Certificat SSL : Qu’est-ce que c’est et pourquoi l’utiliser ?

Vous avez peut-être déjà remarqué que certains URLs commencent avec http:// et d’autres avec https://, avec un « s » supplémentaire. Qu’est-ce que veut dire ce « s » et à quoi sert-il ?

Mis simplement le « s » indique que votre connexion au site sur lequel vous naviguez est sécurisée et encryptée et que toutes données partagées avec ce site est partagé de manière sécurisée.

La technologie derrière cette sécurisation et ce petit « s » est nommé SSL, Secure Sockets Layer en anglais. Qu’est-ce que c’est et comment ça marche ? Nous vous expliquons tout cela dans ce post.

Définition.

Un certificat SSL est un fichier de données qui lie une clé cryptographique aux informations d’une organisation. Installé sur un serveur, le certificat active le cadenas et le protocole « https », afin d’assurer une connexion sécurisée entre le serveur web et le navigateur.

Comment fonctionne un certificat SSL ?

Les certificats SSL utilisent ce qu’on appelle la cryptographie à clé publique.

Ce type de cryptographie exploite la puissance de deux clés qui sont de longues chaînes de nombres générés de manière aléatoire. L’une est appelée clé privée et l’autre clé publique. Une clé publique est connue de votre serveur et disponible dans le domaine public. Elle peut être utilisée pour chiffrer n’importe quel message.

Ces clés sont utilisées dans un processus invisible à l’utilisateur, appelé « négociation SSL » qui prend place en quatre étapes.

  1. Le serveur envoie une copie de sa clé publique asymétrique au navigateur.

  2. Le navigateur crée une clé de session asymétrique et la crypte avec la clé publique asymétrique du serveur, puis l’envoie au serveur.

  3. Le serveur décrypte la clé de session cryptée à l’aide de sa clé privée asymétrique pour obtenir la clé de session symétrique.

  4. Le serveur et le navigateur cryptent et décryptent alors toutes les données transmises avec la clé de session symétrique. Cela permet de sécuriser le canal, car seul le navigateur et le serveur connaissent la clé de session symétrique, et la clé de session n’est utilisée que pour cette session particulière. Si le navigateur se connectait au même serveur le lendemain, une nouvelle clé de session serait créée.

Les différents types de certificats SSL.

Afin que des certificats SSL soient considérés comme fiables, ils doivent être émis par des entreprises reconnues en tant qu’Autorité de Certification de confiance (AC). Mais parmi les certificats SSL, il existe aussi différents niveaux de validation et de sécurité :

Les certificats à validation de domaine (DV).

Les certificats à validation de domaine sont le niveau de validation le plus bas et l’Autorité de Certification de confiance vérifie uniquement que celui qui demande le certificat contrôle le domaine qu’il protège.

Les certificats à validation de l’organisation (OV).

L’AC vérifie l’identité de l’organisation (par exemple, une entreprise, une organisation à but non-lucratif ou gouvernementale) du demandeur du certificat.

Les certificats à validation de l’individu (IV).

L’AC vérifie l’identité de la personne qui demande le certificat.

Les certificats à validation étendue (EV).

Comme pour les certificats à validation de l’organisation (OV), l’AC vérifie l’identité d’une organisation. Cependant, les certificats à validation étendue offrent un niveau de confiance plus élevé que les OV puisqu’ils nécessitent des contrôles de validation plus rigoureux pour répondre à la norme Extend de l’Autorité de Certification de confiance.

Pourquoi utiliser un certificat SSL ?

Les certificats SSL sécurisent et protègent les informations des internautes telles que les informations relatives aux cartes de crédit, les informations de connexion (nom d’utilisateur et mot de passe) mais au-delà de ça, ils permettent également de :

Comment installer un certificat SSL ?

Dans un premier temps, cherchez à déterminer quel type de certificat vous aurez besoin. Si, par exemple, vous hébergé du contenu sur multiples plateformes, il se peut que vous ayez besoin de différents certificats SSL.

Dans la plupart des cas, un certificat SSL standard (DV) suffira, mais pour certains cas particuliers dans des secteurs très régulés, comme dans la finance ou les assurances, il se peut qu’un certificat SSL spécifique soit nécessaire.

Le coût de ces certificats varie également, mais il est également possible de s’en procurer gratuitement comme avec Let’s Encrypt, mais mieux vaut en discuter avec un expert qui saura aviser selon les technicités de votre site et de vos réglages DNS.

Écrit par

Fondateur et gérant de Ctrl Marketing. Mes blogs portent essentiellement autour de sujets webmarketing, SEO et tout ce qui touche au digital.