La sécurité de l'information sur le Web est l'une des principales préoccupations auxquelles les propriétaires de sites doivent accorder une attention particulière. Dans un monde où les cybermenaces se développent rapidement, ils doivent clairement comprendre comment prévenir la fuite de données ou protéger leur ressource contre l'accès par des tiers.
L'installation de certificats SSL est devenue une norme moderne pour la sécurité des sites. Cependant, un tel mécanisme de protection est relativement nouveau et difficile pour l'utilisateur lambda. Comprenons ce qu'est cette technologie et comment elle assure la sécurité des informations sur les ressources web.
Qu'est-ce qu'un certificat SSL ?
Avant d'expliquer pourquoi un site a besoin d'un certificat SSL, il convient de noter le concept du protocole SSL lui-même. Il s'agit d'un protocole cryptographique qui assure une transmission fiable des données sur le réseau. C'est la garantie d'une connexion sécurisée entre le navigateur de l'utilisateur et la ressource.
HTTP vs HTTPS
HTTPS a considérablement amélioré la sécurité des données HTTP. Si SSL est installé sur le site, toutes les données sont transmises via HTTPS, une version sécurisée du protocole HTTP. Il crypte les données de l'utilisateur et les transmet au propriétaire du site via le protocole de transport TCP. En d'autres termes, toutes les informations transmises par l'utilisateur sont cachées par cryptage aux tiers : opérateurs, administrateurs Wi-Fi et fournisseurs.
Fonctionnement du protocole SSL
Comme vous le savez, la base de toutes les méthodes d'encodage est une clé qui permet de crypter ou de lire des informations. Le protocole SSL utilise un chiffrement asymétrique avec deux types de clés :
- Publique. Il s'agit en fait d'un certificat SSL. Il crypte les données et est utilisé lors de la transmission des informations de l'utilisateur au serveur. Par exemple, un visiteur entre son numéro de carte bancaire sur le site et clique sur le bouton « Payer ».
- Privée. Nécessaire pour décoder le message sur le serveur. Elle n'est pas transmise avec les informations, comme c'est le cas avec la clé publique, et reste toujours sur le serveur.
- Pour qu'un site gère de telles connexions, son propriétaire a besoin d'un certificat SSL. Il s'agit d'une sorte de signature numérique, qui est individuelle pour chaque plateforme.
Que contient un certificat SSL
Un certificat SSL peut contenir les informations importantes suivantes :
- domaine du site sur lequel le certificat est installé ;
- nom du propriétaire de l'entreprise ;
- pays, ville d'enregistrement de l'entreprise ;
- période de validité du certificat SSL ;
- informations sur l'autorité de certification ;
- numéro de série du SSL ;
- éléments SAN (SSL multi-domaines) ;
- Certificats de confiance et non approuvés.
La principale source de certificats SSL est constituée par les autorités de certification de confiance (CA). Ce sont des organisations qui ont une autorité indéniable sur le marché des services informatiques et qui utilisent la clé cryptographique publique bien connue. Dans les navigateurs, leur liste se trouve généralement dans la section « Autorités de certification racine de confiance ».
Une signature numérique certifiée par un certificat d'un tel centre est une preuve de l'authenticité de la société qui possède le nom de domaine et détermine le droit du propriétaire à utiliser légalement la clé secrète. Elle est dite de confiance.
