Le SSL (Secure Socket Layer) est un protocole de sécurité. Il est aujourd'hui nommé TLS (Transport Layer Security), version du SSL plus sécurisée.
Le SSL / TLS créé un canal sécurisé entre le client et un serveur.
Les informations échangées dans ce canal sont chiffrées pour empêcher toute interception de données "en clair" par un pirate informatique.
Seul le serveur est en mesure de déchiffrer les informations transmises.
Sommaire
Quel protocoles utilisent le SSL / TLS ?
- HTTPS (Navigation web sécurisée) : Cryptage des données transitant entre un navigateur web (Chrome, Firefox, Microsoft Edge ...) et un serveur web (Apache, Nginx ...)
- SMTPS (Envoi d'e-mails sécurisé) : Cryptage des données transitant entre un outil de messagerie (Outlook, Mail, Thunderbird ...) et un serveur SMTP (Postfix, Exim ...)
- POPS / IMAPS (Réception d'e-mails sécurisé) : Cryptage des données transitant entre un outil de messagerie (Outlook, Mail, Thunderbird ...) et un serveur mail (Dovecot ...)
- FTPS (Echange de fichiers sécurisé) : Cryptage des données transitant entre un client FTP (Filezilla, WinSCP ...) et un serveur FTP (proFTPd, vsFTPd, PureFTPd ...)
L'utilisation de ces protocoles sécurisés permettent de chiffrer les identifiants (login / mot de passe) envoyés au serveur lors des authentifications, mais aussi de crypter les données qui transitent entre l'utilisateur et l'application.
D'autres protocoles utilisent également le SSL / TLS, mais ceux-ci étant moins utilisés, nous ne les évoquerons pas dans cet article.
Fonctionnement du SSL / TLS : Tout ce qu'il faut savoir !
Un certificat SSL : Le pré-requis indispensable pour une connexion SSL / TLS sans avertissement
Tout d'abord, il est important de préciser que la sécurité SSL est mise en place par l'administrateur système qui gère le serveur ou l'application.
Si l'utilisateur peut parfois choisir s'il souhaite utiliser le SSL ou non, il ne peut en aucun cas forcer l’utilisation du SSL si l'administrateur système ne l'a pas activé.
Pour sécuriser un serveur ou une application en SSL / TLS, l'administrateur système doit générer deux fichiers sur son serveur :
- La requête CSR : Que l'administrateur devra transmettre à l'Autorité de Certification (ou au revendeur) lorsqu'il souhaitera acheter un certificat SSL.
Elle contient la ou les adresse(s) à sécuriser, et parfois, les coordonnées du propriétaire du ou des noms de domaine (uniquement pour un certificat SSL EV ou OV).
Cette requête CSR, contient une "clé publique", que l'Autorité de Certification va intégrer dans le certificat SSL lors de son émission.
- La clé privée : Celle-ci est directement liée à la clé publique. Si la clé privée est perdue, le certificat SSL devient inutilisable.
Cette clé privée à pour objectif d'éviter qu'un pirate informatique ne puisse installer un certificat SSL (publique) sur un autre serveur que celui pour lequel il est destiné.
Une fois le certificat émis par l'Autorité de Certification, il peut être installé sur le serveur à l'aide de la clé privée préalablement générée.
Fonctionnement d'une connexion SSL : Les étapes de connexion entre l’utilisateur et le serveur
- Le client de l'utilisateur (navigateur web, client de messagerie) va demander l'initialisation d'une connexion sécurisée auprès du serveur.
Pour cela, le client et le serveur vont négocier deux éléments d'une très grande importance :
- Le protocole utilisé : SSL v2, SSL v3 (obsolètes) ou mieux : TLS v1.0, TLS v1.1 ou TLS v1.2 (sécurisés)
- La méthode de chiffrement utilisée : Qui va servir à crypter les données ;
Beaucoup trop d'administrateurs systèmes configurent mal leur serveur, ce qui peut rendre leur site Internet inaccessible sur certaines versions de navigateurs.
- Le serveur envoi au client le certificat SSL qui a été émis pour l'adresse sur laquelle il souhaite se connecter ainsi qu'une signature numérique (texte chiffré) ;
- Le client va vérifier que le certificat SSL est valide (en cours de validité et émis par une Autorité de Certification de confiance. Il vérifie également que l'adresse pour laquelle le certificat SSL a été émis correspond bien à l'adresse à laquelle il tente d'accéder).
