Certificat SSL
La sécurité sur Internet est essentielle, et l'un des piliers de cette sécurité est constitué par les certificats SSL. Familiarisons-nous avec ces derniers.
Contenu de l'article
- Qu'est-ce qu'un certificat SSL ?
- Comment fonctionne la communication SSL/TLS ?
- Pourquoi utiliser un certificat SSL ?
- Validation des certificats SSL
- Types de certificats SSL
- Autorités de certification
Qu'est-ce qu'un certificat SSL ?
Un certificat SSL est essentiellement un certificat numérique pour un domaine. SSL signifie Secure Socket Layer (Wiki sur SSL/TLS), un protocole créé par la société Netscape en 1994 durant la "préhistoire de l'internet" (par exemple, Google a été fondé en 1998). Il a été conçu pour établir une communication sécurisée et chiffrée sur Internet entre le navigateur de l'utilisateur et un serveur web. Le certificat est délivré par une tierce partie de confiance, appelée autorité de certification (CA), qui vérifie le demandeur ou le propriétaire du serveur web et émet une "confirmation". Aujourd'hui, le successeur du protocole SSL, le protocole TLS standardisé (Transport Layer Security), est utilisé, mais le nom original des certificats SSL reste couramment utilisé.
La communication sécurisée et l'utilisation d'un certificat SSL étaient auparavant identifiées dans la barre d'adresse du navigateur par la présence de "https://" avant le nom de domaine, où la lettre "S" signifie Secure (HTTPS - Hypertext Transfer Protocol Secure), et par le symbole du cadenas. Aujourd'hui, l'utilisation de certificats SSL est complètement standard, et les navigateurs affichent des avertissements concernant les sites non sécurisés.
Qu'est-ce que HTTPS ?
HTTPS est une méthode de chiffrement des données (informations) transmises entre le navigateur et le serveur web. Le chiffrement protège les visiteurs et utilisateurs des sites web contre l'espionnage et les attaques de type "man-in-the-middle", où un pirate peut voler des informations envoyées à un site web, comme les détails de carte de crédit ou les identifiants de connexion. Un attaquant peut également injecter du contenu malveillant ou effectuer d'autres attaques nuisibles. La sécurisation de la communication avec le protocole HTTPS est désormais la norme pour tous les sites web.
Comment fonctionne la communication SSL/TLS ?
Pour établir une communication HTTPS sécurisée, un processus appelé "handshake" se déroule entre le navigateur et le serveur, où des informations sur la manière dont la communication va se dérouler (types de chiffrement, clés de chiffrement, etc.) sont échangées. Le certificat SSL est utilisé au début de la communication, où un chiffrement asymétrique est utilisé pour échanger les clés et vérifier le serveur. Ici, la fiabilité de l'autorité de certification qui délivre le certificat SSL et confirme l'authenticité du propriétaire est très importante. Si tout est en ordre, la communication HTTPS est établie, et la sécurité des données se poursuit avec un chiffrement symétrique (chiffrement et déchiffrement utilisant une seule clé).
Vous pouvez consulter le processus de connexion TLS 1.3 étape par étape entre un client et un serveur sur l'excellente page Illustrated TLS Connection - Every byte explained and reproduced.
Le chiffrement asymétrique fonctionne avec une paire de clés de chiffrement - publique et privée (Wiki - Cryptographie asymétrique). La clé publique peut être rendue publique, et si quelqu'un chiffre un message avec cette clé, seul le propriétaire de la clé privée correspondante peut le déchiffrer. La même chose s'applique dans le sens inverse, ce qui est utilisé pour l'authentification - un message chiffré avec la clé privée ne peut être déchiffré qu'avec la clé publique correspondante. Si nous savons que la clé publique appartient à une entité particulière (vérifiée par une autorité de confiance), nous savons également avec qui nous communiquons.
Pourquoi utiliser un certificat SSL ?
