SSL/TLS Chiffrement fort SSL/TLS : Mode d'emploi

Ce document doit vous permettre de démarrer et de faire fonctionner une configuration de base. Avant de vous lancer dans l'application de techniques avancées, il est fortement recommandé de lire le reste de la documentation SSL afin d'en comprendre le fonctionnement de manière plus approfondie.
Exemple de configuration basique

Votre configuration SSL doit comporter au moins les directives suivantes :

Listen 443 <VirtualHost *:443> ServerName www.example.com SSLEngine on SSLCertificateFile "/path/to/www.example.com.cert" SSLCertificateKeyFile "/path/to/www.example.com.key" </VirtualHost>
Suites d'algorithmes de chiffrement et mise en oeuvre du chiffrement fort

Le "chiffrement fort est et a toujours été une cible mouvante. En outre, la définition du terme "fort" dépend de l'utilisation que vous allez faire de votre chiffrement, de vos modèles de menaces, et du niveau de risque que vous considérez comme acceptable. L'équipe du serveur HTTP Apache ne peut donc pas définir ce chiffrement fort à votre place.

Dans ce document dont la dernière mise à jour remonte à la mi-2016, une "chiffrement fort" fait référence à une implémentation TLS qui fournit, en plus d'une protection basique de la confidentialité, de l'intégrité et de l'authenticité que tout utilisateur s'attend à trouver, toutes les fonctionnalités suivantes :

  • Une confidentialité persistante (Forward Secrecy) parfaite qui garantie que la découverte de la clé privée d'un serveur ne compromettra pas la condidentialité des communications TLS passées.
  • Une protection contre les types d'attaque connus contre les anciennes implémentations SSL et TLS comme POODLE et BEAST.
  • Le support des algorithmes de chiffrement les plus efficaces disponibles sur les navigateurs web modernes (et à jour), ainsi que sur les autres clients HTTP.
  • Le Rejet des clients qui ne sont pas en mesure de respecter ces prérequis. En d'autres termes, un "chiffrement fort" implique que les clients obsolètes ne doivent pas avoir la possibilité de se connecter au serveur afin de les empêcher de mettre en danger leurs utilisateurs. Vous seul(e) êtes alors à même de décider si ce comportement est approprié à votre situation.

Notez cependant qu'un chiffrement fort ne suffit pas à lui seul pour assurer un niveau de securité fort (A titre d'exemple, les attaques oracle sur la compression HTTP comme BREACH peuvent nécessiter des actions supplémentaires pour être éradiquées).
Comment créer un serveur SSL qui n'accepte que le chiffrement fort ?

La configuration suivante active le "chiffrement fort" telle qu'il est défini ci-dessus, et s'inspire du document de la Fondation Mozilla sur les prérequis de Server Side TLS :

# Configuration "moderne" définie en août 2016 par le générateur de # configuration SSL de la Fondation Mozilla. Ce dernier est disponible à # https://mozilla.github.io/server-side-tls/ssl-config-generator/ SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 # De nombreux algorithmes de chiffrement définis ici nécessitent une version # récente (1.0.1 ou plus) d'OpenSSL. Certains nécessitent même OpenSSL 1.1.0 # qui, à l'heure où ces lignes sont écrites, était encore en pre-release. SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256 SSLHonorCipherOrder on SSLCompression off SSLSessionTickets off
  • SSL 3.0 et TLS 1.0 étant vulnérables à certaines attaques connues contre le protocole, ils ont été entièrement retirés.
  • Actuellement (en août 2016), la désactivation de TLS 1.1 est facultative ; TLS 1.2 fournit des options de chiffrement plus évoluées, mais la version 1.1 n'est pas encore considérée comme obsolète. La désactivation de TLS 1.1 peut cependant juguler des attaques contre certaines implémentations dépassées de TLS.
  • La directive SSLHonorCipherOrder permet de s'assurer que ce sont les préférences de chiffrement du serveur qui seront suivies, et non celles du client.
  • La désactivation de SSLCompression permet de prévenir les attaques oracle sur la compression TLS (en autres CRIME).
  • La désactivation de SSLSessionTickets permet de s'assurer que la qualité de la confidentialité persistante (Forward Secrecy) ne sera pas compromise, même si le serveur n'est pas redémarré régulièrement.

C'est votre version d'OpenSSL installée qui détermine la liste des algorithmes de chiffrement supportés par la directive SSLCipherSuite, et non le serveur. Pour pouvoir utiliser certains d'entre eux, vous devrez peut-être mettre à jour votre version d'OpenSSL.

