SSL et TLS, qu’est-ce que c’est ? Zoom sur ces deux protocoles de chiffrement
On n’insistera jamais assez sur l’importance de la sécurité en ligne. Avec toutes les cybermenaces qui pullulent sur internet, il faut être protégé à tout moment. Le chiffrement est une des mesures de sécurité les plus fiables. Chiffrer les communications entre votre ordinateur et les serveurs protège vos données des individus malveillants qui cherchent à intercepter des informations confidentielles.
Aujourd’hui, le protocole SSL/TSL est un des protocoles de chiffrement les plus fiables et les plus populaires. En combinant des technologies historiques et des techniques plus récentes, il garantit que personne ne peut voir les données que vous envoyez sur internet ou sur un réseau privé. Il empêche également les cybercriminels et les fournisseurs d’accès à internet (FAI) d’accéder à vos données.
Bien que le protocole SSL/TLS soit utilisé par tous les sites web et autres services internet sécurisés, la plupart des internautes ne savent pas vraiment comment il fonctionne. C’est pourquoi nous avons décidé de consacrer cet article à SSL (Secure Sockets Layer) et à TLS (Transport Layer Security), et de vous expliquer comment ces protocoles fonctionnent.
Qu’est-ce que SSL ?
SSL, ou Secure Sockets Layer, est un protocole de chiffrement développé par Netscape au milieu des années 1990. Il a été conçu pour chiffrer et sécuriser toutes les communications sur internet. Lorsque Netscape a conçu SSL 1.0, le protocole n’a pas été rendu public. La sortie de SSL 2.0 a été mouvementée : le protocole avait en effet des failles qui pouvaient sérieusement compromettre la sécurité des internautes. En 1996, Netscape a sorti SSL 3.0 ; en s’appuyant sur les leçons tirées des versions précédentes, la société a promis que son protocole serait plus fiable.
En 1999, une nouvelle version du protocole a vu le jour. Elle a été normalisée par l’IETF (Internet Engineering Task Force), et elle est désormais connue sous le nom de TLS, ou Transport Layer Security. Malgré ce changement officiel de nom, TLS est souvent appelé SSL.
SSL/TLS sont principalement utilisés pour sécuriser les communications entre les clients et les serveurs, les courriers électroniques, la VoIP et d’autres types de communications qui ont lieu sur des réseaux internet non sécurisés. La plupart des sites web utilisent SSL/TLS. Le protocole leur permet de sécuriser les mots de passe, les informations de paiement et d’autres données sensibles.
Comment fonctionne le chiffrement SSL/TLS ?
Les protocoles SSL/TLS reposent sur un procédé cryptographique à la fois asymétrique et symétrique, ce qui lui permet d’assurer la confidentialité et l’intégrité de la transmission des données. Le chiffrement asymétrique sert à établir une connexion sécurisée entre le client, qui envoie des demandes, et un serveur. Le chiffrement symétrique, quant à lui, permet d’échanger les données pendant les sessions sécurisées.
Pour que le chiffrement SSL/TLS puisse être mis en œuvre, le site web doit disposer d’un certificat SSL/TLS associé à son serveur web ou à son domaine. Une fois installé, le certificat permet au client et au serveur de négocier le chiffrement en suivant ces étapes :
- Le client essaie de connecter au serveur via une URL sécurisée. La façon la plus simple de savoir si un site web est sécurisé est de vérifier si une icône en forme de cadenas s’affiche dans la barre d’adresse de votre navigateur.
- Ensuite, le serveur envoie au client son dernier certificat et sa dernière clé publique.
- Le client vérifie alors la légitimité du certificat auprès d’une autorité de certification racine de confiance.
- Une fois que le certificat a été vérifié, le client et le serveur se concertent pour identifier quelle est la méthode de chiffrement la plus sûre qu’ils peuvent tous les deux prendre en charge.
- Ensuite, le client chiffre une clé de session secrète avec la clé publique du serveur, et il la renvoie au serveur.
