Le Secure Sockets Layer, également connu sous le nom de SSL, est un protocole de cryptage qui crée un canal authentifié entre les appareils sur Internet, afin que les informations puissent être partagées en toute sécurité. Essentiellement, le protocole SSL met le « s » dans les URL qui commencent par « https:// », ce qui signifie que la connexion entre vous et le serveur est sécurisée.
Le protocole SSL était la norme de sécurité pour les sites Web jusqu’en 1999, date à laquelle il a été remplacé par le protocole mis à jour, Transport Layer Security (TLS). Bien que les sites Web modernes utilisent réellement le TLS, le SSL est toujours un terme largement utilisé, et il est également courant de voir la technologie appelée à la fois SSL/TLS.
Tout comme un VPN crypte votre activité en ligne, le SSL/TLS est un autre élément essentiel pour assurer la sécurité de vos données sur Internet. Utilisez ce guide rapide pour en savoir plus sur le SSL, son fonctionnement, son importance et comment obtenir un certificat SSL pour votre site web.
Comment fonctionne le SSL ?
Le SSL fournit les éléments nécessaires pour crypter à la fois le canal et les données transmises en ligne. Le protocole établit une connexion privée entre le navigateur et le serveur web via un processus connu sous le nom de « SSL Handshake ».
La prise de contact SSL utilise trois clés pour établir une connexion privée : les clés privée, publique et de session. Si les données sont chiffrées avec la clé privée, seule la clé publique peut les déchiffrer. D’autre part, la clé privée est la seule chose qui peut déchiffrer les informations chiffrées avec la clé publique.
Les clés privées et publiques sont utilisées lors de la prise de contact SSL pour créer une clé de session sécurisée qui cryptera toutes les données transmises.
6 étapes pour le SSL handshake :
- Le navigateur web (c’est-à-dire le client) se connecte à un site web sécurisé par SSL (c’est-à-dire un serveur SSL) et demande que le site web s’identifie. C’est ce qu’on appelle le « bonjour client ».
- Pour s’identifier, le site envoie une copie de son certificat SSL et de la clé publique du site. Cette réponse est appelée « bonjour du serveur ».
- Ensuite, le client vérifie le certificat par rapport à une liste d’autorités de certification (CA) et s’assure que le certificat n’a pas expiré ou n’a pas été révoqué.
- Si le certificat est authentique, le client lui fera confiance et créera une clé de session symétrique à l’aide de la clé publique du site web.
- Le serveur SSL déchiffre ensuite la clé de session avec la clé privée et envoie un accusé de réception chiffré pour démarrer la session.
- Toutes les données transmises entre le site web et le navigateur sont cryptées avec la clé de session.
Malgré toutes les différentes étapes, le SSL handshake se produit en fait instantanément et le processus n’est pas perceptible par les visiteurs du site web.
Pourquoi le SSL est-il important ?
Sans le protocole SSL, si vous partagez des informations confidentielles comme votre numéro de sécurité sociale en ligne, ces informations sont échangées en texte brut. Parce que le texte brut n’est pas sécurisé, vos informations sont vulnérables aux pirates et aux cybercriminels qui peuvent essayer d’intercepter et d’utiliser vos données.
Chaque fois que vous effectuez un paiement en ligne ou que vous partagez des informations personnelles telles que votre numéro de carte de crédit, le SSL garantit la confidentialité de vos données. En tant que tel, il s’agit d’un élément essentiel pour établir la confiance entre un site web et ses visiteurs.
Il aide également les sites web à respecter les normes de sécurité de l’information telles que :
- L’authentification : vérifier que le serveur du site web est le bon serveur
- Le cryptage : garder les transmissions de données privées et protégées
- L’intégrité : confirmer que les données demandées ou transmises sont effectivement livrées
Qu’est-ce qu’un certificat SSL ?
Semblable à un passeport ou à une carte d’identité, un certificat SSL/TLS vérifie qu’un site web ou une application est bien celui qu’il prétend être et qu’il est stocké par le serveur d’un site web.
De plus, le certificat SSL contient également les clés privées et publiques qui sont utilisées lors de la prise de contact SSL pour créer une connexion sécurisée. Sans certificat SSL, votre site web n’a aucun moyen d’activer le protocole SSL.
Comment obtenir un certificat SSL
Suivez les étapes décrites ci-dessous pour savoir comment obtenir un certificat SSL/TLS pour votre site web.
-
Créez des clés et faites une demande de signature de certificat (CSR)
La première étape pour obtenir un certificat SSL/TLS consiste à générer une paire de clés privée et publique sur votre serveur. Ensuite, vous créerez une demande de signature de certificat sur le serveur de votre site web.
