# TLS

TLS (Transport Layer Security) est un protocole cryptographique permettant une
communication sécurisée sur un réseau.

## TLS 1.3

La dernière version de TLS est TLS 1.3 spécifiée dans la [RFC
8446](https://tools.ietf.org/html/rfc8446).

## OpenSSL

[OpenSSL](https://www.openssl.org/) est une bibliothèque implémentant le
protocole TLS elle vient avec un binaire `openssl` permettant notamment de
gérer les certificats TLS et d'effectuer des connexions chiffrées.

### s_client

Le binaire `openssl` lancé avec la sous-commande `s_client` permet d'effectuer
une connexion TLS à la manière de netcat. Voici un exemple :

```bash
openssl s_client -connect irc.crans.org:6697
```

Ceci permet de se connecter sur le port 6697 du serveur identifié par le nom
de domaine `irc.crans.org`.

Il est également possible d'utiliser des protocoles utilisant STARTTLS (c'est
à dire passant d'une connexion en clair à une connexion chiffrée a l'aide
d'une commande) :

```bash
openssl s_client -starttls smtp -connect redisdead.crans.org:25
```

### genpkey

La sous-commande `genpkey` permet de générer une clef privée, par exemple
(pour générer une clef privée ED25519) :

```bash
openssl genpkey -algorithm ED25519 -out key.pem
```

Voici les valeurs notables possible de l'option `-algorithm` et les valeurs
associées de l'option `-pkeyopt` permettant d'ajuster les paramètres de la
clef privée:

* `ED25519` (pas d'options)

* `ED448` (pas d'options)

* `RSA`

   * `rsa_keygen_bits`: le nombre de bits de la clef privée

   * `EC`

   * `ec_paramgen_curve`: le nom de la courbe de la clef privée

### x509

La sous-commande `x509` permet d'afficher des informations sur un certificat et
d'effectuer des opérations de signature.

On peut par exemple l'utiliser pour afficher la clef publique d'un certificat :

```bash
openssl x509 -pubkey -in cert.pem -noout
```

Ou encore signer un certificat avec une autorité :

```bash
openssl x509 -req -in cert.csr -CA ca_cert.pem -CAkey ca_key.pem -CAcreateserial -out cert.pem -days 3650
```

Le certificat `cert.pem` est délivrée par l'autorité `ca_cert.pem` pour 10
ans (3650 jours).