Un certificat SSL est nécessaire pour créer et garantir une communication HTTPS sécurisée sur Internet. Il existe de nombreuses raisons d'utiliser un certificat SSL. Mais attention ! Un certificat SSL ne protège pas les sites web contre les pirates. Si vous n'actualisez pas les applications comme WordPress ou si un programmeur code mal le site web, un certificat SSL ne protégera pas le site contre une compromission.
En déployant un certificat SSL et en sécurisant la communication HTTPS, nous protégeons principalement les utilisateurs, les visiteurs du site contre l'écoute de la communication, l'injection de code malveillant dans le site ou la modification du contenu (insertion de publicités, modification du contenu). C'est la principale raison de déployer un certificat SSL même sur le plus petit site à une seule page, où nous pensons qu'il n'y a rien à protéger.
Une raison clé de déployer un certificat SSL est la présence de formulaires de connexion et d'autres formulaires sur les sites web où des données sensibles sont saisies, qui doivent être protégées lors de leur transmission sur Internet contre l'écoute, le vol et l'utilisation abusive.
Les sites web sans certificat SSL sont marqués négativement "NON SÉCURISÉS" dans les navigateurs web, ce qui semble très peu fiable.
Les nouvelles technologies ne peuvent être utilisées que dans les navigateurs avec une communication sécurisée. Les nouveaux protocoles HTTP/2+3 accélèrent considérablement le chargement des sites web, et sans HTTPS, ils ne prennent pas en charge toutes les fonctionnalités.
Les certificats SSL garantissent la conformité aux réglementations légales et aux normes concernant la protection de la vie privée et le respect des standards.
Avantages de la communication HTTPS
- Communication sécurisée entre le navigateur de l'utilisateur et le serveur
- Protection des informations sensibles
- Utilisation des nouvelles technologies (protocole rapide HTTP/2, nouvelles propriétés CSS)
- Authentification de la partie distante (serveur web)
- Avantages SEO pour les pages dans les recherches Google
- Suppression du label "Non sécurisé" sur le site
Inconvénients de la communication HTTPS
- Besoin d'obtenir un certificat SSL
- Le certificat SSL doit être renouvelé régulièrement
- Configuration technique de la communication HTTPS
- Problèmes potentiels de fonctionnement du site web
Validation des certificats SSL
Pour qu'un certificat SSL de confiance soit délivré, l'autorité de certification (CA) effectue d'abord une vérification. Ce processus ne peut être réalisé que par le propriétaire ou l'opérateur d'un domaine spécifique, garantissant que le certificat est accordé uniquement à une partie autorisée. Il existe trois niveaux de vérification qui définissent les types de certificats SSL.
Certificats à validation de domaine (DV SSL)
Pour obtenir un certificat, il suffit de vérifier le domaine, ce qui constitue la méthode de vérification la plus rapide, la plus simple et automatisée. L'autorité de certification vérifie uniquement la légitimité de l'accès au domaine spécifié dans la demande de certificat. La vérification s'effectue en envoyant un e-mail à l'une des cinq boîtes aux lettres du domaine : admin@, administrator@, webmaster@, hostmaster@ ou postmaster@. Ces e-mails sont définis par les règles de vérification et ne peuvent pas être modifiés. Alternativement, la vérification peut être effectuée en plaçant un fichier généré dans l'espace FTP du domaine ou en configurant un enregistrement DNS spécifique.
Vous pouvez consulter le processus de validation de domaine étape par étape sur la page Comment fonctionne la validation de domaine (certificats DV).
Certificats à validation d'organisation (OV SSL)
Contrairement à la validation de domaine, il s'agit d'un processus manuel où l'autorité de certification doit vérifier l'existence réelle du demandeur. Le domaine est vérifié comme pour les certificats DV, et l'existence de l'entreprise est également confirmée. Les données sont récupérées à partir de bases de données publiques autorisées, et chaque CA dispose de ses propres procédures de vérification.
