Secure Sockets Layer, communément appelé SSL, est une norme de sécurité permettant de crypter la communication entre un serveur Web et le navigateur Web du client. Bien que le terme soit toujours utilisé dans le langage courant, le protocole SSL a en fait été remplacé par le protocole TLS, qui signifie Transport Layer Security.
Tout site Web avec une adresse Web HTTPS utilise le protocole SSL / TLS. Chaque fois que le navigateur Web voit un certificat SSL valide, il affiche une icône de cadenas vert à côté de l'adresse. Il s'agit d'un signal visuel pour l'utilisateur de bureau que toutes les communications entre son navigateur et le serveur Web sont effectuées via un canal crypté.
Pourquoi utiliser des certificats SSL?
Toutes les informations envoyées sur Internet passent par divers ordinateurs intermédiaires avant d'atteindre le serveur Web de destination. Cela signifie que n'importe lequel de ces ordinateurs intermédiaires peut accéder aux données transmises, qui pourraient inclure des informations telles que les noms d'utilisateur et les mots de passe, et d'autres informations sensibles. Les certificats SSL atténuent ce risque en garantissant que toutes les informations envoyées sur Internet sont cryptées de manière à ce que seul le destinataire prévu puisse y accéder.
En fait, certains sites Web, tels que les portails bancaires et de paiement, sont tenus par la loi d'entreprendre certaines étapes avant de pouvoir demander aux utilisateurs des informations sensibles. L'une de ces exigences est d'utiliser des certificats SSL correctement validés.
Même si vous ne demandez pas aux utilisateurs des informations sensibles, il est avantageux d'utiliser un certificat SSL. En 2014, Google a annoncé que dans sa tentative de sécuriser le Web, le moteur de recherche avait commencé à utiliser HTTPS comme signal de classement. Cela signifie que les sites qui utilisent un certificat SSL valide sont considérés comme meilleurs et mieux classés dans les résultats de recherche, ce qui fait d'un certificat SSL un outil de référencement de base mais essentiel.
Que contient un certificat SSL?
Techniquement parlant, un certificat SSL est un fichier de données sur le serveur Web qui contient plusieurs informations. L’aspect le plus crucial du certificat est la clé publique du site Web.
Ceci est accompagné du nom de domaine pour lequel le certificat a été émis et des détails sur l'individu ou l'organisation à laquelle il a été délivré. Le certificat contient également des détails sur l'autorité qui l'a émis avec sa signature numérique. D'autres détails importants incluent la date d'émission du certificat, la durée de sa validité, ainsi que la date d'expiration du certificat.
La clé publique (et sa clé privée correspondante) sont essentiellement de longues chaînes de caractères qui aident à crypter et décrypter les données transmises. Il est important de noter que les données chiffrées avec la clé publique ne peuvent être déchiffrées qu'avec la clé privée.
Lorsqu'un navigateur Web tente de communiquer avec le serveur, il fait appel au certificat pour vérifier l'identité du serveur, puis obtient sa clé publique. Il l'utilise ensuite pour créer un canal crypté entre lui-même et le serveur Web. Toutes les données transmises sur ce canal ne peuvent être déchiffrées que par le serveur Web qui possède la clé privée.
Qui émet les SSL?
Les certificats SSL sont émis par une autorité de certification (CA) de confiance. Les navigateurs Web, les systèmes d'exploitation et, de nos jours, même les appareils mobiles conservent une liste de certificats racine de l'autorité de certification de confiance.
Un certificat racine est très précieux car tout certificat SSL signé avec sa clé privée sera automatiquement approuvé par les navigateurs Web. À l'inverse, si l'autorité de certification n'est pas approuvée, le navigateur présentera des messages d'erreur non approuvés à l'utilisateur final.
Des sociétés telles que DigiCert, IdenTrust, GlobalSign et Let’s Encrypt sont connues sous le nom d’autorités de certification de confiance. Les navigateurs Web et les développeurs de systèmes d'exploitation tels que Microsoft, Mozilla, Google, Opera, etc. font confiance à ces autorités de certification et, par extension, à tous les certificats SSL signés par leurs clés privées.
Types de certificats SSL
Il existe différents types de certificats SSL qui peuvent être classés en trois catégories.
Les certificats à validation de domaine (DV) sont les certificats d'entrée de gamme qui couvrent le cryptage de base et la vérification de la propriété des enregistrements d'enregistrement de nom de domaine. Ce type de certificat est le moins cher et peut être délivré en quelques minutes.
Viennent ensuite les certificats validés par l'organisation (OV) qui, en plus du cryptage et de la vérification de base, authentifient également les détails sur le propriétaire, tels que son nom et son adresse. Compte tenu de la vérification manuelle impliquée, il faudra de quelques heures à plusieurs jours pour obtenir un certificat OV.
Enfin, il existe les certificats Extended Validation (EV) qui sont les plus fiables car ils vérifient également l’existence physique et opérationnelle du propriétaire du site Web. Ils suivent un ensemble de directives strictes pour le processus de vérification, qui peut prendre plusieurs semaines.
De plus, tous les types de certificats SSL ont également deux variantes. Il existe un seul certificat de domaine qui sécurise un nom de domaine complet. C'est moins cher qu'un certificat générique qui protège plusieurs sous-domaines.
Qu'est-ce qu'un certificat SSL auto-signé?
Encore une fois, techniquement parlant, n'importe qui peut créer son propre certificat SSL en générant une paire de clés publique-privée. Ces certificats sont appelés certificats auto-signés car la signature numérique utilisée ne provient pas d'une autorité de certification tierce, mais plutôt de la clé privée du site Web.
Bien qu'ils soient plus pratiques et puissent être générés instantanément, comme il n'y a pas de navigateur Web de vérification tiers, les navigateurs Web ne considèrent pas les certificats auto-signés comme dignes de confiance. C'est pourquoi, même si la communication est cryptée, les navigateurs Web marqueront toujours le site Web comme «non sécurisé». La plupart des navigateurs Web, à tout le moins, s'assureront que vous comprenez que le site Web utilise un certificat auto-signé, avant d'afficher le contenu du site Web.
Comment obtenir des certificats SSL?
Grâce à leur rôle dans le classement des moteurs de recherche, c'est une bonne idée pour tout le monde de se procurer un certificat SSL.
La première étape consiste à déterminer le type de certificat dont vous avez besoin, en grande partie en fonction du nombre de domaines et de sous-domaines que vous devez sécuriser. Le processus est beaucoup plus crucial pour les entreprises des secteurs réglementés tels que la banque, qui doivent s'assurer que leur certificat SSL répond aux exigences définies.
Il existe plusieurs fournisseurs de certificats SSL et selon le type de certificat et la réputation et la confiance de l'autorité de certification émettrice, les coûts des certificats SSL peuvent varier de quelques dollars à plusieurs centaines de dollars par an.
De nos jours, cependant, vous pouvez également en obtenir un gratuitement, grâce à Let’s Encrypt CA. Il a été fondé par EFF, Mozilla et l'Université du Michigan, avec Cisco et Akamai comme sponsors fondateurs.
Let's Encrypt est une autorité de certification à but non lucratif qui distribue gratuitement des certificats SSL depuis avril 2016. Ses certificats sont valides pendant 90 jours et peuvent être renouvelés à tout moment pendant cette période de validité. Selon les propres recherches de Let's Encrypt, ses certificats ont été largement adoptés par des utilisateurs soucieux des coûts, notamment des sites plus petits, tels que des blogs personnels et des petites entreprises.
- Accédez à Internet en toute sécurité avec le meilleur VPN.