SSL, également connu sous le nom de TLS, utilise le chiffrement pour sécuriser les données des utilisateurs, authentifier l'identité des sites web et empêcher les attaquants de falsifier les communications sur Internet.
Cet article s'articule autour des points suivants :
Contenu associé
Qu'est-ce qu'un certificat SSL ?
Le SSL, qu’est-ce que c’est ?
négociation SSL
SSL sans clé
Pourquoi utiliser HTTPS ?
Inscrivez-vous pour recevoir des articles d'enrichissement sélectionnés par Cloudflare
Copier le lien de l'article
SSL signifie Secure Sockets Layer et fait référence à un protocole de chiffrement et de sécurisation des communications qui sont établies sur Internet. Bien que SSL ait été remplacé par un protocole mis à jour appelé TLS (Transport Layer Security) il y a déjà quelque temps, SSL est encore un terme couramment utilisé pour désigner cette technologie.
Le principal cas d'utilisation de SSL/TLS est la sécurisation des communications entre un client et un serveur, mais il peut également sécuriser les e-mails, un VoIP et d'autres communications sur des réseaux non sécurisés.
Voici les principes essentiels permettant de comprendre le fonctionnement de SSL/TLS :
Avec TLS, les données HTTP que les utilisateurs envoient à un site Web (en cliquant, en remplissant des formulaires, etc.) et les données HTTP que les sites Web envoient aux utilisateurs sont chiffrées. Les données chiffrées doivent être déchiffrées par le destinataire à l'aide d'une clé.
Les sessions de communication TLS commencent par une négociation TLS. Celle-ci applique un chiffrement asymétrique, ce qui signifie que deux clés différentes sont utilisées aux deux extrémités de la conversation. Cette possibilité repose sur une technique appelée chiffrement à clé publique.
Dans le chiffrement à clé publique, deux clés sont utilisées : une clé publique, que le serveur met à la disposition du public, et une clé privée, qui est gardée secrète et qui est utilisée uniquement côté serveur. Les données chiffrées avec la clé publique ne peuvent être déchiffrées qu’avec cette clé privée, et inversement.
Pendant le handshake TLS, le client et le serveur utilisent les clés publiques et privées pour échanger des données générées de manière aléatoire. Ces données aléatoires sont utilisées pour créer de nouvelles clés de chiffrement, appelées clés de session.
Contrairement au chiffrement asymétrique, dans le chiffrement symétrique, les deux parties d'une conversation utilisent la même clé. Après le handshake TLS, les deux parties utilisent les mêmes clés de session pour le chiffrement. Une fois les clés de session utilisées, les clés publiques et privées ne sont plus utilisées. Les clés de session sont des clés temporaires qui ne sont plus utilisées une fois la session terminée. Un nouvel ensemble aléatoire de clés de session sera créé pour la session suivante.
Les communications TLS du serveur incluent un code d'authentification de message, ou MAC, qui est une signature numérique confirmant que la communication provient du site Web réel. Cela authentifie le serveur, empêchant les attaques sur le chemin et l'usurpation de domaine. Il garantit également que les données n'ont pas été modifiées en transit.
Un certificat SSL est un fichier installé sur un serveur d'origine de site Web. Il s'agit simplement d'un fichier de données contenant la clé publique et l'identité du propriétaire du site Web, ainsi que d'autres informations. Sans certificat SSL, le trafic d'un site Web ne peut pas être chiffré avec TLS.
Techniquement, tout propriétaire de site web peut créer son propre certificat SSL. De tels certificats sont appelés certificats auto-signés. Cependant, les navigateurs ne considèrent pas les certificats auto-signés comme aussi fiables que les certificats SSL émis par une autorité de certification.
Les propriétaires de sites web doivent obtenir un certificat SSL auprès d'une autorité de certification, puis l'installer sur leur serveur web (souvent un hôte web peut gérer ce processus). Une autorité de certification est une partie externe qui peut confirmer que le propriétaire du site web est bien celui qu'il prétend être. Ils conservent une copie des certificats qu'ils délivrent.
De nombreuses autorités de certification facturent les certificats SSL. Pour contribuer à rendre Internet plus sûr, Cloudflare offre des certificats SSL gratuits. Cloudflare a été la première entreprise de sécurité et de performance Internet à le faire. Cloudflare a également travaillé à l'optimisation des performances SSL/TLS afin que les sites Web passant de HTTP à HTTPS ne voient pas leurs performances affectées. Pour plus d'informations sur les options SSL avec Cloudflare, consultez notre documentation pour les développeurs.
Le S de HTTPS signifie « sécurisé ». HTTPS est simplement HTTP avec SSL/TLS. Un site web avec une adresse HTTPS possède un certificat SSL légitime émis par une autorité de certification. Le trafic en provenance et à destination de ce site web est authentifié et chiffré avec le protocole SSL/TLS.
Pour encourager Internet dans son ensemble à passer au protocole HTTPS plus sécurisé, de nombreux navigateurs web ont commencé à marquer les sites Web HTTP comme non sécurisés » ou « dangereux ». Ainsi, HTTPS est non seulement essentiel pour la sécurité des utilisateurs et de leurs données, mais il est également devenu essentiel pour instaurer la confiance avec les utilisateurs.