Redirecting you to
Article de blog juil. 30, 2020

Qu'est-ce qu'un certificat SSL et comment il fonctionne ?

Un certificat SSL chiffre les données entre un navigateur et un serveur web pour garantir des communications sécurisées et authentifier les sites web. Découvrez comment fonctionnent les certificats SSL/TLS, leurs types, leurs avantages, et comment les installer pour protéger les données sensibles sur votre site.

Table des Matières

Qu'est-ce qu'un certificat SSL ?

SSL (Secure Sockets Layer) est le nom commun de TLS (Transport Layer Security), un protocole de sécurité qui permet des communications cryptées entre deux machines. Un certificat SSL est un petit fichier de données qui exploite ce protocole de sécurité pour remplir deux fonctions :

  1. Authentification - Les certificats SSL servent à authentifier l'identité d'un site web. Ils sont délivrés à un nom de domaine et à un serveur web spécifiques après qu'une autorité de certification, également connue sous le nom d'autorité de certification (AC), a procédé à une vérification stricte de l'organisation qui demande le certificat. Selon le type de certificat, il peut fournir des informations sur l'identité d'une entreprise ou d'un site web et authentifier que le site web est une entreprise légitime.
  2. Communication sécurisée des données - Lorsque le protocole SSL est installé sur un serveur web, il permet au cadenas d'apparaître dans le navigateur web. Il active le protocole HTTPS et crée une connexion sécurisée entre le serveur et le navigateur. Il permet d'utiliser des algorithmes de cryptage pour brouiller les données en transit dans un format indéchiffrable qui ne peut être lu qu'avec la clé de décryptage appropriée.

Les navigateurs web n'affichent les indicateurs de sécurité que pour les certificats SSL signés par une autorité de certification de confiance, comme Sectigo. Pour devenir une autorité de certification de confiance, une entreprise doit se conformer aux normes de sécurité et d'authentification établies par les principaux navigateurs et l'organisme de normalisation du secteur appelé CA/Browser Forum, et effectuer des audits réguliers de ces normes. Lorsqu'une AC de confiance délivre un certificat à une organisation, le navigateur reconnaît le certificat comme légitime. Le navigateur indique à l'utilisateur que l'adresse web est sécurisée et que l'utilisateur peut naviguer en toute sécurité sur le site et saisir des informations personnelles.

Comment fonctionnent les certificats SSL ?

Tous les certificats numériques sont des exemples d'échange de clés publiques, ou PKI. Dans sa forme la plus élémentaire, la PKI repose sur une paire de clés interdépendantes, une clé publique et une clé privée. La clé publique est utilisée pour crypter les informations et la clé privée pour les déchiffrer. Le protocole SSL permet de rendre la clé publique disponible par le biais d'un site web accessible au public. En revanche, la clé privée reste sécurisée sur le serveur web, de sorte que toute donnée soumise à partir du site web où se trouve la clé publique ne peut être déchiffrée que par le propriétaire du site, créant ainsi une communication sécurisée 1:1.

Lorsqu'une personne visite un site doté d'un certificat SSL, une « poignée de main » se produit pour créer un canal sécurisé entre l'utilisateur et l'organisation et protéger toutes les données soumises sur le site web contre toute compromission. Voici comment le processus d'échange fonctionne en temps réel :

  1. Un système client tel qu'un navigateur web courant se connecte à un serveur sécurisé par un certificat SSL/TLS.
  2. Le navigateur envoie une requête au serveur pour s'identifier.
  3. Le serveur renvoie une copie de son certificat SSL, y compris le type, la période de validité et les détails de l'organisation.
  4. Le navigateur vérifie s'il fait confiance au certificat et renvoie une approbation au serveur. Si le certificat n'est pas installé, s'il n'est pas mis à jour avec les protocoles de sécurité appropriés ou s'il n'est pas émis par une autorité de certification approuvée par le navigateur, l'utilisateur verra apparaître un message d'avertissement dans la barre d'adresse du navigateur.
  5. Le serveur renvoie un accusé de réception signé numériquement pour démarrer une session cryptée SSL.
  6. Toutes les données échangées entre le navigateur et le serveur sont désormais sécurisées. Si un pirate informatique intercepte la communication, celle-ci restera cryptée avec un code cryptographique qui ne peut pas être décrypté.

Quelle est la différence entre SSL et TLS ?

TLS est une version actualisée de SSL qui offre des options de cryptage avancées, mais les deux acronymes ont souvent la même signification.

Secure Sockets Layer (SSL) est le nom du premier protocole cryptographique établi pour garantir l'identité d'un serveur connecté à l'internet ouvert. Ce protocole a été créé en 1995 pour permettre le commerce électronique sur le web. SSL 2.0 a été la première version du protocole à être utilisée dans les systèmes de production, et elle a été rapidement remplacée par SSL 3.0. Après la version 3.0, les organismes de normalisation ont remplacé SSL par un protocole plus avancé appelé Transport Layer Security (TLS). Toutefois, à ce moment-là, le terme SSL était passé dans le langage courant, et il continue donc à persister en tant que nom de facto pour TLS.

Bien que les certificats n'effectuent pas eux-mêmes le cryptage, les logiciels clients et serveurs basés sur les normes exigent la présence d'un certificat pour que le cryptage ait lieu. Cette exigence tient compte du fait que sans une identité fiable de la partie se trouvant de l'autre côté d'une connexion, le cryptage lui-même n'offre aucune protection. Les options actuelles pour le cryptage d'une session TLS comprennent RSA (Rivest-Shamir-Adleman), ECC (Elliptic Curve Cryptography) et DSA (Digital Signature Algorithm).