Comment créer un serveur qui accepte de nombreux types de chiffrement en général, mais exige un chiffrement fort pour pouvoir accéder à une URL particulière ?

Dans ce cas bien évidemment, une directive SSLCipherSuite au niveau du serveur principal qui restreint le choix des suites de chiffrement aux versions les plus fortes ne conviendra pas. mod_ssl peut cependant être reconfiguré au sein de blocs Location qui permettent d'adapter la configuration générale à un répertoire spécifique ; mod_ssl peut alors forcer automatiquement une renégociation des paramètres SSL pour parvenir au but recherché. Cette configuration peut se présenter comme suit :

# soyons très tolérant a priori -- utilisons la suite d'algorithmes de # chiffrement "intermédiaire" de Mozilla (des suites plus légères peuvent aussi # être utilisées mais ne seront pas documentées ici) SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS <Location "/strong/area"> # sauf pour https://hostname/strong/area/ et ses sous-répertoires qui exigent # des chiffrements forts SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256 </Location>
Agrafage OCSP

Le protocole de contrôle du statut des certificats en ligne (Online Certificate Status Protocol - OCSP) est un mécanisme permettant de déterminer si un certificat a été révoqué ou non, et l'agrafage OCSP en est une fonctionnalité particulière par laquelle le serveur, par exemple httpd et mod_ssl, maintient une liste des réponses OCSP actuelles pour ses certificats et l'envoie aux clients qui communiquent avec lui. La plupart des certificats contiennent l'adresse d'un répondeur OCSP maintenu par l'Autorité de Certification (CA) spécifiée, et mod_ssl peut requérir ce répondeur pour obtenir une réponse signée qui peut être envoyée aux clients qui communiquent avec le serveur.

L'agrafage OCSP est la méthode la plus performante pour obtenir le statut d'un certificat car il est disponible au niveau du serveur, et le client n'a donc pas besoin d'ouvrir une nouvelle connexion vers l'autorité de certification. Autres avantages de l'absence de communication entre le client et l'autorité de certification : l'autorité de certification n'a pas accès à l'historique de navigation du client, et l'obtention du statut du certificat est plus efficace car elle n'est plus assujettie à une surcharge éventuelle des serveurs de l'autorité de certification.

La charge du serveur est moindre car la réponse qu'il a obtenu du répondeur OCSP peut être réutilisée par tous les clients qui utilisent le même certificat dans la limite du temps de validité de la réponse.

Une fois le support général SSL correctement configuré, l'activation de l'agrafage OCSP ne requiert que des modifications mineures à la configuration de httpd et il suffit en général de l'ajout de ces deux directives :

SSLUseStapling On SSLStaplingCache "shmcb:ssl_stapling(32768)"

Ces directives sont placées de façon à ce qu'elles aient une portée globale (et particulièrement en dehors de toute section VirtualHost), le plus souvent où sont placées les autres directives de configuration globales SSL, comme conf/extra/httpd-ssl.conf pour les installations de httpd à partir des sources, ou /etc/apache2/mods-enabled/ssl.conf pour Ubuntu ou Debian, etc...

Cette directive SSLStaplingCache particulière nécessite le chargement du module mod_socache_shmcb (à cause du préfixe shmcb de son argument). Ce module est en général déjà activé pour la directive SSLSessionCache, ou pour des modules autres que mod_ssl. Si vous activez un cache de session SSL utilisant un mécanisme autre que mod_socache_shmcb, utilisez aussi ce mécanisme alternatif pour la directive SSLStaplingCache. Par exemple :

SSLSessionCache "dbm:ssl_scache" SSLStaplingCache "dbm:ssl_stapling"

Vous pouvez utiliser la commande openssl pour vérifier que votre serveur envoie bien une réponse OCSP :

$ openssl s_client -connect www.example.com:443 -status -servername www.example.com
...
OCSP response: 
======================================
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
...
    Cert Status: Good
...

Les sections suivantes explicitent les situations courantes qui requièrent des modifications supplémentaires de la configuration. Vous pouvez aussi vous référer au manuel de référence de mod_ssl.

