Qu'est-ce que le SSL ? | Définition du SSL

Secure Sockets Layer (SSL) est un protocole de sécurité qui assure la confidentialité, l'authentification et l'intégrité des communications sur Internet. SSL a finalement évolué vers Transport Layer Security (TLS).

Share facebook icon linkedin icon twitter icon email icon

SSL

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir le SSL
  • Comprendre la différence entre SSL et TLS
  • Comprendre les certificats SSL

Qu'est-ce que le SSL ?

SSL, ou Secure Sockets Layer, est un protocole de sécurité Internet basé sur le chiffrement. Il a été développé pour la première fois par Netscape en 1995 dans le but de garantir la confidentialité, l'authentification et l'intégrité des données dans les communications Internet. Le SSL est le prédécesseur du chiffrement moderne TLS utilisé aujourd'hui.

Un site web qui met en œuvre le protocole SSL/TLS comporte un «HTTPS » dans son URL au lieu d'un « HTTP ».

HTTP vs HTTPS

Comment fonctionne le SSL/TLS ?

  • Afin de garantir un degré élevé de confidentialité, le SSL chiffre les données transmises sur le Web. Cela signifie que quiconque tente d'intercepter ces données ne verra qu'un mélange confus de caractères quasiment impossible à déchiffrer.
  • Le SSL lance un processus d'authentification appelé handshake entre deux dispositifs de communication pour s'assurer que les deux appareils sont vraiment ceux qu'ils prétendent être.
  • Le SSL signe également numériquement les données afin d'assurer l'intégrité des données, en vérifiant que les données ne sont pas falsifiées avant d'atteindre leur destinataire prévu.

Le protocole SSL a connu plusieurs versions, chacune plus sûre que la précédente. En 1999, le SSL a été mis à jour pour devenir le TLS.

Pourquoi le SSL/TLS est-il important ?

À l'origine, les données sur le Web étaient transmises en texte brut que n'importe qui pouvait lire s'il interceptait le message. Par exemple, si un consommateur visitait un site web d'achat, passait une commande et saisissait son numéro de carte de crédit sur le site, ce numéro de carte de crédit voyageait sur Internet sans être caché.

Le SSL a été créé pour corriger ce problème et protéger la vie privée des utilisateurs. En chiffrant toutes les données qui circulent entre un utilisateur et un serveur web, le protocole SSL garantit que toute personne qui intercepte les données ne peut voir qu'un ensemble de caractères brouillés. Le numéro de carte de crédit du consommateur est désormais sécurisé, visible uniquement sur le site web où l'utilisateur l'a saisi.

Le SSL permet également de mettre fin à certains types de cyberattaques : il authentifie les serveurs web, ce qui est important, car les attaquants tentent souvent de créer de faux sites web pour tromper les utilisateurs et voler des données. Il empêche également les attaquants de manipuler les données en transit, à la manière du sceau de sécurité sur un emballage de médicaments.

Le SSL et le TLS sont-ils identiques ?

SSL est le prédécesseur direct d'un autre protocole appelé TLS (Transport Layer Security). En 1999, l'Internet Engineering Task Force (IETF) a proposé une mise à jour du protocole SSL. Comme cette mise à jour était élaborée par l'IETF et que Netscape n'était plus impliqué, le nom a été changé en TLS. Les différences entre la version finale de SSL (3.0) et la première version de TLS ne sont pas radicales ; le changement de nom a été appliqué pour signifier le changement de propriété.

En raison de leur nature si étroite, les deux termes sont souvent utilisés de manière interchangeable et confuse. Certaines personnes utilisent encore le terme SSL pour désigner le TLS, d'autres utilisent le terme de chiffrement « SSL/TLS » parce que le nom SSL est encore dans toutes les mémoires.

Le SSL est-il toujours à jour ?

