Sécurité 11 : TLS (ce qui se cache derrière HTTPS)
ฝัง
- เผยแพร่เมื่อ 9 ก.ย. 2020
- Dans cette vidéo je présente le fonctionnement de TLS, le protocole qui permet de sécuriser le traffic HTTP qui devient HTTPS.
Lien vers la vidéo suivante: • Sécurité 12 : End-To-E...
Contenu:
- Définitions de sécurité de TLS
- Définition de TLS handshake et cipher suite
- Définition de perfect forward secrecy
- Exemple détaillé d'un TLS handshake et d'un échange HTTPS
Prérequis / vidéos utiles:
- Sécurité 1 : Introduction à la Cryptographie ( • Sécurité 1 : Introduct... )
- Sécurité 2 : Cryptographie Symétrique ( • Sécurité 2 : Cryptogra... )
- Sécurité 3 : Cryptographie Asymétrique ( • Sécurité 3 : Cryptogra... )
- Sécurité 5 : Signatures Digitales ( • Sécurité 5 : Signature... )
- Sécurité 6 : Protocoles Cryptographiques ( • Sécurité 6 : Protocole... )
- Sécurité 7 : Man-in-the-Middle Attack ( • Sécurité 7: Man-in-the... )
- Sécurité 10 : Chain of Trust ( • Sécurité 10 : Chain of... )
- Internet 1 : Protocoles et architecture ( • Internet 1 : Protocole... )
- Internet 2 : Application Layer ( • Internet 2 : Applicati... )
- Internet 3 : Transport Layer ( • Internet 3 : Transport... )
- Internet 4 : Network Layer, partie 1 ( • Internet 4 : Network L... )
- Internet 5 : Network Layer, partie 2 ( • Internet 5 : Network L... )
- Internet 6 : Link Layer, partie 1 ( • Internet 6 : Link Laye... )
- Internet 7 : Link Layer, partie 2 ( • Internet 7 : Link Laye... )
- Internet 8 : Le parcours d'une requête HTTP ( • Internet 8 : Le parcou... )
Liens:
- Pseudo-random functions (PRF) : en.wikipedia.org/wiki/Pseudor...
- TLS RFC specs : tools.ietf.org/html/rfc5246
- TLS cipher suites recommendées : www.iana.org/assignments/tls-... - วิทยาศาสตร์และเทคโนโลยี
Hyper instructif, il nous faut des gars comme toi qui se donne la peine de fouiller les infos pertinentes et nous les partage. Et des explications en Français, que demande le peuple. On espère de tout cœur que vous vous arrêterez pas là. CHAPEAU !
Merci beaucoup!
Les mots sont faibles pour décrire tes vidéos... J'te souhaite une bonne continuation pour ce super bon boulot... Et j'espère que tu t'arrêteras pas, parce que c'est super instructif.. Merci beaucoup
Merci beaucoup à toi!
vraiment rien a dire, excellente explication sur le fonctionnement du TLS, j'ai regardé des dizaines de vidéos sur youtube et je n'ai pas trouvé quelqu'un qui explique aussi bien, un grand merci, je m'abonne
Merci beaucoup !
Excellent. J'ai jamais vu une video aussi clair en français.
Merci beaucoup!
Super explication, merci pour tout. J'ai parcouru beaucoup de videos sur le sujet et les tiennes sont clairements les meilleurs
Merci beaucoup !
Vidéos découvertes par hasard, elles sont extrêmement claires, merci pour votre partage.
J'attends avec impatience les suivantes !
Merci beaucoup!
@@Linformateur merci à vous pour ce contenu ultra qualitatif 😀 j'arrive un peu après la tempête, mais il serait possible d'avoir une vidéo sur tls1.3? Car j'ai l'impression que se qui est dit dans cette vidéo n'est plus tout a fait valable
Incroyable, j'ai toujours dit "SSL" en pensant parler d'un autre truc que le TLS. Pire encore je pensais que le TLS précédait au SSL, c'est l'inverse du coup
Content d'avoir pu clarifier ça :)
Très bien ! :)
Pour le warning à la fin, je rajouterai une mention à SNI (Server Name Indication), qui est un attribut "visible" pendant le handshake TLS, et précisant le FQDN du site Web demandé. Si le serveur Web pointé par la requête héberge gentil.com et pirate.com, en SSL on ne pouvait pas savoir à qui le navigateur parlait, mais en TLS oui (ça permet d'envoyer le bon certificat - avec un seul CN - depuis le serveur, sans faire de certificat multi-san)
Merci! Oui y a beaucoup de choses qu'on pourrait rajouter ;)
C'est un des objectifs de TLSv1.3 qui est des chiffrer le SNI (ESNI pour Encrypted Server Name Indication) ou le Client Hello (ECH pour Encrypted Client Hello).