- Du côté du serveur, la communication du client est chiffrée avec sa clé privée, et la session est établie.
- Le chiffrement symétrique (c’est-à-dire la clé de session) est utilisé pour chiffrer et déchiffrer les données qui circulent entre le client et le serveur.
Une fois toutes ces étapes effectuées, le client et le serveur utilisent tous les deux HTTPS (c’est-à-dire SSL/TLS + HTTP) pour communiquer. HTTPS fonctionne sur le port 443. Quand vous quittez le site web, les clés qui ont été créées pour votre session sont détruites. Une nouvelle liaison, ou « handshake », est établie à chaque fois que vous retournez sur le site web.
Qu’est-ce qu’un certificat SSL ?
Un certificat SSL est un fichier qui est installé sur les serveurs des sites web. Il s’agit d’un fichier de données qui contient la clé publique et l’identité des propriétaires du site, ainsi que d’autres informations. Quand un site n’a pas de certificat SSL, les données échangées ne sont pas chiffrées par TLS.
N’importe quel site web peut créer son propre certificat SSL : il s’agit en effet d’un certificat autosigné, qui n’est pas émis par une autorité de certification. L’inconvénient, c’est que la plupart des navigateurs internet considèrent que les certificats autosignés ne sont pas aussi fiables que les certifications SSL obtenues auprès d’une autorité de certification.
Quand le propriétaire d’un site internet obtient un certificat SSL auprès d’une autorité de certification, le certificat doit être installé sur un serveur. Les autorités de certification sont des organismes indépendants qui garantissent que le propriétaire d’un site internet est bien qui il dit être.
Pourquoi le chiffrement SSL/TLS est-il important pour la sécurité en ligne ?
Le chiffrement SSL/TLS est excellent pour sécuriser la transmission des données, parce qu’il renforce la confidentialité et l’intégrité de la transmission des données. Toutefois, de nos jours, les cybercriminels sont de plus en plus ingénieux et réussissent à chiffrer des charges utiles malveillantes pour piéger des internautes peu méfiants. C’est la raison pour laquelle le déchiffrement SSL/TLS est important pour les systèmes de détection et de prévention des intrusions comme IDS et IPS, les pare-feu de nouvelle génération, les passerelles web sécurisées (Secure Web Gateway, ou SWG), et d’autres outils qui doivent déchiffrer des données pour les inspecter.
Quelle est la différence entre HTTP et HTTPS ?
En deux mots, la différence entre HTTP et HTTPS, c’est le « S ». Le « S » de HTTPS signifie « sécurisé ». HTTPS, c’est donc l’alliance de HTTPS avec SSL/TLS. Les sites qui ont des adresses HTTPS disposent d’un certificat SSL qui leur a été délivré par une autorité de certification. Leur trafic est sécurisé et chiffré à l’aide du protocole SSL/TLS.
Comme nous l’avons dit plus haut, la plupart des navigateurs web considèrent les sites web HTTP comme étant « dangereux » ou « non sécurisés ». L’objectif, c’est de pousser tous les sites internet à utiliser SSL/TLS, pour mieux protéger les internautes. Le chiffrement SSL/TLS n’est donc pas seulement nécessaire pour la sécurité en ligne. Il est devenu un symbole de confiance pour les internautes et les propriétaires de sites internet.
Le mot de la fin
Protéger les données des internautes, cela demande beaucoup de travail. En général, ce sont des protocoles de chiffrement qui s’y collent. Ces protocoles peuvent être vus comme des séries d’instructions que les clients et les serveurs doivent suivre pour profiter de différents niveaux de chiffrement. Un des protocoles les plus répandus est le chiffrement SSL/TLS.
N’oubliez jamais que vous protéger est essentiel quand vous surfez sur le web. Un des meilleurs moyens de le faire est d’utiliser un bon VPN. Si vous ne savez pas lequel choisir, consultez notre page « Avis ». Vous y trouverez des présentations détaillées des VPN que nous avons testés. Notre préféré est ExpressVPN : nous vous le recommandons chaudement !