OpenSSL est un des logiciels libres les plus réussis et les plus importants (oui, oui, pas la peine d’avoir des boutons !). Réussi de par sa large utilisation ; important parce que l’infrastructure d’internet en dépend.
Le projet OpenSSL contient une implémentation haute performance d’algorithmes cryptographiques clés, une pile TLS et PKI complète et une boîte à outils en ligne de commande.
Mais il a toujours manqué d’une documentation exhaustive. Et pourtant elle existe : Ivan Ristić a écrit une somme sur le sujet, dont ce petit livre pratique est extrait.
Dès que vous vous préoccupez de sécurité, développement Web ou d’administration système, vous êtes confronté à OpenSSL, même à un petit niveau. C’est pourquoi ce livre s’occupe d’aspects pratiques. Il couvre deux manières d’utiliser OpenSSL, en deux chapitres.
Ligne de commande OpenSSL
Pour vous aider dans vos scripts de génération de clés et de certificats ou dans la configuration des programmes qui dépendent d’OpenSSL pour la fonctionnalité TLS. Ce chapitre explique aussi comment créer une autorité de certification privée complète. Ça vous sera utile comme développeur, comme enseignant, en auto apprentissage ou pour un réseau local.
Tester TLS avec OpenSSL
Deuxième usage, les tests de sécurité du serveur. Bien que parfois chronophage, ce type de test de bas niveau ne peut être évité lorsque vous souhaitez savoir exactement ce qui se passe.
Les deux chapitres sont extraits de Bulletproof TLS et PKI, fameux et copieux livre de référence sur le sujet.
Les chapitres OpenSSL sont publiés en livre séparé pour combler le vide : il manque une documentation de qualité et facilement disponible. Comme c’est souvent le cas pour les projets complexes et de longue durée, la documentation OpenSSL que vous pouvez trouver sur Internet est souvent erronée, obsolète et dispersée.
D’ailleurs pour vous tenir au courant sur ce sujet d’importance, Ivan Ristić publie régulièrement une lettre d’actualités passionnante et bien documentée. Et c’est pour célébrer la centième lettre qu’il a décidé de passer à une licence plus permissive (le livre était déjà gratuit).
La nouvelle license d’OpenSSL Cookbook (Creative Commons Attribution-NonCommercial) fête, comme un cadeau, les 10 ans de la première édition. C’est aussi un encouragement pour tous ceux qui voudraient s’en inspirer pour écrire de la documentation et… à tous les traducteurs !
Il y a 10 ans donc, l’auteur s’était engagé à garder ce livre à jour et à l’amender de vos remarques. Vous êtes donc invités, lecteurs, à lui faire autant de retours que possible sur les défauts rencontrés.
(cet article est très librement adapté de la préface).
Aller plus loin
- OpenSSL Cookbook. à lire en ligne ou à télécharger (1476 clics)
- Bullet Proof TLS newsletter (124 clics)
- "Le" livre de référence Bulletproof SSL and PKI (418 clics)
# TLS vs DTLS
Posté par Benoît Sibaud (site web personnel) . Évalué à 10.
Le sommaire ne mentionne pas DTLS et semble se concentrer sur TLS. Il est vrai qu'on trouve plus d'outils pour tester le second que le premier (je ne connais pas de testssl.sh pour DTLS par exemple), mais openssl gère les deux.
[^] # Re: TLS vs DTLS
Posté par Micromy (site web personnel) . Évalué à 6.
Question de noob, c'est quoi DTLS ?
Le wiki francophone n'est pas très clair sur le sujet…
[^] # Re: TLS vs DTLS
Posté par Benoît Sibaud (site web personnel) . Évalué à 10. Dernière modification le 30 avril 2023 à 19:02.
TLS c'est sur TCP, DTLS c'est sur UDP.
https://fr.wikipedia.org/wiki/Transport_Layer_Security TLS et de son équivalent en mode non-connecté UDP, la DTLS
https://fr.wikipedia.org/wiki/Datagram_Transport_Layer_Security Le protocole DTLS est basé sur le protocole TLS et fournit des garanties de sécurité similaires.
On trouve du DTLS dans les protocoles au-dessus d'UDP : pour des VPN, pour la voix/vidéo sur IP (DTLS-SRTP dans les navigateurs par exemple), pour des objets connectés avec le LWM2M, etc.
[^] # Re: TLS vs DTLS
Posté par Micromy (site web personnel) . Évalué à 4.
Merci beaucoup pour les explications !
[^] # Re: TLS vs DTLS
Posté par HL . Évalué à 2.
D'ailleurs le « D » d'UDP et le même que celui de DTLS : Datagram, des données transmises sans connexion.
# OpenOpen
Posté par Gwen Gaumend . Évalué à -2.
Aurait-on l'équivalent pour OpenWRT ?
Il y a bien quelque chose en allemand, mais je ne maîtrise pas la langue de Goethe.
Et en français, tant qu'à faire ! (je sais, je demande la Lune)
Quoiqu'un certain Stéphane Huc ait mis sa première pierre à l'édifice.
https://doc.huc.fr.eu.org/fr/sys/openwrt/
Ouvertement vôtre.
# Somme ? Anglicisme ?
Posté par aiolos . Évalué à 2.
L'utilisation de somme dans le sens qu'il semble avoir ainsi m'a interpelé, c'est la première fois que je le vois utilisé de cette façon. Et je me demande si ce n'est pas une erreur de traduction, ou tout du moins un anglicisme, sur la base de "Sum Up" qui peut avoir et le sens de faire une addition et celui d'un résumé ; sous cette hypothèse, une synthèse me semblerait la traduction la plus adaptée dans cette phrase.
[^] # Re: Somme ? Anglicisme ?
Posté par aiolos . Évalué à 4.
Bon, ben ça m'apprendra à poster avant de vérifier ce que je raconte : d'après le Robert, somme peut bien le sens qu'il a dans cette phrase :
[^] # Re: Somme ? Anglicisme ?
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 5.
Je l’ai souvent entendu ou lu dans ce sens d’ailleurs 🙂
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
# Qui veut participer à la traduction ?
Posté par orfenor . Évalué à 6.
Dans cette dépêche, j'ai trop peu insisté sur le plus important. Ivan Ristić et sa femme m'ont rappelé qu'ils espèrent avant tout réunir des traducteurs. Appel aux volontaires!
# Commentaire supprimé
Posté par Anonyme . Évalué à -2. Dernière modification le 30 mai 2023 à 12:01.
Ce commentaire a été supprimé par l’équipe de modération.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.