Qu’est-ce que le SSL ?

Lorsque vous imaginez une transaction commerciale moyenne, que voyez-vous ? La file d’attente à la caisse de votre épicerie locale ? Ou peut-être le stand de limonade au bout de la rue ?

Selon toute vraisemblance, vous ne pensez probablement pas à un site Web. Et pourtant, les transactions numériques sont plus nombreuses que jamais. Les ventes mondiales du commerce électronique sont en passe de dépasser 8 000 milliards de dollars d’ici 2027, soit une augmentation de 42 % par rapport à 2023.

Voici le problème : Les transactions en ligne impliquent souvent que des informations sensibles transitent sur des appareils et des réseaux potentiellement non sécurisés. À leur tour, les interactions numériques doivent rester privées et sécurisées. Heureusement, c’est exactement ce que les certificats numériques et le protocole SSL (Secure Sockets Layer) sont censés faire.

Vous ne les connaissez pas ? Pas de soucis, nous sommes là pour vous mettre au courant. Poursuivez votre lecture pour en savoir plus sur la sécurité SSL, l’importance du chiffrement et comment choisir le certificat numérique adapté à votre organisation.

Qu’est-ce qu’un certificat Transport Layer Security (TLS) ?

Dans tous les cas, Transport Layer Security est le successeur moderne du protocole de sécurité SSL d’origine. Cependant, de nombreuses personnes utilisent encore le nom « SSL » alors qu’il s’agit en réalité de TLS. De nos jours, vous pouvez même voir une combinaison des acronymes : chiffrement SSL/TLS.

Cela dit, ils ne sont pas nécessairement interchangeables, car il existe une différence notable.

En termes simples, le chiffrement TLS est plus sécurisé que son prédécesseur. Il y a eu plusieurs versions de sécurité SSL au fil des ans, chacune présentant des vulnérabilités qui ont été révélées par la suite. C’est pourquoi SSL n’a pas été mis à jour depuis 1996 et est désormais considéré comme « obsolète ».

Ainsi, TLS est le protocole de sécurité par défaut sur le marché actuel, même s’il est encore communément appelé « SSL ». Transport Layer Security 1.3, la dernière itération, corrige de nombreuses faiblesses existantes des versions précédentes, ce qui en fait la connexion la plus sûre et la plus sécurisée disponible. Le National Institute of Standards in Technology (NIST) exige que tous les serveurs et clients TLS gouvernementaux prennent en charge TLS 1.2 et recommande aux agences d’adopter TLS 1.3 en 2024.

Que sont les certificats numériques ?

Un certificat numérique est un document électronique qui prouve l’authenticité d’un appareil, d’un serveur Web, d’un utilisateur ou d’une autre entité via la cryptographie et l’infrastructure à clé publique (PKI). Les certificats numériques sont des outils précieux pour aider les organisations à garantir que seules les entités de confiance accèdent à leurs réseaux.

Comme nous l’expliquerons, ils sont également couramment utilisés pour confirmer l’authenticité d’un site Web à un navigateur Web, permettant ainsi à SSL d’établir une connexion chiffrée. Ce type particulier de certificat est connu sous le nom de « certificat SSL » ou de « certificat TLS », mais nous y reviendrons plus tard.

En tant que propriétaire de site Web, les certificats SSL et TLS sont nécessaires pour protéger votre organisation, vos clients et vos employés contre les vecteurs de menaces de plus en plus audacieux qui mettent à l’épreuve la cybersécurité moderne. Les sites Web et les serveurs dépourvus de chiffrement sont susceptibles d’être attaqués. Cela signifie qu’un trésor de données sensibles pourrait être menacé.

En effet, la propriété d’un domaine de site Web ne doit pas être prise à la légère. Il existe plusieurs raisons de déployer un certificat SSL ou TLS :