L'avantage des certificats d'organisation est la capacité d'authentifier et de confirmer la légitimité de la communication, ce qui signifie que le site que je visite appartient à l'entreprise attendue.
Certificats à validation étendue (EV SSL)
Les certificats EV SSL sont les certificats SSL les plus fiables. Par le passé, le nom de l'entreprise était affiché directement dans la barre d'adresse verte à côté du domaine. Cela a changé en 2019, et désormais les certificats d'organisation sont un meilleur choix offrant les mêmes propriétés à un coût inférieur.
Types de certificats SSL
Au fil du temps, plusieurs types de certificats SSL ont été développés, différant principalement par le nombre de domaines sécurisés. Les types eux-mêmes offrent ensuite différentes méthodes de vérification.
Certificat SSL pour un domaine unique
Les certificats SSL pour un seul domaine sont les plus souvent commandés. Ces certificats sécurisent un domaine Internet spécifique. Ils peuvent sécuriser des sites web d'entreprise, personnels ou tout type de projet. Les certificats SSL pour un seul domaine sont délivrés par les autorités de certification pour être utilisés sur les versions www et non-www de l'adresse. Pour sécuriser un seul domaine, les certificats SSL les moins chers de notre offre sont également adaptés.
Certificat SSL WildCard
Les certificats WildCard, également appelés certificats étoilés, offrent une fonctionnalité unique : la possibilité de sécuriser un nombre illimité de sous-domaines sous votre domaine principal. Ils permettent aux administrateurs de serveur de gagner un temps considérable et de réduire les coûts liés à l'installation et à la gestion. Dans la demande de certificat WildCard, vous spécifiez un astérisque (*) avant le domaine (par ex. *.domainxyz.com), ce qui vous permet de sécuriser n'importe quel sous-domaine au niveau spécifié.
Certificat SSL Multi-Domaines
Les certificats SSL multi-domaines permettent de sécuriser plusieurs domaines différents avec un seul certificat SSL. Ces certificats peuvent sécuriser des dizaines de domaines simultanément, même avec des TLD différents (.COM, .EU, .DE, .ES, etc.), ce qui les distingue des certificats SSL WildCard qui sécurisent un nombre illimité de sous-domaines.
L'utilisation d'un certificat SSL multi-domaines offre une gestion simplifiée des certificats et souvent un prix plus avantageux pour la sécurité d'un domaine. Ils sont idéaux pour les entreprises ayant besoin de sécuriser simultanément plusieurs domaines avec des TLD différents. Les certificats SSL multi-domaines sont également adaptés pour la sécurisation de Microsoft Exchange.
Autorités de certification
L'autorité de certification vérifie la demande de certificat et émet le certificat. Il existe de nombreuses autorités de certification dans le monde, mais pour qu'une CA soit digne de confiance, elle doit respecter certaines normes. Ces normes sont définies par les fabricants de systèmes d'exploitation (Microsoft, Apple) ou directement par les fabricants de navigateurs, comme Mozilla pour son navigateur Firefox, qui dispose de son propre programme de certificats CA de Mozilla et maintient sa liste d'autorités de confiance.
Les autorités de certification sont membres du CA/Browser Forum. Les membres incluent non seulement des CA, mais aussi des fabricants de navigateurs, des développeurs de systèmes d'exploitation, et d'autres entreprises informatiques (liste des membres). Ce forum joue un rôle crucial dans le développement et la régulation des services de certification, avec ses propres règles et exigences pour l'émission de certificats que les autorités de certification doivent suivre.
Certificats SSL sur le projet SSLmentor
Sur notre site web, vous trouverez des certificats SSL de haute qualité et de confiance provenant d'autorités de certification sélectionnées.
Prochaine étape?
Retour à l'aide
Vous avez trouvé une erreur ou vous ne comprenez pas quelque chose ? Écrivez-nous !
