What is SSL, TLS and HTTPS Hero

Qu'est-ce qu'un certificat SSL ?

Découvrez le protocole SSL (Secure Sockets Layer), le fonctionnement des certificats SSL et pourquoi ils sont essentiels à la sécurité Internet.

Certificat SSL: définition et fonctionnement

Les certificats SSL créent une connexion chiffrée et inspirent confiance.

Pour une entreprise en ligne, il est essentiel de créer un environnement sûr dans lequel les prospects se sentent en confiance pour réaliser des achats. En établissant une connexion sécurisée, les certificats SSL posent les bases de cette confiance. Pour rassurer les internautes, les navigateurs affichent des marques visuelles de sécurité, ou indicateurs EV – allant d'un cadenas vert à une barre d'adresse contenant le nom de l'entreprise.

Icon Circle Keys

Les certificats SSL contiennent une paire de clés: l'une publique, l'autre privée. Ensemble, ces clés aident à établir une connexion chiffrée. Les certificats contiennent également un « sujet », qui n'est rien d'autre que l'identité du propriétaire du certificat/site web.

Icon Circle

Pour obtenir un certificat, vous devez créer une requête de signature de certificat (CSR) sur votre serveur. Ainsi, vous générerez une clé publique et une clé privée sur ce serveur. Le fichier de données CSR que vous envoyez à l'émetteur de certificats SSL (aussi appelé Autorité de certification ou AC) contient la clé publique. L'AC utilise ensuite ce fichier pour créer une structure de données correspondant à votre clé privée sans la compromettre. En d'autres termes, elle n'a jamais accès à cette clé privée.

Une fois le certificat SSL délivré, vous devez l'installer sur votre serveur. Vous devez également installer un certificat intermédiaire qui rattache votre certificat SSL au certificat racine de votre AC afin d'établir son authenticité. La façon d'installer et de tester votre certificat variera en fonction de votre serveur.

Le schéma ci-dessous illustre la chaîne de certificats. Cette chaîne rattache votre certificat serveur au certificat racine de l'AC (ici DigiCert) par le biais d'un certificat intermédiaire.

Surtout, votre certificat SSL doit être signé numériquement par une AC de confiance comme DigiCert. Si n'importe qui peut créer un certificat, les navigateurs ne reconnaissent que les certificats de confiance—émis par une organisation figurant sur la liste des AC de confiance. Ils contiennent une liste préinstallée de ces Autorités de certification, appelée magasin de certificats racines de confiance. Pour figurer sur cette liste et ainsi devenir une AC de confiance, une entreprise doit respecter les normes de sécurité et d'authentification des navigateurs et prouver sa conformité par un audit.

Un certificat SSL émis par une AC pour une organisation et son domaine/site web confirme qu'un tiers de confiance a authentifié cette organisation. Puisque le navigateur reconnaît cette AC, il reconnaît également l'identité de l'organisation concernée. Il informe donc les internautes que le site web est sécurisé, ce qui leur permet de visiter le site voire de saisir des données confidentielles en toute sérénité.

Qu'est-ce que SSL (Secure Sockets Layer)?

Le SSL (Secure Sockets Layer) désigne une technologie de sécurité standard qui établit une connexion chiffrée entre un serveur et un client—généralement entre un serveur web (site web) et un navigateur, ou un serveur et un client de messagerie (par ex., Outlook). Ce terme est plus répandu que « TLS » (Transport Layer Security), son successeur.

Icon Circle Badge

Le SSL permet de transmettre de façon sécurisée des informations sensibles comme des numéros de carte bancaire, des numéros de sécurité sociale et des identifiants. En principe, les données échangées entre un navigateur et un serveur web sont en texte clair. Si un attaquant parvient à intercepter ces données, il peut donc les voir et les utiliser.

Techniquement parlant, le SSL est un protocole de sécurité. Les protocoles décrivent la manière d'utiliser des algorithmes. Dans ce cas, le protocole SSL détermine les variables du chiffrement de la liaison et des données transmises.

Icon Circle UI

Tous les navigateurs peuvent interagir avec des serveurs web sécurisés à l'aide du protocole SSL. Toutefois, le navigateur et le serveur ont besoin d'un certificat SSL pour établir une connexion sécurisée.

