Ce site est une archive officieuse de l'ancien site de l'ANSSI, remplacé fin novembre 2023.
Veuillez aller sur https://cyber.gouv.fr/ pour naviguer le site officiel.
Veuillez aller sur https://cyber.gouv.fr/ pour naviguer le site officiel.
Cet article présente* un panorama des attaques connues, qu’elles portent sur le protocole en lui-même, les algorithmes cryptographiques, ou les certificats mis en oeuvre. Cette énumération des vulnérabilités de SSL/TLS permettra de déduire des recommandations pour une utilisation sécurisée de SSL/TLS.
SSL/TLS est un protocole ayant pour but de créer un canal de communication authentifié, protégé en confidentialité et en intégrité.
L’objectif initial de SSL/TLS était la sécurisation du protocole HTTP, mais son champ d’application s’est élargi depuis : protection d’autres services comme SMTP ou LDAP, création de réseaux privés virtuels (VPN), sécurisation de réseaux sans-fil (EAP-TLS).
Après un rapide historique des différentes versions de SSL/TLS et une description du protocole, cet article présente un panorama des attaques connues, qu’elles portent sur le protocole en lui-même, les algorithmes cryptographiques, ou les certificats mis en oeuvre. Cette énumération des vulnérabilités de SSL/TLS permettra de déduire des recommandations pour une utilisation sécurisée de SSL/TLS.
* le 6 juin 2012 dans le cadre du SSTIC 2012
