Au vu de l'accroissement du commerce électronique en ligne, il apparaît évident que le SSL est devenu indispensable à la sécurité des informations transitant sur la toile.
Les protocoles SSL sont d'ailleurs utilisés chaque jour de manière totalement transparente, c'est à dire qu'ils s'activent sans requérir aucune démarche de la part de leurs utilisateurs.
△ Attention : Le SSL ne se limite pas à ce seul secteur. Il est également indispensable pour sécuriser les flux de type : Cloud computing, accès Saas, connexion de type login/mot de passe, intranet, webmail, CRM, transfert ftps...
Qu'est-ce que c'est ? Comment ça fonctionne ?
Développé par Netscape, le SSL (Secure Socket Layer) ou TLS (Transport Layer Security), est un protocole de sécurisation des échanges de données sur Internet.
Il a plusieurs missions :
Le protocole SSL crée un canal de communication entre le client et le serveur indépendamment du protocole utilisé, il sécurise ainsi les transactions sur le web (protocole HTTP) ou les connexions via protocole FTP, IMAP ou POP.
Ce canal de communication est un tunnel opaque qui empèche quiquonque de voir ce qui y transite.
De manière schématique :
Il fonctionne sur l'établissement de clés privées et publiques qui s'apparentent à l'utilisation d'une serrure et de sa clé :
La clé privée est enregistrée sur le serveur.
La clé publique, connue de tous, crypte les données à envoyer, qui, une fois réceptionnées par le serveur, sont décryptées au moyen de la clé privée.
Le certificat SSL fait office de carte d'identité numérique et a donc pour but d'identifier de manière fiable le détenteur d'un serveur, d'un site Internet ou d'une adresse électronique entre autres.
Il est délivré par un tiers de confiance aussi appelé Authorité de certification, tel que Thawte, qui atteste, après audit, de l'identité du détenteur du certificat.
Pour activer la sécurité SSL (dans le cadre du e-commerce par exemple) il est indispensable de posséder un certificat SSL serveur.
Le certificat serveur contient différentes informations :
En clair, quand vous êtes sur un site Internet, apparaissent sur la barre d'adresse, des informations concernant le site en question.
Exemple sur Firefox 3 :
Firefox 3 distingue 5 types de sites selons les informations qu'ils délivrent. A chacun de ces sites correspond un avertissement :