Comment fonctionne SSL? | Certificats SSL et TLS

SSL, également connu sous le nom de TLS, utilise le chiffrement pour sécuriser les données des utilisateurs, authentifier l'identité des sites web et empêcher les attaquants de falsifier les communications sur Internet.

Share facebook icon linkedin icon twitter icon email icon

Comment fonctionne le SSL ?

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Comprendre ce que signifie SSL/TLS
  • Expliquez comment SSL/TLS sécurise les communications Internet
  • Découvrez comment obtenir un certificat SSL et comment les certificats SSL protègent les données des utilisateurs

Le SSL, qu’est-ce que c’est ?

SSL signifie Secure Sockets Layer et fait référence à un protocole de chiffrement et de sécurisation des communications qui sont établies sur Internet. Bien que SSL ait été remplacé par un protocole mis à jour appelé TLS (Transport Layer Security) il y a déjà quelque temps, SSL est encore un terme couramment utilisé pour cette technologie.

Le principal cas d'utilisation de SSL/TLS est la sécurisation des communications entre un client et un serveur, mais il peut également sécuriser les e-mails, un VoIP et d'autres communications sur des réseaux non sécurisés.

Comment fonctionne le SSL/TLS ?

Voici les principes essentiels permettant de comprendre le fonctionnement de SSL/TLS :

  • Une communication sécurisée commence par un handshake TLS, au cours duquel les deux parties communicantes ouvrent une connexion sécurisée et échangent la clé publique
  • Pendant le handshake TLS, les deux parties génèrent des clés de session, et les clés de session chiffrent et déchiffrent toutes les communications après le handshake TLS
  • Différentes clés de session sont utilisées pour chiffrer les communications dans chaque nouvelle session
  • TLS garantit que la partie côté serveur ou le site web avec lequel l'utilisateur interagit est bien celui qu'il prétend être
  • TLS garantit également que les données n'ont pas été altérées, étant donné qu'un code d'authentification de message (MAC) est inclus avec les transmissions

Avec TLS, les données HTTP que les utilisateurs envoient à un site web (en cliquant, en remplissant des formulaires, etc.) et les données HTTP que les sites web envoient aux utilisateurs sont chiffrées. Les données chiffrées doivent être déchiffrées par le destinataire à l'aide d'une clé.

Le handshake TLS

Les sessions de communication TLS commencent par un handshake TLS. Un handshake TLS utilise un chiffrement asymétrique, ce qui signifie que deux clés différentes sont utilisées aux deux extrémités de la conversation. Cela est possible grâce à une technique appelée chiffrement à clé publique.

Dans le chiffrement à clé publique, deux clés sont utilisées : une clé publique, que le serveur met à la disposition du public, et une clé privée, qui est gardée secrète et qui utilisée uniquement côté serveur. Les données chiffrées avec la clé publique ne peuvent être déchiffrées qu'avec la clé privée, et vice versa.

Pendant le handshake TLS, le client et le serveur utilisent les clés publiques et privées pour échanger des données générées de manière aléatoire. Ces données aléatoires sont utilisées pour créer de nouvelles clés de chiffrement, appelées clés de session.

Chiffrement symétrique avec clés de session

Contrairement au chiffrement asymétrique, dans le chiffrement symétrique, les deux parties d'une conversation utilisent la même clé. Après le handshake TLS, les deux parties utilisent les mêmes clés de session pour le chiffrement. Une fois les clés de session utilisées, les clés publiques et privées ne sont plus utilisées. Les clés de session sont des clés temporaires qui ne sont plus utilisées une fois la session terminée. Un nouvel ensemble aléatoire de clés de session sera créé pour la session suivante.

Asymmetrical Encryption Symmetric Encryption

Authentification du serveur d'origine

Les communications TLS du serveur incluent un code d'authentification de message, ou MAC, qui est une signature numérique confirmant que la communication provient du site web réel. Cela authentifie le serveur, empêchant les attaques de l'homme du milieu et l'usurpation de domaine. Il garantit également que les données n'ont pas été modifiées en transit.

Qu'est-ce qu'un certificat SSL?

Un certificat SSL est un fichier installé sur un serveur d'origine de site web. Il s'agit simplement d'un fichier de données contenant la clé publique et l'identité du propriétaire du site web, ainsi que d'autres informations. Sans certificat SSL, le trafic d'un site web ne peut pas être chiffré avec TLS.

Techniquement, tout propriétaire de site web peut créer son propre certificat SSL. De tels certificats sont appelés certificats auto-signés. Cependant, les navigateurs ne considèrent pas les certificats auto-signés comme aussi fiables que les certificats SSL émis par une autorité de certification.

Comment un site web obtient-il un certificat SSL ?

Les propriétaires de sites web doivent obtenir un certificat SSL auprès d'une autorité de certification, puis l'installer sur leur serveur web (souvent un hôte web peut gérer ce processus). Une autorité de certification est une partie externe qui peut confirmer que le propriétaire du site web est bien celui qu'il prétend être. Ils conservent une copie des certificats qu'ils délivrent.

Est-il possible d'obtenir un certificat SSL gratuit ?

De nombreuses autorités de certification facturent les certificats SSL. Fidèle à sa mission de rendre Internet plus sécurisé, Cloudflare propose des certificats SSL gratuits . Cloudflare a été la première société spécialisée dans la sécurité et la performance Internet à le faire. Cloudflare a également travaillé pour optimiser les performances SSL/TLS afin que la performance des sites web passant de HTTP à HTTPS ne soit pas impactée. En savoir plus sur Cloudflare et SSL .

Quelle est la différence entre HTTP et HTTPS ?

Le S de HTTPS signifie « sécurisé ». HTTPS est simplement HTTP avec SSL/TLS. Un site web avec une adresse HTTPS possède un certificat SSL légitime émis par une autorité de certification. Le trafic en provenance et à destination de ce site web est authentifié et chiffré avec le protocole SSL/TLS.

Pour encourager Internet dans son ensemble à passer au protocole HTTPS plus sécurisé, de nombreux navigateurs web ont commencé à marquer les sites web HTTP comme non sécurisés » ou « dangereux ». Ainsi, HTTPS est non seulement essentiel pour la sécurité des utilisateurs et de leurs données, mais il est également devenu essentiel pour instaurer la confiance avec les utilisateurs. Testez les problèmes SSL/HTTPS d'un site web.