Authentification TLS

Le protocole TLS (Transport Layer Security) permet d'établir une communication sécurisée entre un client et un serveur. Voici les étapes principales du TLS Handshake.

Cas d’usage:

TLS
│
├── 📧 Email sécurisé
│   ├── SMTPS (port 465)
│   ├── IMAPS (port 993)
│   └── POP3S (port 995)
│
├── 🔐 VPN
│   ├── OpenVPN
│   └── WireGuard (clé pré-partagée mais parfois TLS utilisé en amont)
│
├── 🧩 APIs & Microservices
│   ├── REST APIs
│   ├── gRPC
│   └── mTLS (authentification mutuelle)
│
├── 🐳 Cloud / Services managés
│   ├── Connexions aux bases de données (PostgreSQL, MySQL)
│   ├── Services AWS/GCP/Azure (S3, API Gateway, etc.)
│   └── Communications entre services cloud
│
├── 🧪 Protocoles d’entreprise
│   ├── LDAPs (LDAP over TLS)
│   ├── XMPP (chat)
│   └── RDP (Bureau à distance sécurisé)
│
├── 📡 IoT (Internet des Objets)
│   ├── Capteurs / Dispositifs connectés
│   └── TLS ou mTLS vers des services cloud
│
└── 💬 Messagerie & VoIP
    ├── Signal, WhatsApp
    ├── Microsoft Teams, Zoom
    └── TLS pour chiffrer les communications

Prérequis:

🧭 Un nom de domaine (FQDN) configuré dans une zone DNS accessible par le client.
🌐 Un enregistrement DNS valide (A, AAAA ou CNAME) pointant vers l’adresse IP du serveur.
🖥️ Un serveur à cette IP, qui écoute en TLS (ex : HTTPS sur port 443, ou autre selon le protocole).
🔐 Un certificat X.509 signé par une autorité de certification (CA), contenant le nom de domaine (dans le CN ou SAN).
📜 Une autorité de certification (CA) de confiance — présente dans le magasin de certificats du client.
📆 Un certificat valide dans le temps (non expiré, ni encore actif dans le futur).
🔁 Une chaîne de certification complète (certificat intermédiaire inclus si besoin).

Séquence:

Client                             Serveur
  | -------- ClientHello --------> |
  | <-------- ServerHello -------- |
  | <------ Certificate ---------- |
  |                               |
  | ---- [ClientKeyExchange] ---> |
  | ---- ChangeCipherSpec ------> |
  | ---- Finished ---------------> |
  | <--- ChangeCipherSpec --------|
  | <--- Finished ----------------|
  | <<<<<<< Communication chiffrée >>>>>>> |

1. Client Hello

Version TLS supportée
Suites cryptographiques proposées
Nombre aléatoire du client (client random)
Extensions (ex: SNI)

2. Server Hello

Version TLS sélectionnée
Suite cryptographique choisie
Nombre aléatoire du serveur (server random)
Certificat du serveur (clé publique)
(Optionnel) Demande de certificat client

3. Vérification du certificat

Le client vérifie le certificat du serveur : chaîne de confiance, validité, domaine, etc.

4. Échange de clé / Secret partagé

TLS 1.2 :

Le client génère un pre-master secret
Le chiffre avec la clé publique du serveur
L’envoie au serveur

TLS 1.3 : échange Diffie-Hellman (ECDHE) plus sécurisé (aucun secret transmis directement).

5. Génération de la clé de session

Les deux parties utilisent :

client random
server random
pre-master secret

Pour dériver une clé de session symétrique.

6. Messages de fin (Finished)

Les deux parties s’échangent un message Finished chiffré pour confirmer que le handshake est réussi.

7. Communication sécurisée

Les données sont échangées avec la clé de session en toute sécurité.