Cet article a été traduit automatiquement.
Utilisez l'indication de nom de serveur (SNI), et vous pouvez héberger plusieurs noms tbd à la fois, chacun avec un certificat TLS unique, sous une seule adresse IP.
Commençons par un exemple.
Le géant de l'hébergement GoDaddy possède 52 millions de noms tbd. Les consommateurs s'attendent à ce que leur vie privée soit respectée sur chacun d'entre eux. Mais ils sont tous hébergés sur les mêmes adresses IP.
Mais dans le passé, des entreprises comme GoDaddy ont créé des certificats de sécurité généralisés pour rassurer les consommateurs (et leur navigateur). Cela n'a pas toujours été efficace. Parfois, les sites ne se chargent pas. D'autres fois, l'utilisateur recevait le redoutable message "Ce site n'est pas sécurisé" avant de pouvoir se connecter.
SNI est conçu pour résoudre ce problème en modifiant la manière dont un navigateur s'interface avec un serveur.
Approfondissons la question.
Quel problème un SNI résout-il ?
De nombreux hébergeurs proposent des sites web avec des noms tbd très différents, mais ils sont tous hébergés sur la même adresse IP. Dans cet environnement, les connexions peuvent s'enchevêtrer très rapidement.
Pour se connecter à un site web, votre terminal doit passer par un processus de poignée de main :
- Sensibilisation. Votre navigateur s'adresse au serveur hôte et demande un certificat SSL. Ces minuscules fichiers de données fonctionnent un peu comme une authentification, garantissant que la connexion entre un navigateur et un serveur est sécurisée.
- Commerce. Votre navigateur et le serveur hôte échangent des clés électroniques pour renforcer le processus de sécurité.
- client HELLO. Votre navigateur demande un site web spécifique au sein d'un IP partagé via ce code.
- Connexion. Vous êtes prêt à vous engager.
Remarquez que votre navigateur demande une adresse IP spécifique après avoir demandé un certificat SSL. Et c'est là que le bât blesse.
Si le serveur ne sait pas exactement quel site le navigateur souhaite consulter, il peut lui envoyer le mauvais site. Au lieu d'obtenir le certificat de sécurité pour le site que vous souhaitez, vous en obtiendrez un pour un site que vous n'avez jamais demandé. De telles confusions vont de pair avec les alertes. Votre site web pourrait, comme le dit un blogueur, finir par "effrayer les gens" avec des avertissements concernant des certificats de sécurité médiocres.
Il peut sembler plus sage, dans ce contexte, de consacrer une adresse IP à chaque site web unique. Malheureusement, il n'y a pas assez d'adresses IP pour tout le monde.
IPv4 est une communication internationale standard qui régit le trafic en ligne. Des étiquettes numériques sont attribuées à chaque terminal sur l'internet, ce qui permet des connexions rapides. Mais ce système système a été développé en 1981et les technologies de l'information ne peuvent pas répondre à la demande.
De nombreux terminaux sont désormais accessibles en ligne. En plus des ordinateurs et des téléphones, nous avons des sonnettes, des réfrigérateurs, des tbd et des micro-ondes prêts à être connectés. Les adresses uniques sont rares.
Un nouveau site standard en cours de développement, l'IPv6, résoudra le problème. Mais l'informatique n'est pas encore prête. Pour l'instant, nous devons apprendre à partager. Et c'est ce que permet la SNI.
Fonctionnement de l'extension TLS SNI
Considérez le SNI comme le renversement d'un protocole d'accès standard. Au lieu d'attendre d'indiquer à un serveur le site que vous souhaitez consulter, vous faites votre demande en amont.
SNI est une extension du protocole TLS. Lors d'une poignée de main avec un hôte, un navigateur peut spécifier le nom tbd du site demandé avant d'échanger la clé de sécurité. Cela signifie que le bon certificat est envoyé immédiatement et que les risques d'une mauvaise expérience utilisateur sont réduits.
Le SNI est-il sûr ?
Le développeur a créé le concept SNI sous-jacent pour s'assurer que les utilisateurs disposent de connexions sécurisées vers les sites qu'ils souhaitent visiter. Malheureusement, cette extension présente un risque pour la sécurité.
Le SNI n'est pas complètement crypté. Toute personne espionnant votre site pourrait voir le site que vous essayez de visiter. Et si cet espion est doué, il peut remplacer le nom d'hôte que vous souhaitez par un nom contrôlé par hacker.
Les développeurs utilisent des solutions de contournement pour chiffrer le SNI afin de réduire ou d'éliminer ce risque. Mais pour l'instant, les technologies de l'information restent réelles.
Qui peut utiliser le SNI ?
La plupart des consommateurs ne peuvent pas forcer leur navigateur à accepter ces technologies. Les technologies de l'information sont inscrites dans le code ou exclues de ce même code.
L'implémentation de la SNI peut être un peu délicate. Organizations doivent disposer de systèmes opérationnels qui acceptent et utilisent le site extension. Et les visiteurs doivent être sur des navigateurs qui font de même.
Certaines entreprises utilisent des solutions de contournement. Ils ne mettent en œuvre le SNI que sur des systèmes d'exploitation spécifiques et laissent les autres au hasard.
Si les visiteurs travaillent sur un navigateur qui n'est pas support SNI, ils peuvent passer par des systèmes de poignée de main par défaut et obtenir le mauvais certificat. Heureusement, cela est rare. La plupart des navigateurs fonctionnent avec le système SNI.
Si vous travaillez avec des systèmes d'héritages, vous savez à quel point il est difficile d'assurer la sécurité informatique. Nous avons rédigé un livre blanc sur le sujet qui pourrait vous être utile. Lisez tous les détails ici.
Références
Comment Go Daddy maintient 52 millions de tbd en activité. (Avril 2012). centre de données Connaissances.
Résoudre la pénurie d'adresses IP. (mai 2011). Gouverner.
Votre site web effraie-t-il les gens ? Amis du ministère.
