Pour une entreprise en ligne, il est essentiel de créer un environnement sûr dans lequel les prospects se sentent en confiance pour réaliser des achats. En établissant une connexion sécurisée, les certificats SSL posent les bases de cette confiance. Pour rassurer les internautes, les navigateurs affichent des marques visuelles de sécurité, ou indicateurs EV – allant d'un cadenas vert à une barre d'adresse contenant le nom de l'entreprise.
Les certificats SSL contiennent une paire de clés: l'une publique, l'autre privée. Ensemble, ces clés aident à établir une connexion chiffrée. Les certificats contiennent également un « sujet », qui n'est rien d'autre que l'identité du propriétaire du certificat/site web.
Pour obtenir un certificat, vous devez créer une requête de signature de certificat (CSR) sur votre serveur. Ainsi, vous générerez une clé publique et une clé privée sur ce serveur. Le fichier de données CSR que vous envoyez à l'émetteur de certificats SSL (aussi appelé Autorité de certification ou AC) contient la clé publique. L'AC utilise ensuite ce fichier pour créer une structure de données correspondant à votre clé privée sans la compromettre. En d'autres termes, elle n'a jamais accès à cette clé privée.
Une fois le certificat SSL délivré, vous devez l'installer sur votre serveur. Vous devez également installer un certificat intermédiaire qui rattache votre certificat SSL au certificat racine de votre AC afin d'établir son authenticité. La façon d'installer et de tester votre certificat variera en fonction de votre serveur.
Le schéma ci-dessous illustre la chaîne de certificats. Cette chaîne rattache votre certificat serveur au certificat racine de l'AC (ici ¶ºÒõ¹Ý) par le biais d'un certificat intermédiaire.
Surtout, votre certificat SSL doit être signé ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ðment par une AC de confiance comme ¶ºÒõ¹Ý. Si n'importe qui peut créer un certificat, les navigateurs ne reconnaissent que les certificats de confiance—émis par une organisation figurant sur la liste des AC de confiance. Ils contiennent une liste préinstallée de ces Autorités de certification, appelée magasin de certificats racines de confiance. Pour figurer sur cette liste et ainsi devenir une AC de confiance, une entreprise doit respecter les normes de sécurité et d'authentification des navigateurs et prouver sa conformité par un audit.
Un certificat SSL émis par une AC pour une organisation et son domaine/site web confirme qu'un tiers de confiance a authentifié cette organisation. Puisque le navigateur reconnaît cette AC, il reconnaît également l'identité de l'organisation concernée. Il informe donc les internautes que le site web est sécurisé, ce qui leur permet de visiter le site voire de saisir des données confidentielles en toute sérénité.
Le SSL (Secure Sockets Layer) désigne une technologie de sécurité standard qui établit une connexion chiffrée entre un serveur et un client—généralement entre un serveur web (site web) et un navigateur, ou un serveur et un client de messagerie (par ex., Outlook). Ce terme est plus répandu que « TLS » (Transport Layer Security), son successeur.
Le SSL permet de transmettre de façon sécurisée des informations sensibles comme des numéros de carte bancaire, des numéros de sécurité sociale et des identifiants. En principe, les données échangées entre un navigateur et un serveur web sont en texte clair. Si un attaquant parvient à intercepter ces données, il peut donc les voir et les utiliser.
Techniquement parlant, le SSL est un protocole de sécurité. Les protocoles décrivent la manière d'utiliser des algorithmes. Dans ce cas, le protocole SSL détermine les variables du chiffrement de la liaison et des données transmises.
Tous les navigateurs peuvent interagir avec des serveurs web sécurisés à l'aide du protocole SSL. Toutefois, le navigateur et le serveur ont besoin d'un certificat SSL pour établir une connexion sécurisée.
Chaque jour, le SSL sécurise des millions de données des internautes, en particulier lors de transactions en ligne ou de la transmission d'informations confidentielles. Aujourd'hui, les internautes font le lien entre leur sécurité en ligne et l'icône du cadenas des sites web équipés d'un certificat SSL ou la barre d'adresse verte de ceux équipés d'un certificat SSL EV. Les sites web sécurisés par SSL ont également une adresse commençant par le préfixe «ÌýhttpsÌý» au lieu de « http ».
Envie d'approfondir le sujet? Découvrez la cryptographie SSL.
Lorsqu'un navigateur tente d'accéder à un site web sécurisé par SSL, ce navigateur et le serveur web concerné établissent une connexion SSL à l'aide d'un processus baptisé « négociation SSL » (SSL handshake), illustré par le schéma ci-dessous. Cette négociation SSL est instantanée et invisible pour l'utilisateur.
Pour établir une connexion SSL, trois clés sont nécessaires: l'une publique, l'autre privée, ainsi qu'une clé de session. Toutes les données chiffrées à l'aide de la clé publique ne peuvent être déchiffrées qu'avec la clé privée, et inversement.ÌýParce que le chiffrement et le déchiffrement mobilisent une puissance de calcul non négligeable, les clés publique et privée ne sont utilisées que lors de la négociation SSL, pour créer une clé de session symétrique. Une fois la connexion sécurisée établie, la clé de session sert à chiffrer toutes les données transmises.
Le protocole SSL a toujours servi à chiffrer et à sécuriser les transmissions de données. Chaque fois qu'une nouvelle version plus sûre était publiée, seul le numéro de version changeait (par ex., SSLv2.0). Toutefois, lorsque le temps est venu de mettre à jour SSLv3.0, au lieu d'appeler la nouvelle version SSLv4.0, le protocole a été rebaptisé TLSv1.0. Nous utilisons actuellement TLSv1.3.
Puisque « SSL » reste le terme le plus connu et le plus répandu, ¶ºÒõ¹Ý utilise « TLS/SSL » lorsqu'il fait référence aux certificats ou aux modes sécurisés de transmission de données. Quand vous (SSL Standard, SSL EV, etc.), vous recevez un certificat TLS (RSA ou ECC).
Cas d'usage
Les sites web qui ne collectent pas de données sensibles ou de paiementÌý– même les blogs – ont besoin du protocole HTTPS pour garantir la confidentialité des activités des internautes.
Le TLS/SSL chiffre et protège les noms d'utilisateurs et les mots de passe, ainsi que les formulaires de transmission d'images, de documents et de données personnelles.
Les internautes seront plus enclins à acheter sur votre site si votre page de paiement (et donc leur numéro de carte bancaire) est sécurisée.
Type de certificats TLS/SSL recommandé
Certificats TLS/SSL de validation d'organisation (OV) – Niveau d'authentification élevé et vérifications poussées de l'organisation.
Certificats TLS/SSL de validation d'organisation (OV) – Niveau d'authentification élevé et vérifications poussées de l'organisation.
Certificats TLS/SSL de validation étendue (EV) – Niveau d'authentification le plus élevé et vérifications les plus poussées du marché.