Un CSR est un fichier de données codé qui fonctionne comme une méthode standardisée de partage de votre clé publique et de toute information d’identification de l’entreprise avec une autorité de certification.
Informations communes sur un CSR :
- Nom de l’entreprise et nom commun
- Emplacement de la société
- Type et taille de clé
-
Envoyez le fichier de données CSR à l’autorité de certification (CA)
Une fois que vous avez un CSR, vous devrez soumettre le fichier de données crypté à une autorité de certification pour obtenir votre certificat. Pour ce faire, vous devrez choisir une autorité de certification publiquement approuvée par les navigateurs web tels que DigiCert ou SSL.com.
De plus, vous devrez déterminer si vous pouvez utiliser un certificat gratuit standard ou si vous devez payer pour un certificat personnalisé. Les secteurs réglementés comme l’assurance ou la finance ont des exigences spécifiques pour les certificats SSL qui peuvent nécessiter une personnalisation.
Après avoir choisi une autorité de certification de confiance et le type de certificat dont vous avez besoin, vous pouvez envoyer votre fichier CSR. L’AC vous enverra ensuite votre certificat SSL/TLS.
-
Installez le certificat SSL sur votre serveur
Maintenant que vous avez votre certificat SSL/TLS, vous devez l’installer sur votre serveur web. Vous aurez également un certificat intermédiaire à installer, qui confirme l’authenticité de votre certificat en le liant au certificat racine de votre autorité de certification.
Suivez les instructions de votre serveur pour installer et tester votre certificat. Une fois installés, tous les navigateurs auxquels votre site web se connecte permettront aux utilisateurs de savoir que votre site est sécurisé et digne de confiance.
Comment savoir si un site Web est sécurisé avec SSL ?
Il existe plusieurs façons de savoir si un site web que vous utilisez est sécurisé par SSL. Tout ce que vous avez à faire est de jeter un coup d’œil rapide à la barre d’URL pour le savoir.
Ci-dessous, nous détaillons les deux signes qui indiquent qu’un site web est sécurisé.
-
L’URL commence par « https:// » au lieu de « http:// »
Le « s » dans « https:// » signifie une connexion sécurisée et confirme que le site web est crypté SSL.
-
Il y a une icône de cadenas à côté de l’URL sécurisée
Selon votre navigateur, une icône de cadenas apparaîtra à gauche ou à droite de votre URL. Par exemple, si vous utilisez Google Chrome, le cadenas doit être à gauche.
-
Bonus : Vérifiez que le certificat SSL du site web est valide
Un site web avec un certificat SSL expiré n’aura pas réellement de connexion sécurisée, mais il peut toujours avoir une URL qui commence par « https:// » et peut également afficher un cadenas.
Vérifiez que le certificat est toujours valide et que votre connexion est sécurisée en cliquant sur le cadenas dans la barre d’URL pour plus d’informations. Si un site web n’indique pas son identité sur son certificat, il s’agit d’un signal d’alarme indiquant que vous ne devez pas partager vos informations personnelles avec lui.
TLS vs SSL : Quelle est la différence ?
En tant que successeur du SSL, le TLS a été créé comme une mise à jour de la technologie SSL qui a reçu un nom différent. Ce sont essentiellement des protocoles similaires qui utilisent tous deux le cryptage pour garder les données des utilisateurs privées en ligne.
Cela étant dit, le SSL est obsolète par rapport à la dernière version de TLS (TLS 1.3) et est considéré comme non sécurisé par les navigateurs web modernes. Bien que le TLS soit la technologie la plus récente utilisée pour sécuriser les sites web aujourd’hui, le terme SSL est encore largement connu et utilisé.
SSL vs TLS les mêmes mais différents | ||
SSL (Secure Sockets Layer) | TLS (Transport Layer Security) | |
Versions et dates publiées : |
|
|
Différence cryptographique majeure : | Utilise un port pour établir des connexions (c’est-à-dire une connexion explicite) | Utilise un protocole pour établir des connexions (c’est-à-dire une connexion implicite) |
À retenir : Bien que TLS ait remplacé la technologie SSL, les termes sont souvent utilisés de manière interchangeable. |
Le protocole SSL/TLS est une ligne de défense importante lorsqu’il s’agit de protéger vos données en ligne. Il crée des connexions sécurisées entre les sites web et les serveurs et conserve toutes les informations transmises cryptées et privées.
Maintenant que vous savez tout sur le SSL, lisez plus d’informations sur la sécurité des informations en consultant notre Media Center. N’oubliez pas de télécharger notre VPN gratuit pour crypter votre activité Internet et ajouter une couche supplémentaire de sécurité pour vos données en ligne.