Icon Circle Pad Lock

Chaque jour, le SSL sécurise des millions de données des internautes, en particulier lors de transactions en ligne ou de la transmission d'informations confidentielles. Aujourd'hui, les internautes font le lien entre leur sécurité en ligne et l'icône du cadenas des sites web équipés d'un certificat SSL ou la barre d'adresse verte de ceux équipés d'un certificat SSL EV. Les sites web sécurisés par SSL ont également une adresse commençant par le préfixe « https » au lieu de « http ».

Envie d'approfondir le sujet? Découvrez la cryptographie SSL.

Connexion sécurisée par SSL: principe de fonctionnement

Lorsqu'un navigateur tente d'accéder à un site web sécurisé par SSL, ce navigateur et le serveur web concerné établissent une connexion SSL à l'aide d'un processus baptisé « négociation SSL » (SSL handshake), illustré par le schéma ci-dessous. Cette négociation SSL est instantanée et invisible pour l'utilisateur.

Pour établir une connexion SSL, trois clés sont nécessaires: l'une publique, l'autre privée, ainsi qu'une clé de session. Toutes les données chiffrées à l'aide de la clé publique ne peuvent être déchiffrées qu'avec la clé privée, et inversement. Parce que le chiffrement et le déchiffrement mobilisent une puissance de calcul non négligeable, les clés publique et privée ne sont utilisées que lors de la négociation SSL, pour créer une clé de session symétrique. Une fois la connexion sécurisée établie, la clé de session sert à chiffrer toutes les données transmises.

  1. Le navigateur se connecte à un serveur web (site web) sécurisé par SSL (HTTPS). Il demande au serveur de s'identifier.
  2. Le serveur transmet une copie de son certificat SSL, y compris sa clé publique.
  3. Le navigateur vérifie que la racine du certificat figure bien dans sa liste d'AC de confiance et que le certificat n'a ni expiré ni été révoqué. Il s'assure que son nom commun correspond au site web auquel il se connecte. Si le navigateur reconnaît le certificat, il crée, chiffre et renvoie une clé de session symétrique à l'aide de la clé publique du serveur.
  4. Le serveur déchiffre la clé de session symétrique à l'aide de sa clé privée et renvoie un accusé de réception chiffré avec cette clé de session pour démarrer la session chiffrée.
  5. Par la suite, le serveur et le navigateur chiffrent toutes les données transmises avec la clé de session.
Icon Circle Light Bulb

Certificat SSL ou TLS?

Le protocole SSL a toujours servi à chiffrer et à sécuriser les transmissions de données. Chaque fois qu'une nouvelle version plus sûre était publiée, seul le numéro de version changeait (par ex., SSLv2.0). Toutefois, lorsque le temps est venu de mettre à jour SSLv3.0, au lieu d'appeler la nouvelle version SSLv4.0, le protocole a été rebaptisé TLSv1.0. Nous utilisons actuellement TLSv1.3.

Puisque « SSL » reste le terme le plus connu et le plus répandu, DigiCert utilise « TLS/SSL » lorsqu'il fait référence aux certificats ou aux modes sécurisés de transmission de données. Quand vous achetez un certificat DigiCert SSL (SSL Standard, SSL EV, etc.), vous recevez un certificat TLS (RSA ou ECC).

À chaque cas d'usage, son certificat TLS/SSL

 

Cas d'usage

Blogs et sites d'information

Les sites web qui ne collectent pas de données sensibles ou de paiement – même les blogs – ont besoin du protocole HTTPS pour garantir la confidentialité des activités des internautes.

Formulaires et fenêtres de connexion

Le TLS/SSL chiffre et protège les noms d'utilisateurs et les mots de passe, ainsi que les formulaires de transmission d'images, de documents et de données personnelles.

Pages de paiement

Les internautes seront plus enclins à acheter sur votre site si votre page de paiement (et donc leur numéro de carte bancaire) est sécurisée.

Type de certificats TLS/SSL recommandé

Certificats TLS/SSL de validation d'organisation (OV) – Niveau d'authentification élevé et vérifications poussées de l'organisation.

Certificats TLS/SSL de validation d'organisation (OV) – Niveau d'authentification élevé et vérifications poussées de l'organisation.

Certificats TLS/SSL de validation étendue (EV) – Niveau d'authentification le plus élevé et vérifications les plus poussées du marché.