HTTPS est un moyen sécurisé d'envoyer des données entre un serveur web et un navigateur web.
Cet article s'articule autour des points suivants :
Contenu associé
Qu'est-ce qu'un certificat SSL ?
SSL sans clé
Le SSL, qu’est-ce que c’est ?
négociation SSL
Cryptographie à clé publique
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Le protocole de transfert hypertexte sécurisé (HTTPS) est la version sécurisée du protocole HTTP, principal protocole utilisé pour l’envoi de données entre un navigateur Web et un site Web. HTTPS est chiffré afin de renforcer la sécurité du transfert de données. Ceci est particulièrement important lorsque les utilisateurs transmettent des données sensibles, par exemple en se connectant à un compte bancaire, à un service de courrier électronique ou à un prestataire d’assurance maladie.
Tous les sites web, en particulier ceux qui nécessitent des informations d'identification pour la connexion, doivent utiliser HTTPS. Sur les navigateurs web modernes comme Chrome, les sites web qui n’utilisent pas HTTPS sont marqués différemment de ceux qui l’utilisent. Vérifiez la présence d'un cadenas dans la barre d’URL indiquant que la page web est sécurisée. Les navigateurs web prennent HTTPS au sérieux ; Google Chrome et d’autres navigateurs signalent les sites web non HTTPS comme non sécurisés.
HTTPS utilise un protocole de chiffrement pour chiffrer les communications. Le protocole appelé Transport Layer Security (TLS) était auparavant connu sous le nom de Secure Sockets Layer (SSL). Ce protocole sécurise les communications en utilisant ce que l'on appelle une infrastructure à clé publique asymétrique. Ce type de système de sécurité utilise deux clés différentes pour chiffer les communications entre deux parties :
Le protocole HTTPS empêche les sites web de diffuser leurs informations d'une manière facilement visible par une personne malveillante espionnant le réseau. Lorsque des informations sont envoyées en HTTP, elles sont divisées en paquets de données qui peuvent être facilement « reniflés » à l'aide d'un logiciel gratuit. Dans ce cas la communication sur le support n'est pas sécurisée, tel que le Wi-Fi public, très vulnérable à l'interception. En fait, toutes les communications qui ont lieu en HTTP se font en texte brut, ce qui les rend hautement accessibles à toute personne disposant des outils appropriés et vulnérables à des attaques de l'homme du milieu.
Avec HTTPS, le trafic est chiffré de telle sorte que même si les paquets sont reniflés ou interceptés d'une autre manière, ils apparaîtront comme des caractères absurdes. Examinons un exemple :
Il s'agit d'une chaîne de texte parfaitement lisible
ITM0IRyiEhVpa6VnKyExMiEgNveroyWBPlgGyfkflYjDaaFf/Kn3bo3OfghBPDWo6AfSHlNtL8N7ITEwIXc1gU5X73xMsJormzzXlwOyrCs+9XCPk63Y+z0=
Dans les sites web sans HTTPS, il est possible pour les fournisseurs de services Internet (FAI) ou d'autres intermédiaires d'injecter du contenu dans des pages web sans l'approbation du propriétaire du site. Ce contenu a souvent la forme de publicité, lorsqu'un FAI cherchant à augmenter ses revenus injecte de la publicité payante dans les pages web de ses clients. Sans surprise, lorsque cela se produit, les bénéfices issus des annonces publicitaires et le contrôle qualité de ces annonces ne sont en aucun cas partagés avec le propriétaire du site. HTTPS élimine la capacité des tiers non modérés à injecter de la publicité dans du contenu Wwxeb.
Image de Ars Technica
Pour une liste complète des avantages offerts par HTTPS, voir Pourquoi utiliser HTTPS ?
HTTPS utilise le port 443. Cela différencie HTTPS de HTTP, qui utilise le port 80.
(Dans le domaine des réseaux, un port est un point virtuel de nature logicielle qui marque le début ou la fin d'une connexion. Tous les ordinateurs connectés au réseau exposent un certain nombre de ports par lequel ils reçoivent du trafic. Chaque port est associé à un processus ou à un service spécifique, et différents protocoles utilisent les différents ports).
Techniquement parlant, HTTPS n'est pas un protocole distinct de HTTP. Il utilise simplement le chiffrement TLS/SSL sur le protocole HTTP. HTTPS repose sur la transmission de certificats TLS/SSL, qui vérifient qu'un fournisseur particulier est bien celui qu'il prétend être.
Lorsqu'un utilisateur se connecte à une page web, la page web envoie son certificat SSL qui contient la clé publique nécessaire pour démarrer la session sécurisée. Les deux ordinateurs, le client et le serveur, passent ensuite par un processus appelé handshake SSL/TLS, qui est une série de communications aller-retour utilisées pour établir une connexion sécurisée. Pour approfondir le chiffrement et le handshake SSL/TLS lisez ce qui se passe dans un handshake TLS.
De nombreux hébergeurs de sites web et d'autres services proposent des certificats TLS/SSL contre rémunération. Ces certificats seront souvent partagés entre de nombreux clients. Des certificats plus chers sont disponibles et peuvent être enregistrés individuellement sur des propriétés web particulières.
Tous les sites web utilisant Cloudflare reçoivent HTTPS gratuitement en utilisant un certificat partagé (le terme technique exact est un certificat SSL multi-domaine). La création d'un compte gratuit garantira à une propriété web une protection HTTPS constamment mise à jour. Vous pouvez également explorer nos offres payantes pour des certificats individuels et d'autres fonctionnalités. Dans les deux cas, une propriété web bénéficie de tous les avantages liés à l'utilisation de HTTPS.