Il va également tenter de déchiffrer la signature numérique (grâce à la clé publique contenue dans le certificat SSL. Deux possibilités :
- Soit le certificat SSL est valide : Il passe à l'étape 4
- Soit le certificat SSL est invalide (certificat SSL expiré ou révoqué, certificat SSL auto-signé ...) : Affichage d'un avertissement de sécurité
- Le client va générer une clé de session, qu'il va chiffrer à l'aide de la clé publique contenue dans le certificat SSL. Cette clé de session est envoyée au serveur.
- Le serveur va déchiffrer la clé de session grâce à la la clé privée présente sur le serveur. C'est désormais cette clé de session qui va remplacer la clé publique ;
- Toutes les données qui vont transiter entre le client et le serveur seront désormais chiffrées / déchiffrées grâce à cette clé de session et en utilisant la méthode de chiffrement choisie à l'étape 1.2 ;
- Lorsqu'ils auront terminé, le serveur va révoquer (supprimer) la clé de session ;
Dans certains cas, l'administrateur du serveur peut avoir besoin de s'assurer que son serveur communique bien avec le bon utilisateur / poste informatique.
Pour cela, le client de l'utilisateur doit présenter au serveur un certificat SSL très spécifique (Personal Sign).
Ce certificat SSL est émis au nom d'une adresse e-mail, d'une société ou d'un service de cette société (service Comptabilité, Informatique ...).
Si l'identité que l'application envoie correspond à l'identité attendue par le serveur l'accès est autorisé. Il s'agit d'une authentification forte.
Quand est-il nécessaire d'utiliser une sécurité SSL / TLS ?
D'une manière générale, il est recommandé d'installer un certificat SSL et d'activer le chiffrement SSL / TLS dès que cela est possible. Tout particulièrement :
- Si des données confidentielles sont transmises entre l'utilisateur et le serveur ;
- En cas de phishing (ou par prévention) : Lorsque vos utilisateurs risquent d'être victime d'une attaque par "phishing" ;
- Sur un site e-commerce : Rassurez vos visiteurs concernant sur la sécurité des informations qu'ils vous confient ;
- Sur un site professionnel : Affichez clairement votre identité / marque avec un certificat SSL EV
- Sur un outil de messagerie : Chiffrez votre authentification ainsi que les e-mails envoyés et reçus ;
- Pour optimiser votre référencement SEO : Google a annoncé officiellement que le SSL était pris en compte dans les algorithmes.
- ...
Les cas de fuites de données se multipliant, les internautes ont davantage besoin d'être rassuré concernant le chiffrement de leurs données ;
Où acheter un certificat SSL au meilleur prix ?
Si vous souhaitez acheter un certificat SSL, nous vous recommandons Wistee.fr, pour de multiples raisons :
- Ils distribuent les certificats SSL des plus importantes Autorités de Certification : RapidSSL ; Thawte ; GeoTrust ; GlobalSign et Symantec
- Leurs tarifs sont largement inférieur aux tarifs Public (jusqu'à -45% du tarif Public)
- Ils connaissent parfaitement l'administration de serveurs et la sécurité SSL / TLS ;
- Ils peuvent s'occuper d'installer le certificat SSL sur votre serveur... Gratuitement et dans les règles de l'art !
Voici la liste des certificats SSL disposant du meilleur rapport qualité / prix :
Certificat SSL DV
https + cadenas de sécurité
1 seule adresse : www.example.com
25 € HT / an
Sous-domaine illimités : *.example.com
79 € HT / an
Certificat SSL OV
https + cadenas de sécurité
Emis au nom de l'entreprise / organisation
1 seule adresse : www.example.com
129 € HT / an
1 à 5 adresses : www.example.com + .fr ...
279 € HT / an
Sous-domaine illimités : *.example.com
389 € HT / an
Certificat SSL EV
https + cadenas de sécurité
Barre d'adresse URL verte + raison sociale
1 adresse : www.example.com
199 € HT / an
1 à 5 adresses : www.example.com + .fr ...
389 € HT / an
Pour obtenir de plus amples informations sur les certificats SSL, consultez notre documentation : Qu'est-ce qu'un certificat SSL ?