Secure Sockets Layer (SSL) est un protocole de sécurité qui assure la confidentialité, l'authentification et l'intégrité des communications sur Internet. SSL a finalement évolué vers Transport Layer Security (TLS).
Cet article s'articule autour des points suivants :
Contenu associé
Qu'est-ce qu'un certificat SSL ?
négociation SSL
SSL sans clé
Cryptographie à clé publique
Pourquoi utiliser HTTPS ?
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
SSL, ou Secure Sockets Layer, est un protocole de sécurité Internet basé sur le chiffrement. Il a été développé pour la première fois par Netscape en 1995 dans le but de garantir la confidentialité, l'authentification et l'intégrité des données dans les communications Internet. Le SSL est le prédécesseur du chiffrement moderne TLS utilisé aujourd'hui.
Un site web qui met en œuvre le protocole SSL/TLS comporte un «HTTPS » dans son URL au lieu d'un « HTTP ».
Le protocole SSL a connu plusieurs versions, chacune plus sûre que la précédente. En 1999, le SSL a été mis à jour pour devenir le TLS.
À l'origine, les données sur le Web étaient transmises en texte brut que n'importe qui pouvait lire s'il interceptait le message. Par exemple, si un consommateur visitait un site web d'achat, passait une commande et saisissait son numéro de carte de crédit sur le site, ce numéro de carte de crédit voyageait sur Internet sans être caché.
Le SSL a été créé pour corriger ce problème et protéger la vie privée des utilisateurs. En chiffrant toutes les données qui circulent entre un utilisateur et un serveur web, le protocole SSL garantit que toute personne qui intercepte les données ne peut voir qu'un ensemble de caractères brouillés. Le numéro de carte de crédit du consommateur est désormais sécurisé, visible uniquement sur le site web où l'utilisateur l'a saisi.
Le SSL permet également de mettre fin à certains types de cyberattaques : il authentifie les serveurs web, ce qui est important, car les attaquants tentent souvent de créer de faux sites web pour tromper les utilisateurs et voler des données. Il empêche également les attaquants de manipuler les données en transit, à la manière du sceau de sécurité sur un emballage de médicaments.
SSL est le prédécesseur direct d'un autre protocole appelé TLS (Transport Layer Security). En 1999, l'Internet Engineering Task Force (IETF) a proposé une mise à jour du protocole SSL. Comme cette mise à jour était élaborée par l'IETF et que Netscape n'était plus impliqué, le nom a été changé en TLS. Les différences entre la version finale de SSL (3.0) et la première version de TLS ne sont pas radicales ; le changement de nom a été appliqué pour signifier le changement de propriété.
En raison de leur nature si étroite, les deux termes sont souvent utilisés de manière interchangeable et confuse. Certaines personnes utilisent encore le terme SSL pour désigner le TLS, d'autres utilisent le terme de chiffrement « SSL/TLS » parce que le nom SSL est encore dans toutes les mémoires.
Le SSL n'a pas été mis à jour depuis le SSL 3.0 en 1996 et est maintenant considéré comme obsolète. Le protocole SSL comporte plusieurs vulnérabilités connues, et les experts en sécurité recommandent de cesser de l'utiliser. En fait, la plupart des navigateurs web modernes ne prennent plus du tout en charge le protocole SSL.
TLS est le protocole de chiffrement le plus récent qui est toujours implémenté en ligne, même si beaucoup de personnes l'appellent encore chiffrement « SSL ». Cela peut être une source de confusion pour celui qui recherche des solutions de sécurité. La vérité est que tout fournisseur proposant le « SSL » de nos jours fournit presque certainement la protection TLS, qui est une norme de l'industrie depuis plus de 20 ans. Mais comme de nombreuses personnes sont encore à la recherche d'une protection « SSL », le terme figure encore en bonne place sur de nombreuses pages de produits.
Le protocole SSL ne peut être mis en œuvre que par les sites web qui possèdent un certificat SSL (techniquement un « certificat TLS »). Un certificat SSL est comme une carte d'identité ou un badge qui prouve qu'une personne est bien celle qu'elle prétend être. Les certificats SSL sont stockés et affichés sur le Web par un serveur de site ou d'application.
L'une des éléments informations les plus importantes d'un certificat SSL est la clé publique du site web. La clé publique rend possible chiffrement et authentification. L'appareil d'un utilisateur visualise la clé publique et l'utilise pour établir des clés de chiffrement sécurisées avec le serveur web. Entre-temps, le serveur web dispose également d'une clé privée qui est gardée secrète ; la clé privée déchiffre les données chiffrées avec la clé publique.
Les autorités de certification (AC) sont responsables de l'émission des certificats SSL.
Il existe plusieurs types de certificats SSL. Un certificat peut s'appliquer à un seul site web ou à plusieurs sites web, selon le type :
Les certificats SSL sont également assortis de différents niveaux de validation. Un niveau de validation est comme une vérification des antécédents, et le niveau change en fonction de la profondeur de la vérification.
Cloudflare propose des certificats SSL gratuits pour toutes les entreprises. Un site web protégé par Cloudflare peut activer le SSL en quelques clics. Les sites web peuvent également avoir besoin d'installer un certificat SSL sur leur serveur d'origine : cet article contient des instructions supplémentaires.
Pour en savoir plus sur le fonctionnement du chiffrement SSL/TLS, reportez-vous à la rubrique Qu'est-ce que TLS ?