Le SSL n'a pas été mis à jour depuis le SSL 3.0 en 1996 et est maintenant considéré comme obsolète. Le protocole SSL comporte plusieurs vulnérabilités connues, et les experts en sécurité recommandent de cesser de l'utiliser. En fait, la plupart des navigateurs web modernes ne prennent plus du tout en charge le protocole SSL.

TLS est le protocole de chiffrement le plus récent qui est toujours implémenté en ligne, même si beaucoup de personnes l'appellent encore chiffrement « SSL ». Cela peut être une source de confusion pour celui qui recherche des solutions de sécurité. La vérité est que tout fournisseur proposant le « SSL » de nos jours fournit presque certainement la protection TLS, qui est une norme de l'industrie depuis plus de 20 ans. Mais comme de nombreuses personnes sont encore à la recherche d'une protection « SSL », le terme figure encore en bonne place sur de nombreuses pages de produits.

Qu'est-ce qu'un certificat SSL ?

Le protocole SSL ne peut être mis en œuvre que par les sites web qui possèdent un certificat SSL (techniquement un « certificat TLS »). Un certificat SSL est comme une carte d'identité ou un badge qui prouve qu'une personne est bien celle qu'elle prétend être. Les certificats SSL sont stockés et affichés sur le Web par un serveur de site ou d'application.

L'une des éléments informations les plus importantes d'un certificat SSL est la clé publique du site web. La clé publique rend le chiffrement possible. L'appareil d'un utilisateur visualise la clé publique et l'utilise pour établir des clés de chiffrement sécurisées avec le serveur web. Entre-temps, le serveur web dispose également d'une clé privée qui est gardée secrète ; la clé privée déchiffre les données chiffrées avec la clé publique.

Les autorités de certification (AC) sont responsables de l'émission des certificats SSL.

Quels sont les types de certificats SSL ?

Il existe plusieurs types de certificats SSL. Un certificat peut s'appliquer à un seul site web ou à plusieurs sites web, selon le type :

  • Domaine unique : un certificat SSL à domaine unique s'applique à un seul domaine (un « domaine » est le nom d'un site web, comme www.cloudflare.com).
  • Générique : comme un certificat à domaine unique, un certificat SSL générique s'applique à un seul domaine. Cependant, il inclut également les sous-domaines de ce domaine. Par exemple, un certificat générique pourrait couvrir www.cloudflare.com, blog.cloudflare.com, et developers.cloudflare.com, alors qu'un certificat à domaine unique ne pourrait couvrir que le premier domaine.
  • Domaines multiples : comme leur nom l'indique, les certificats SSL à domaines multiples peuvent s'appliquer à plusieurs domaines sans rapport entre eux.

Les certificats SSL sont également assortis de différents niveaux de validation. Un niveau de validation est comme une vérification des antécédents, et le niveau change en fonction de la profondeur de la vérification.

  • Validation de domaine : c'est le niveau de validation le moins strict et le moins cher. Tout ce qu'une entreprise doit faire, c'est prouver qu'elle contrôle le domaine.
  • Validation de l'organisation : Il s'agit d'un processus plus pratique : l'AC contacte directement la personne ou l'entreprise qui demande le certificat. Ces certificats sont plus fiables pour les utilisateurs.
  • Validation étendue : cela nécessite une vérification complète des antécédents d'une organisation avant que le certificat SSL ne puisse être émis.

Comment une entreprise peut-elle obtenir un certificat SSL ?

Cloudflare propose des certificats SSL gratuits pour toutes les entreprises. Un site web protégé par Cloudflare peut activer le SSL en quelques clics. Les sites web peuvent également avoir besoin d'installer un certificat SSL sur leur serveur d'origine : cet article contient des instructions supplémentaires.

En savoir plus sur SSL/TLS

Pour en savoir plus sur le fonctionnement du chiffrement SSL/TLS, reportez-vous à la rubrique Qu'est-ce que TLS ? Utilisez le centre de diagnostic Cloudflare pour vérifier si un site web met correctement en œuvre le chiffrement SSL/TLS.