire : un serveur HTTP, POP ou SMTP a-t-il besoin d'openSSL pour sécuriser ses communications ? Ou alors il implémente déjà du SSL (et auquel cas, que intérêt d'avoir openSSL).

OpenSSL est une mise en oeuvre du protocole SSL. En tant que tel, ce n'est «qu'une» suite d'outils (tant que tu as un machin qui implémente SSL/TLS selon les spécifications, tu peux très bien concevoir d'utiliser ce machin). Pour l'exemple d'un serveur Apache, ce n'est pas le serveur lui-même qui implémente SSL: en lui rajoutant openssl et en le configurant il en devient capable.

[Zolive]

juste une petite precision,

SSLv3 équivaut à TLS1.0 dans leur fonctionalités.

un article pour aller plus loin :

http://www.authsecu.com/ssl-tls/ssl-tls.php

[silmaa]

Merci pour ces réponses FoolEcho c'est parfaitement clair
Un truc complémentaire qui m'a aidé à y voir plus clair sur ces histoires de starttls ou pas starttls : http://www.tbs-certificats.com/ssl/email.html

Merci aussi Zolive, même si j'avais déjà consulté cette page