Sécuriser une application Golang

Sécuriser la confidentialité des données de sa plateforme web ou de son service SaaS est essentiel. Cette pratique passe par l'utilisation de certificats TLS.

Si vous développez une application Golang vous êtes en mesure de facilement mettre en place cette sécurité. On vous explique comment réaliser ceci étape par étape.

Qu'est-ce que TLS/SSL ?

TLS (anciennement appelé SSL) est un protocole d'échange de clés de chiffrement. Cette sécurité permet de garantir la confidentialité des données qui vont passer par un canal de communication.

En clair, l'intérêt de ceci réside dans le fait que si un cyber-criminel intercepte l'échange de messages entre vous et un serveur web, il ne pourra pas lire le contenu de vos messages.

Comment ceci fonctionne en production ?

Pour sécuriser votre communication vous devez mettre en place un certificat TLS sur votre serveur. Le fonctionnement est simple mais généralement complexe à appréhender. On va essayer de vous expliquer.

Le propriétaire d'une plateforme web doit commencer par générer une clé privée, puis une clé publique associée à la première. Ce couple de clé est aussi associé à un nom de domaine précis. Celui de la plateforme à sécuriser.

Le propriétaire va communiquer la clé publique à une Autorité de Certification. Celle-ci va s'assurer que vous possédez bien la propriété du nom de domaine en question. Cette procédure nécessite souvent des démarches administratives mais peut aussi être totalement automatisée (avec letsencrypt notamment). Dès lors, lorsqu'un internaute souhaite communiquer avec vos serveurs de manière sécurisée, il va demander ce certificat et lui faire confiance (ou pas). La communication sera alors confidentielle.

Avec Golang

On va commencer par créer une clé privée au moyen de la commande suivante:

$ openssl genrsa -out server.key 2048

Puis nous allons générer un certificat:

$ openssl req -new -x509 -sha256 -key server.key -out server.pem -days 3650 Note importante: il est important de renseigner localhost à la question Common name.

Dans le code source de votre programme Golang vous allez pouvoir remplacer le traditionnel appel de la méthode http.ListenAndServe par http.ListenAndServeTLS(":443", "server.crt", "server.key", nil)

A ce stade, si vous essayez de naviguer sur votre projet web, vous obtiendrez une erreur de sécurité. En effet, l'Autorité de certification est inconnue par votre système.

Si vous utilisez curl, vous pouvez outre passer cette erreur en utilisant le paramètre -k.

Exemple $ curl -i -k https://localhost:443

Eviter l'erreur

Pour éviter l'erreur, nous allons créer une autorité de certification. Puis nous allons la faire reconnaitre par notre navigateur.

On va générer une nouvelle clé privée pour l'autorité de certification:

$ openssl genrsa -out rootCA.key 2048

Puis un nouveau certificat destiné à l'autorité de certification (bien renseigner 'Mon autorité de développement' lors de la question 'Common Name').

$ openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem

Nous allons faire reconnaitre l'AC à votre environnement de développement. Sur Mac, pour Chrome et Safari: -> Open Keychain Access on your Mac and go to the Certificates category in your System keychain. Once there, import the rootCA.pem using File > Import Items. Un message rouge indique que le certificat n'est pas fiable. Alors: Double cliquez sur “When using this certificate:” dropdown to 'Always Trust in the Trust section'. -> Pour firefox il faut ajouter le fichier .pem aussi dans les Préférences

Nous allons finir en réalisant une requête de certification (qui devrait normalement être envoyée à l'AC).

$ openssl req -new -sha256 -nodes -out server.csr -key server.key

Puis on va signer le certificat (ce qui permet de générer un certificat x509)

$ openssl x509 -req -in server.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out server.crt -days 500 -sha256

Dès lors le fichier server.csr (la requête ne sert plus à rien), il peut être supprimé. Qu'en à lui, le fichier server.crt est le certificat, il doit etre utilisé par le serveur et non plus server.pem.

LittleBlueFox.io est la cyber-solution qui a un impact considérable sur la sécurité de toutes les activités: e-commerce, santé, immobilier, grands comptes, etc.

Sécurisez gratuitement