Si l'on utilise plus que quelques certificats SSL pour le serveur

Les réponses OCSP sont stockées dans le cache d'agrafage SSL. Alors que les réponses ont une taille de quelques centaines à quelques milliers d'octets, mod_ssl supporte des réponses d'une taille jusqu'à environ 10 ko. Dans notre cas, le nombre de certificats est conséquent et la taille du cache (32768 octets dans l'exemple ci-dessus) doit être augmentée. En cas d'erreur lors du stockage d'une réponse, le message AH01929 sera enregistré dans le journal.

Si le certificat ne spécifie pas de répondeur OCSP, ou si une adresse différente doit être utilisée

Veuillez vous référer à la documentation de la directive SSLStaplingForceURL.

Vous pouvez vérifier si un certificat spécifie un répondeur OCSP en utilisant la commande openssl comme suit :

$ openssl x509 -in ./www.example.com.crt -text | grep 'OCSP.*http'
OCSP - URI:http://ocsp.example.com

Si un URI OCSP est fourni et si le serveur web peut communiquer directement avec lui sans passer par un mandataire, aucune modification supplémentaire de la configuration n'est requise. Notez que les règles du pare-feu qui contrôlent les connexions sortantes en provenance du serveur web devront peut-être subir quelques ajustements.

Si aucun URI OCSP n'est fourni, contactez votre autorité de certification pour savoir s'il en existe une ; si c'est le cas, utilisez la directive SSLStaplingForceURL pour la spécifier dans la configuration du serveur virtuel qui utilise le certificat.

Si plusieurs serveurs virtuels sont configurés pour utiliser SSL et si l'agrafage OCSP doit être désactivé pour certains d'entre eux

Ajoutez la directive SSLUseStapling Off à la configuration des serveurs virtuels pour lesquels l'agrafage OCSP doit être désactivé.

Si le répondeur OCSP est lent ou instable

De nombreuses directives permettent de gérer les temps de réponse et les erreurs. Référez-vous à la documentation de SSLStaplingFakeTryLater, SSLStaplingResponderTimeout, et SSLStaplingReturnResponderErrors.

Si mod_ssl enregistre l'erreur AH02217 dans le journal 
AH02217: ssl_stapling_init_cert: Can't retrieve issuer certificate!

Afin de pouvoir supporter l'agrafage OCSP lorsqu'un certificat de serveur particulier est utilisé, une chaîne de certification pour ce certificat doit être spécifiée. Si cela n'a pas été fait lors de l'activation de SSL, l'erreur AH02217 sera enregistrée lorsque l'agrafage OCSP sera activé, et les clients qui utilisent le certificat considéré ne recevront pas de réponse OCSP.

Veuillez vous référer à la documentation des directives SSLCertificateChainFile et SSLCertificateFile pour spécifier une chaîne de certification.

Authentification du client et contrôle d'accès
Comment forcer les clients à s'authentifier à l'aide de certificats ?

Lorsque vous connaissez tous vos clients (comme c'est en général le cas au sein d'un intranet d'entreprise), vous pouvez imposer une authentification basée uniquement sur les certificats. Tout ce dont vous avez besoin pour y parvenir est de créer des certificats clients signés par le certificat de votre propre autorité de certification (ca.crt), et d'authentifier les clients à l'aide de ces certificats.

# exige un certificat client signé par le certificat de votre CA # contenu dans ca.crt SSLVerifyClient require SSLVerifyDepth 1 SSLCACertificateFile "conf/ssl.crt/ca.crt"
Comment forcer les clients à s'authentifier à l'aide de certificats pour une URL particulière, mais autoriser quand-même tout client anonyme à accéder au reste du serveur ?

Pour forcer les clients à s'authentifier à l'aide de certificats pour une URL particulière, vous pouvez utiliser les fonctionnalités de reconfiguration de mod_ssl en fonction du répertoire :

SSLVerifyClient none SSLCACertificateFile "conf/ssl.crt/ca.crt" <Location "/secure/area"> SSLVerifyClient require SSLVerifyDepth 1 </Location>
Comment n'autoriser l'accès à une URL particulière qu'aux clients qui possèdent des certificats, mais autoriser l'accès au reste du serveur à tous les clients ?

La clé du problème consiste à vérifier si une partie du certificat client correspond à ce que vous attendez. Cela signifie en général consulter tout ou partie du nom distinctif (DN), afin de vérifier s'il contient une chaîne connue. Il existe deux méthodes pour y parvenir ; on utilise soit le module mod_auth_basic, soit la directive SSLRequire.