Quels sont les différents types de certificats SSL ?

Il existe différents types de certificats TLS:

  • Validation de domaine (DV) - moyen le plus simple et le plus économique de bénéficier d'un cryptage conforme aux normes de l'industrie.
  • Organization Validation (OV) - une étape supérieure à DV où une organisation doit être une entreprise légalement enregistrée et prouver qu'elle est propriétaire du domaine.
  • Extended Validation (EV) - norme industrielle pour les sites web commerciaux, qui offre le niveau de confiance le plus élevé.

Les certificats SSL Wildcard (pour un domaine principal et ses sous-domaines), Single Domain (pour un domaine principal et un seul sous-domaine) et Multi-Domain (utilisé pour sécuriser plusieurs domaines) sont d'autres variantes de certificats.

Comment sont-ils utilisés ?

Les certificats SSL sont un élément essentiel des mesures de cybersécurité d'un site web. Des millions de sites web utilisent le protocole SSL pour sécuriser la navigation sur leur site. Non seulement l'activation du protocole HTTPS sur tous les sites web garantit aux consommateurs que le site est légitime et qu'il est possible d'y naviguer ou d'y effectuer des transactions en toute sécurité, mais elle est également imposée par les principaux navigateurs, tels que Google Chrome. Les sites dépourvus de certificat affichent un avertissement « Non sécurisé » dans la barre d'adresse.

La croissance des sites web mondiaux, des appareils mobiles et des appareils connectés à l'internet a également élargi l'utilisation bien au-delà du simple commerce électronique. Toute personne ayant besoin de partager des données entre des appareils via l'internet en toute sécurité a besoin d'un certificat SSL. Il est le plus souvent utilisé pour sécuriser

  • Les transactions en ligne par carte de crédit
  • Les formulaires web et les identifiants des clients
  • Le courrier électronique et les applications de webmail
  • Les communications d'entreprise via les intranets, le partage de fichiers, les extranets et les serveurs internes
  • Plateformes basées sur l'informatique en nuage et applications virtualisées
  • Transferts de fichiers par FTP
  • Transfert de données vers et depuis des appareils mobiles

Si l'URL d'un site web commence par HTTPS:// et qu'un cadenas apparaît dans la barre d'adresse, c'est que le site utilise une connexion TLS/SSL sécurisée.

Quels sont les avantages ?

L'installation d'un certificat SSL a pour objectif premier d'initier une session sécurisée entre un serveur web et un navigateur. Une fois la connexion sécurisée établie, toutes les informations échangées entre le serveur web et le visiteur restent confidentielles et cryptées.

Autres avantages du SSL :

  • Accroît la confiance du client. Le cadenas garantit aux clients que leurs informations ne seront pas compromises. Les données seront envoyées aux serveurs cibles prévus et ne seront pas redirigées vers des tiers non autorisés.
  • Protège les informations sensibles contre les attaques de phishing. Les sites de phishing sont des copies frauduleuses de sites web célèbres dont le but est de vous inciter à fournir des informations précieuses telles que votre carte de crédit ou votre numéro de sécurité sociale. Les certificats de validation étendue vous protègent contre les attaques par hameçonnage en affichant le nom commercial complet du propriétaire du site web dans la barre d'adresse. Les exploitants de sites d'hameçonnage ne peuvent pas obtenir de certificat EV en raison des exigences de validation étendues.
  • Meilleur classement dans les moteurs de recherche. Le protocole HTTPS est considéré comme un signal de classement par l'un des plus grands moteurs de recherche au monde, Google.

Comment installer un certificat SSL

L'installation d'un certificat SSL sur un site web se fait en trois étapes simples :

  1. Acheter un certificat émis par une autorité de certification de confiance - Les certificats de confiance peuvent être achetés auprès de votre hébergeur ou directement auprès d'une autorité de certification de confiance. Les certificats d'une autorité de certification de confiance seront reconnus par tous les navigateurs internet populaires utilisés par vos visiteurs (Chrome, Firefox, Internet Explorer, Safari, etc.).
  2. Activer et installer le certificat - Si vous avez acheté votre certificat auprès de votre hébergeur, il peut se charger de cette étape pour vous. Si vous gérez le site vous-même, les deux étapes à effectuer sont la génération d'une demande de signature de certificat (CSR) et l'installation du certificat. Vous trouverez dans notre base de connaissances une série de documents qui vous aideront à réaliser ces deux tâches sur différents logiciels de serveur web.
  3. Convertissez l'ensemble de votre site en HTTPS - Après avoir installé votre certificat sur les pages cibles, modifiez votre site de manière à ce que l'ensemble du contenu soit servi de manière sécurisée.

Prochaines étapes

Si vous avez besoin de plus d'informations sur le fonctionnement des certificats SSL ou sur le choix du bon certificat pour votre site web, contactez Sectigo.

Envie d'en savoir plus ? Contactez nous pour réserver une démo de Sectigo Certificate Manager !

Articles associés :

L'évolution du cycle de vie des certificats SSL/TLS et la manière de gérer les changements

7 raisons de réduire la durée de validité des certificats SSL

FAQ sur les certificats SSL : Votre guide complet des principes de base aux principes avancés