Qu’est-ce que le SSL ou TLS ?
Le protocole SSL à l’origine
Le protocole SSL (Secure Socket Layer) a été créé en 1994 par NestScape (le leader des navigateurs Internet de l’époque) pour répondre à la préoccupation croissante quant à la sécurité du web. L’objectif de la firme était de créer un nouveau standard de communication sécurisé, consistant à chiffrer les données qui transitent entre un site et son visiteur. Il a été très vite adopté par les e-commerçants pour sécuriser les paiements en ligne et rapidement identifié par les acheteurs comme un gage de confiance avant de saisir leurs numéros de carte bancaire.
La norme SSL 2.0 a été utilisée à partir de 1995 et a été progressivement remplacée par le SSL 3.0, utilisé jusqu’en 2015. Cette dernière version a grandement inspiré son successeur la norme TLS.
La nouvelle norme TLS
A la dissolution de la société NestScape, le groupe IETF (Internet Engineering Task Force) à l’origine de la plupart des standards Internet, a repris le flambeau et amélioré le SSL le rebaptisant au passage TLS (Transport Security Layer). Cette nouvelle version a repris les caractéristiques du SSL 3.0 en améliorant les fonctions de hachage utilisées pour authentifier la signature électronique des certificats.
Le TLS est donc une évolution du SSL, mais ce dernier étant plus connu, l’ancien sigle reste largement utilisé dans le langage courant pour désigner un certificat TLS. Ce qui n’est pas complétement faux en soit, le TLS étant une évolution du SSL.
Quelle différence entre HTTPS et SSL ?
Connaissez-vous le modèle OSI (Open Systems Interconnection) ? Il s’agit du standard mondial de communication qui régit les communications entre les systèmes informatiques. Le modèle est structuré en 7 couches divisées en deux catégories, les couches basses (matérielles) et le couches hautes (logicielles). Voici comment la norme se décompose :
Modèle OSI Protocoles
7 – couche application HTTP, HTTPS, SMTP, FTP…
6 – couche de présentation TLS, SSL…
5 – couche de session TLS, SSL, SSH-user…
4 – couche de transport TCP, UDP…
3 – couche réseau IPv4, IPv6…
2 – couche de liaison Ethernet, 802.11 WiFi…
1 – couche physique Câble, fibre optique, ondes radio…
Le SSL se situe donc entre les couches transport et application, c’est-à-dire qu’il gère :
- La synchronisation des communications et la gestion des transactions : couche n°5 Session
- Le chiffrement et déchiffrement des données pour les rendre exploitables : couche n°6 Présentation
Le HTTPS quant à lui se situe au niveau de la couche n°7 Application. Il combine la sécurité du protocole SSL / TLS et le bien connu HTTP qui est LE protocole de communication du World Wide Web. C’est lui qui gère par exemple les adresses web (appelées URL), les envois et réceptions de données entre le visiteur et le site (GET et POST) et l’authentification par mot de passe. Il renvoie des informations au format HTML qui sont interprétées par le navigateur.
Le certificat SSL / TLS
Pour établir une connexion sécurisée de type TLS, le visiteur doit authentifier le site auquel il se connecte. Pour ce faire, le serveur doit héberger un certificat numérique, ce dernier peut être vu comme une carte d’identité électronique qui est utilisée pour authentifier le site et pour chiffrer les échanges de données.
Dans le cas qui nous occupe il doit répondre à la norme X.509 et être délivré par une autorité de certification qui fait office de tiers de confiance en attestant de l’identité du site.
Les autorités de certification sont des organismes référencés par les autorités de l’internet qui garantissent leur fiabilité. Ces organismes diffusent des clés publiques qui sont directement intégrées aux navigateurs.
Un certificat contient deux clés :
- Une clé publique ou certificat racine, qui permet d’authentifier l’autorité et de valider le certificat.
- Une clé privée qui est masquée et servira au chiffrement des échanges de données.
Il existe de nombreux types de certificats (gratuits ou payants) proposant différents types de services et garanties. Pour en savoir plus, lisez notre article « Les différents types de certificats SSL ».
Pour aller plus loin, voyons concrètement comment tout cela fonctionne.
Fonctionnement d’une connexion SSL / TLS dans les navigateurs en HTTPS
Voici les différentes étapes d’une connexion sécurisée en SSL / TLS entre un site web et un visiteur :
- Le navigateur envoie au site HTTPS une requête d’établissement d’une connexion sécurisée par TLS.
- Le site renvoie au navigateur son certificat, ce dernier contient sa clé publique, ses informations (nom de la société, adresse…) et une signature électronique chiffrée.
- Le navigateur essaye de déchiffrer la signature du certificat à l’aide des clés publiques des autorités de certifications connues enregistrées par défaut dans le navigateur.
- Si cela fonctionne, le navigateur identifie donc le nom de l’autorité de certification correspondant, vérifie que le certificat n’est pas expiré et envoie une demande à l’autorité afin de savoir si le certificat est toujours valide.
- Si aucune des clés publiques ne fonctionne, le navigateur utilise la clé publique contenue dans le certificat du site. Ce qui signifie que le site à lui-même signe son certificat. Un message d’avertissement peut donc apparaître afin de prévenir l’utilisateur que l’identité du site n’est pas certifiée par une autorité et qu’il court un risque potentiel
- Si le certificat est invalide, la connexion ne peut s’établir et un message d’erreur apparaît.
- Si la connexion est validée, le navigateur génère alors une clé de chiffrement symétrique à partir de la clé publique qui permet d’établir une session avec le serveur.
- Le serveur déchiffre alors cette clé de session grâce à sa clé privée. La connexion TLS est considérée comme établie et les donnes chiffrées peuvent commencer à transiter.
- Une fois la connexion interrompue ou expirée, le serveur révoque la clé de session.
Conclusion
Le succès du SSL réside dans sa grande simplicité d’utilisation pour l’utilisateur final. En effet tous les navigateurs sont compatibles et la communication se fait sans action préalable du visiteur, il est simplement informé par l’affichage d’un cadenas (généralement vert) situé dans la barre d’adresse. Cette indication est un gage de confiance identifié depuis longtemps par les visiteurs qui lui accordent beaucoup de crédit. Une étude anglaise réalisée par TNS PLC a révélé que 75% des visiteurs quittaient une boutique en ligne si elle n’était pas sécurisée.
Les méthode de chiffrement utilisées sont réputées comme solides et apportent une sécurité des échanges de données protégeant les mots de passe, les données d’un formulaire ou les coordonnées bancaires.
Cependant, bien que le SSL existe depuis les débuts de l’Internet, il est resté trop souvent cantonné aux plateformes de paiement alors que quantités de données personnelles transitent aujourd’hui sur les sites. Des géants comme Google l’ont bien compris et ont décidé de frapper fort, en avertissant les utilisateurs des navigateurs du danger qu’ils courent sur un site non sécurisé en SSL et en accordant un bonus de référencement aux sites HTTPS. Désormais le SSL a vocation à devenir la principale norme d’échange sur la toile.
[dt_button link=”/notre-offre/” target_blank=”false” button_alignment=”default” animation=”fadeIn” size=”medium” style=”default” bg_color_style=”custom” bg_color=”#333333″ bg_hover_color_style=”custom” bg_hover_color=”#444444″ text_color_style=”custom” text_color=”#ffffff” text_hover_color_style=”custom” text_hover_color=”#dddddd” icon=”fa fa-chevron-circle-right” icon_align=”left”]DECOUVRIR NOTRE OFFRE HTTPS[/dt_button]