La vidéo est très bien faite et les explications sont très claires. Excellent travail comme d'habitude ! Merci beaucoup.
Merci beaucoup à toi!
Excellente vidéo ! Très soignée, très gros travail de montage et d'illustration. Explications claires. Vraiment top ! Merci beaucoup pour ce travail !
Merci beaucoup!
Chaine vraiment incroyable je suis étonné de ne l'avoir jamais eu en recommandation par youtube.
Merci beaucoup! :)
Chapeau bas, j'admire vos vidéos !!
Merci beaucoup!
Vraiment excellent merci beaucoup
Merci!
Clair, précis et complet, merci de partager tout ce savoir !
Merci beaucoup à toi !
Tu nous gâtes, une fois de plus. Merci à toi
Merci beaucoup!
Excellent! Comme d'habitude, merci!!
Merci beaucoup !
Merci pour cette vidéo incroyable!
Merci à toi!
Juste excellent, merci pour cette vidéo très instructive.
Merci !
Merci vraiment
Merci à toi!
Très bonne vidéo
Merci !
Super vidéo merci !
Merci à toi !
Superbe video 👍
Merci!
Super vidéo, très instructif. Bravo pour ce travail !
Merci beaucoup!
Super vidéo
Merci!
Merci beaucoup !
Merci à toi !
👏👏👏
Il t'a fallu combien de temps pour délivrer une telle vidéo, un mois ? deux mois ? Parce c'est énorme et pas simple...je sens que je vais la regarder un paquet de fois car je dois ecrire un article qui décortique les manigances de charles proxy sous le capot...elle devrait m'aider y'a très peu de "matérial" en français dense, de qualité et long comme ta vidéo disponible sur TH-cam. Merci. Curieux de voir si ta chaine va m'aider à m'eduquer au big bounty hunting qui m'intéresse de plus en plus... Merci en tout cas .
NB:j'emettrais des critiques un peu plus tard, peut-être..
Presque 3 mois, mais petit à petit haha
Merci beaucoup! J'espère que ça t'aidera alors
Hi, vous avez dit que le client accepte la clé publique de serveur en se basant sur le certificat envoyé par le serveur de google, mais est ce que le man in the middle peut aussi créer un fake certificat de google et du coup le client pensera que le man in the middle c'est lui google, et le client du coup va lui envoyer tous ses informations. Ce qui est bien sur pas bien . Merci pour votre contenu
Pour créer un faux certificate, il faut réussir à créer une signature considérée valide par le client (voler la clé privée, CA corrompue ou non-éthique, etc)
Plus de détails dans la vidéo "Sécurité 10: Chain of Trust"
@@Linformateur est il possible si on a un accès physique temporaire au navigateur de quelqu'un d'y ajouter nos certificats afin que lorsque plus tard cette personne clique sur un fishing que l'on réalise, il soit affiché comme sécurisé en https? Le certificat visible en cliquant sur le cadenas pourrait il avoir le nom qu'on veut afin d'écrire quelque chose qui a l'air crédible si qq fouille dans la liste de certificat?
@@thomasmiron oui oui tout à fait possible. Installer des certificats "custom" est courant pas seulement pour le hacking mais dans des réseaux d'entreprise. Mais il faut normalement un accès root/admin pour pouvoir le faire.
Merci pour cet éxlaircisement,
J'ai une questiobn
Pour le message CLIENTHELLO et le nombre aléatoire rc est ce en les envoie en clair ?
Mercu
Oui en clair ! De rien et merci
@@Linformateur merci pour votre réponse..
Est ce n'est pas plus judicieux que les deux nombres aléatoires rc et rs soient cryptés surtout ils entrent en jeu avec le prèmaster secrète pour élaborer le master secrète.
Est ce vous ne penser pas faire d'autres videos sur la cybersécurité.
Marcu
I want to know something about hash function . For example the MD5 hash generator function generate the same hash value for the same value in parameter. Example md5("2023")=asssskhvxxhh. That means there is somewhere a table that content all the hash value of caracter or word that we know. When we have access to this we can find all the hash value
Yes you can easily find online dictionaries of non-salted hashes + precomputed rainbow tables. We will talk about this and how to prevent such attacks in another video ;)
Salut, vraiment ton boulot est top ! est-ce que tu prévoir de reprendre la publication de contenu sur la blockchain et les crypto-monnaie, ta pedagogie ferait du bien pour la compréhension de cette nouvelle technologie :)
Merci beaucoup ! Oui j'ai prévu de reprendre mon activité sur cette chaîne quand j'aurais plus de temps dès juillet normalement :)
est ce que vous pouvez me donner ton email et mercii
il est dans la section about de la chaine
@@Linformateur c linformatory@gmail.com ? j'ai déja envoyé un message mais vous n'avez pas répondu