L’en-tête HPKP pour sécuriser un peu plus les connexions sur Internet ?

Magazine
Marque
MISC
Numéro
102
Mois de parution
mars 2019
Domaines


Résumé

Cet article propose une présentation de l’en-tête de sécurité HPKP, de ses limites et ses impacts sur la sécurité des échanges sur Internet. Le sigle HPKP correspond à HTTP Public Key Pinning, qui pourrait se traduire en français par « épinglage de la clef publique HTTP ». C’est un en-tête de sécurité HTTP, tout comme HSTS (HTTP Strict Transport Security) ou encore CSP (Content Security Policy).


1. HPKP : de quoi s’agit-il ?

HPKP a été créé à la suite de problèmes rencontrés par certaines autorités de certification. Défini par la RFC7469 (datant d'avril 2015), il permet au navigateur Internet de s'assurer (et de se souvenir) que le certificat qui protège la connexion HTTPS est bien le certificat légitime et attendu. Ainsi, la visite d’un site protégé par un certificat généré par une autorité de certification malveillante ou détournée générera une alerte, même si ce certificat est reconnu par le navigateur (dans le cas d'une compromission de l'autorité commerciale).

1.1 Pourquoi avoir besoin de HPKP ?

Une autorité de certification, commerciale ou non, peut émettre des certificats qui seront reconnus par quiconque possède, dans son magasin de certificats, le certificat de l’autorité. Que se passe-t-il lorsque celle-ci se fait pirater ? Par exemple, des personnes malveillantes ont pu obtenir des certificats issus d’autorités de...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Créez vos clusters avec Elasticsearch

Magazine
Marque
Linux Pratique
Numéro
124
Mois de parution
mars 2021
Domaines
Résumé

Vous êtes-vous déjà demandé comment Facebook et Google gèrent leurs immenses masses de données tout en fournissant des services rapides ? Quelle serait votre solution pour gérer une base de données avec un trafic de données abondant ? Voici quelques éléments de réponse à ces questions.

Recréer un ancien environnement à l’aide de Docker

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
113
Mois de parution
mars 2021
Domaines
Résumé

Docker est un mot à la mode qu’on associe volontiers à microservices et autre Cloud. Cependant, nous allons voir ici qu’il peut aussi rendre des « macroservices » :-) dans un cadre tout à fait différent, voire contraire : celui de la maintenance logicielle !

Déployer Jenkins CI avec Docker

Magazine
Marque
Linux Pratique
Numéro
124
Mois de parution
mars 2021
Domaines
Résumé

Solution appréciée d’intégration continue, Jenkins est un puissant logiciel Java dont l’installation et l’exécution sur un système ne sont pas sans conséquence et à prendre à la légère. Afin de faciliter son déploiement et isoler proprement ce programme du reste de la machine qui l’héberge, nous allons illustrer ici comment le mettre en place, en seulement quelques commandes, à l’aide de Docker.