# TLS TLS (Transport Layer Security) est un protocole cryptographique permettant une communication sécurisée sur un réseau. ## TLS 1.3 La dernière version de TLS est TLS 1.3 spécifiée dans la [RFC 8446](https://tools.ietf.org/html/rfc8446). ## OpenSSL [OpenSSL](https://www.openssl.org/) est une bibliothèque implémentant le protocole TLS elle vient avec un binaire `openssl` permettant notamment de gérer les certificats TLS et d'effectuer des connexions chiffrées. ### s_client Le binaire `openssl` lancé avec la sous-commande `s_client` permet d'effectuer une connexion TLS à la manière de netcat. Voici un exemple : ```bash openssl s_client -connect irc.crans.org:6697 ``` Ceci permet de se connecter sur le port 6697 du serveur identifié par le nom de domaine `irc.crans.org`. Il est également possible d'utiliser des protocoles utilisant STARTTLS (c'est à dire passant d'une connexion en clair à une connexion chiffrée a l'aide d'une commande) : ```bash openssl s_client -starttls smtp -connect redisdead.crans.org:25 ``` ### genpkey La sous-commande `genpkey` permet de générer une clef privée, par exemple (pour générer une clef privée ED25519) : ```bash openssl genpkey -algorithm ED25519 -out key.pem ``` Voici les valeurs notables possible de l'option `-algorithm` et les valeurs associées de l'option `-pkeyopt` permettant d'ajuster les paramètres de la clef privée: * `ED25519` (pas d'options) * `ED448` (pas d'options) * `RSA` * `rsa_keygen_bits`: le nombre de bits de la clef privée * `EC` * `ec_paramgen_curve`: le nom de la courbe de la clef privée ### x509 La sous-commande `x509` permet d'afficher des informations sur un certificat et d'effectuer des opérations de signature. On peut par exemple l'utiliser pour afficher la clef publique d'un certificat : ```bash openssl x509 -pubkey -in cert.pem -noout ``` Ou encore signer un certificat avec une autorité : ```bash openssl x509 -req -in cert.csr -CA ca_cert.pem -CAkey ca_key.pem -CAcreateserial -out cert.pem -days 3650 ``` Le certificat `cert.pem` est délivrée par l'autorité `ca_cert.pem` pour 10 ans (3650 jours).