La méthode du module mod_auth_basic est en général incontournable lorsque les certificats ont un contenu arbitraire, ou lorsque leur DN ne contient aucun champ connu (comme l'organisation, etc...). Dans ce cas, vous devez construire une base de données de mots de passe contenant tous les clients autorisés, comme suit :

SSLVerifyClient none SSLCACertificateFile "conf/ssl.crt/ca.crt" SSLCACertificatePath "conf/ssl.crt" <Directory "/usr/local/apache2/htdocs/secure/area"> SSLVerifyClient require SSLVerifyDepth 5 SSLOptions +FakeBasicAuth SSLRequireSSL AuthName "Snake Oil Authentication" AuthType Basic AuthBasicProvider file AuthUserFile "/usr/local/apache2/conf/httpd.passwd" Require valid-user </Directory>

Le mot de passe utilisé dans cet exemple correspond à la chaîne de caractères "password" chiffrée en DES. Voir la documentation de la directive SSLOptions pour plus de détails.

httpd.passwd
/C=DE/L=Munich/O=Snake Oil, Ltd./OU=Staff/CN=Foo:xxj31ZMTZzkVA
/C=US/L=S.F./O=Snake Oil, Ltd./OU=CA/CN=Bar:xxj31ZMTZzkVA
/C=US/L=L.A./O=Snake Oil, Ltd./OU=Dev/CN=Quux:xxj31ZMTZzkVA

Lorsque vos clients font tous partie d'une même hiérarchie, ce qui apparaît dans le DN, vous pouvez les authentifier plus facilement en utilisant la directive SSLRequire, comme suit :

SSLVerifyClient none SSLCACertificateFile "conf/ssl.crt/ca.crt" SSLCACertificatePath "conf/ssl.crt" <Directory "/usr/local/apache2/htdocs/secure/area"> SSLVerifyClient require SSLVerifyDepth 5 SSLOptions +FakeBasicAuth SSLRequireSSL SSLRequire %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \ and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} </Directory>
Comment imposer HTTPS avec chiffrements forts, et soit authentification de base, soit possession de certificats clients, pour l'accès à une partie de l'Intranet, pour les clients en provenance de l'Internet ? Je souhaite quand-même autoriser l'accès en HTTP aux clients de l'intranet.

On suppose dans ces exemples que les clients de l'intranet ont des adresses IP dans la gamme 192.168.1.0/24, et que la partie de l'intranet à laquelle vous voulez autoriser l'accès depuis l'Internet est /usr/local/apache2/htdocs/subarea. Ces lignes de configuration doivent se trouver en dehors de votre hôte virtuel HTTPS, afin qu'elles s'appliquent à la fois à HTTP et HTTPS.

SSLCACertificateFile "conf/ssl.crt/company-ca.crt" <Directory "/usr/local/apache2/htdocs"> # En dehors de subarea, seul l'accès depuis l'intranet est # autorisé Require ip 192.168.1.0/24 </Directory> <Directory "/usr/local/apache2/htdocs/subarea"> # Dans subarea, tout accès depuis l'intranet est autorisé # mais depuis l'Internet, seul l'accès par HTTPS + chiffrement fort + Mot de passe # ou HTTPS + chiffrement fort + certificat client n'est autorisé. # Si HTTPS est utilisé, on s'assure que le niveau de chiffrement est fort. # Autorise en plus les certificats clients comme une alternative à # l'authentification basique. SSLVerifyClient optional SSLVerifyDepth 1 SSLOptions +FakeBasicAuth +StrictRequire SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128 # ON oblige les clients venant d'Internet à utiliser HTTPS RewriteEngine on RewriteCond "%{REMOTE_ADDR}" "!^192\.168\.1\.[0-9]+$" RewriteCond "%{HTTPS}" "!=on" RewriteRule "." "-" [F] # On permet l'accès soit sur les critères réseaux, soit par authentification Basique Satisfy any # Contrôle d'accès réseau Require ip 192.168.1.0/24 # Configuration de l'authentification HTTP Basique AuthType basic AuthName "Protected Intranet Area" AuthBasicProvider file AuthUserFile "conf/protected.passwd" Require valid-user </Directory>
Journalisation

mod_ssl peut enregistrer des informations de débogage très verbeuses dans le journal des erreurs, lorsque sa directive LogLevel est définie à des niveaux de trace élevés. Par contre, sur un serveur très sollicité, le niveau info sera probablement déjà trop élevé. Souvenez-vous que vous pouvez configurer la directive LogLevel par module afin de pourvoir à vos besoins.