Comment fonctionne SSL? | Certificats SSL et TLS

SSL, également connu sous le nom de TLS, utilise le chiffrement pour sécuriser les données des utilisateurs, authentifier l'identité des sites web et empêcher les attaquants de falsifier les communications sur Internet.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Comprendre ce que signifie SSL/TLS
  • Expliquez comment SSL/TLS sécurise les communications Internet
  • Découvrez comment obtenir un certificat SSL et comment les certificats SSL protègent les données des utilisateurs

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Inscrivez-vous pour recevoir des articles d'enrichissement sélectionnés par Cloudflare

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce que le SSL ?

SSL signifie Secure Sockets Layer et fait référence à un protocole de chiffrement et de sécurisation des communications qui sont établies sur Internet. Bien que SSL ait été remplacé par un protocole mis à jour appelé TLS (Transport Layer Security) il y a déjà quelque temps, SSL est encore un terme couramment utilisé pour désigner cette technologie.

Le principal cas d'utilisation de SSL/TLS est la sécurisation des communications entre un client et un serveur, mais il peut également sécuriser les e-mails, un VoIP et d'autres communications sur des réseaux non sécurisés.

S’enregistrer
Boostez les performances avec Cloudflare CDN

Comment fonctionne le SSL/TLS ?

Voici les principes essentiels permettant de comprendre le fonctionnement de SSL/TLS :

  • Une communication sécurisée commence par un handshake TLS, au cours duquel les deux parties communicantes ouvrent une connexion sécurisée et échangent la clé publique
  • Pendant le handshake TLS, les deux parties génèrent des clés de session, et les clés de session chiffrent et déchiffrent toutes les communications après le handshake TLS
  • Différentes clés de session sont utilisées pour chiffrer les communications dans chaque nouvelle session
  • TLS garantit que la partie côté serveur ou le site web avec lequel l'utilisateur interagit est bien celui qu'il prétend être
  • TLS garantit également que les données n'ont pas été altérées, étant donné qu'un code d'authentification de message (MAC) est inclus avec les transmissions

Avec TLS, les données HTTP que les utilisateurs envoient à un site Web (en cliquant, en remplissant des formulaires, etc.) et les données HTTP que les sites Web envoient aux utilisateurs sont chiffrées. Les données chiffrées doivent être déchiffrées par le destinataire à l'aide d'une clé.

Livre blanc
Maximisez la puissance du TLS

Le handshake TLS

Les sessions de communication TLS commencent par une négociation TLS. Celle-ci applique un chiffrement asymétrique, ce qui signifie que deux clés différentes sont utilisées aux deux extrémités de la conversation. Cette possibilité repose sur une technique appelée chiffrement à clé publique.

Dans le chiffrement à clé publique, deux clés sont utilisées : une clé publique, que le serveur met à la disposition du public, et une clé privée, qui est gardée secrète et qui est utilisée uniquement côté serveur. Les données chiffrées avec la clé publique ne peuvent être déchiffrées qu’avec cette clé privée, et inversement.

Pendant le handshake TLS, le client et le serveur utilisent les clés publiques et privées pour échanger des données générées de manière aléatoire. Ces données aléatoires sont utilisées pour créer de nouvelles clés de chiffrement, appelées clés de session.

Chiffrement symétrique avec clés de session

Contrairement au chiffrement asymétrique, dans le chiffrement symétrique, les deux parties d'une conversation utilisent la même clé. Après le handshake TLS, les deux parties utilisent les mêmes clés de session pour le chiffrement. Une fois les clés de session utilisées, les clés publiques et privées ne sont plus utilisées. Les clés de session sont des clés temporaires qui ne sont plus utilisées une fois la session terminée. Un nouvel ensemble aléatoire de clés de session sera créé pour la session suivante.

Chiffrement symétrique

Authentification du serveur d'origine

Les communications TLS du serveur incluent un code d'authentification de message, ou MAC, qui est une signature numérique confirmant que la communication provient du site Web réel. Cela authentifie le serveur, empêchant les attaques sur le chemin et l'usurpation de domaine. Il garantit également que les données n'ont pas été modifiées en transit.

Qu'est-ce qu'un certificat SSL ?

Un certificat SSL est un fichier installé sur un serveur d'origine de site Web. Il s'agit simplement d'un fichier de données contenant la clé publique et l'identité du propriétaire du site Web, ainsi que d'autres informations. Sans certificat SSL, le trafic d'un site Web ne peut pas être chiffré avec TLS.

Techniquement, tout propriétaire de site web peut créer son propre certificat SSL. De tels certificats sont appelés certificats auto-signés. Cependant, les navigateurs ne considèrent pas les certificats auto-signés comme aussi fiables que les certificats SSL émis par une autorité de certification.

Comment un site web obtient-il un certificat SSL ?

Les propriétaires de sites web doivent obtenir un certificat SSL auprès d'une autorité de certification, puis l'installer sur leur serveur web (souvent un hôte web peut gérer ce processus). Une autorité de certification est une partie externe qui peut confirmer que le propriétaire du site web est bien celui qu'il prétend être. Ils conservent une copie des certificats qu'ils délivrent.

Est-il possible d'obtenir un certificat SSL gratuit ?

De nombreuses autorités de certification facturent les certificats SSL. Pour contribuer à rendre Internet plus sûr, Cloudflare offre des certificats SSL gratuits. Cloudflare a été la première entreprise de sécurité et de performance Internet à le faire. Cloudflare a également travaillé à l'optimisation des performances SSL/TLS afin que les sites Web passant de HTTP à HTTPS ne voient pas leurs performances affectées. Pour plus d'informations sur les options SSL avec Cloudflare, consultez notre documentation pour les développeurs.

Quelle est la différence entre HTTP et HTTPS ?

Le S de HTTPS signifie « sécurisé ». HTTPS est simplement HTTP avec SSL/TLS. Un site web avec une adresse HTTPS possède un certificat SSL légitime émis par une autorité de certification. Le trafic en provenance et à destination de ce site web est authentifié et chiffré avec le protocole SSL/TLS.

Pour encourager Internet dans son ensemble à passer au protocole HTTPS plus sécurisé, de nombreux navigateurs web ont commencé à marquer les sites Web HTTP comme  non sécurisés » ou « dangereux ». Ainsi, HTTPS est non seulement essentiel pour la sécurité des utilisateurs et de leurs données, mais il est également devenu essentiel pour instaurer la confiance avec les utilisateurs.