• Sécurité des données : La sécurité SSL garantit que les informations sensibles ne sont pas accessibles aux utilisateurs non autorisés, mais uniquement aux destinataires prévus. Ceci est particulièrement important pour protéger les identifiants de connexion, les données financières, les informations personnelles et d’autres cibles de grande valeur.
• Résistance à l’hameçonnage : Les certificats numériques permettent également de prévenir certains types de cyberattaques, comme l’hameçonnage. Les pirates informatiques tentent généralement de tromper les victimes sans méfiance en les incitant à saisir leurs données sensibles sur un site web falsifié, les laissant croire qu’il est réel. Cependant, un certificat TLS peut authentifier le serveur Web, alertant les utilisateurs si le domaine est légitime ou non.
• Sécurité de l’identité : La sécurité SSL crypte les noms d’utilisateur, les mots de passe et les formulaires utilisés pour soumettre des informations personnelles, créant ainsi des expériences plus sûres pour vos clients.
• Fidélisation et conversion des clients : Les prospects qui visitent votre site Web sont plus susceptibles de finaliser un achat s’ils savent que le processus de paiement est protégé par une connexion sécurisée. La sécurité SSL peut vous éviter l’embarras d’une violation de données, dont on sait qu’elle fait fuir au moins 83 % des consommateurs.
• Classements des moteurs de recherche : Google punit en fait les sites sans certificat SSL en les signalant comme non sécurisés, ce qui peut avoir un impact négatif sur le classement d’optimisation des moteurs de recherche (SEO) et la visibilité du site Web.
• Conformité : Les exigences croissantes poussent les entreprises à prendre au sérieux les communications sécurisées. Par exemple, le Règlement Général sur la Protection des Données (RGPD) européen met en œuvre des normes strictes en matière de chiffrement. Les entreprises qui enfreignent les règles du RGPD sont soumises à une amende de 20 millions d’euros, ou 4 % du chiffre d’affaires annuel mondial de l’entreprise de l’exercice précédent, le montant le plus élevé étant retenu.

Il est clair que le chiffrement SSL est important, mais comment fonctionne SSL ? Entrons dans le vif du sujet et expliquons cela étape par étape.

De manière générale, le processus est le suivant :

1. Un navigateur ou un serveur tente de se connecter à un site Web (c’est-à-dire un serveur Web) de manière sécurisée avec SSL. Le client Web envoie un message au serveur pour lancer le processus.
2. En réponse, le site Web renvoie une copie de son certificat SSL appelé clé publique.
3. Le navigateur/serveur vérifie s’il fait confiance ou non au certificat SSL. Si tel est le cas, il crée et renvoie une clé privée chiffrée au site Web.
4. Le serveur Web reçoit et déchiffre la clé privée. Il crée ensuite une connexion chiffrée et renvoie le contenu au client.
5. Enfin, le client déchiffre le contenu et peut commencer la session en toute sécurité.

Ce processus est souvent appelé « poignée de main SSL ». Pourquoi ? Parce qu’il s’agit essentiellement d’un accord entre les deux parties, établissant une confiance mutuelle. En apparence, cela peut sembler une longue épreuve, mais cela se produit en réalité en quelques millisecondes. En fait, cela n’a pratiquement aucun impact sur l’expérience de l’utilisateur final.

Il est à noter que le protocole SSL ne peut être ajouté que par les sites Web disposant d’un certificat SSL ou TLS. Ces certificats agissent comme un badge qui authentifie et vérifie le propriétaire du site Web. Un aspect important du certificat TLS est la clé publique du site Web, un mécanisme qui rend le chiffrement possible.

Les appareils visualisent la clé publique et l’utilisent pour créer des clés de chiffrement sécurisées avec le serveur Web. En même temps, le serveur Web dispose d’une clé privée qui est toujours gardée secrète, car c’est elle qui est utilisée pour déchiffrer les données chiffrées par la clé publique.

Cela fait beaucoup de clés. Donc, pour résumer le tout, voici à nouveau ces définitions :

• Prise de contact SSL : Une négociation entre deux parties, normalement un navigateur/serveur et un serveur Web, qui établit une connexion sécurisée.
• Clé publique : Clé cryptographique utilisée pour chiffrer les messages destinés à un destinataire particulier, déchiffrable uniquement à l’aide d’un deuxième outil, à savoir la clé privée.
• Clé privée : Également connue sous le nom de clé secrète, elle est utilisée pour chiffrer et déchiffrer les données, démarrant ainsi une session sécurisée.

Les certificats numériques peuvent être répartis par type et niveau de validation. Examinons d’abord les trois principaux types de certificats SSL et TLS :

1. Domaine unique : Comme son nom l’indique, un certificat SSL à domaine unique s’applique à un seul site Web. Il ne peut pas être utilisé pour authentifier un autre domaine, y compris les sous-domaines du site web auquel il est délivré.
2. Wildcard : De même, un certificat Wildcard s’applique à un seul domaine, mais il peut également inclure ses sous-domaines. Ainsi, vous pouvez l’utiliser pour protéger les informations sensibles et authentifier tout ce qui se trouve sous le domaine général.
3. Multi-domaine : En revanche, un certificat SSL multi-domaine peut répertorier plusieurs domaines non liés sur un seul certificat SSL.

Les certificats numériques sont également dotés de différents niveaux de validation, qui sont utilisés par une Certificate Authority (CA) pour prouver la propriété du domaine. Ils existent sur un spectre allant de la validation minimale jusqu’à des vérifications rigoureuses des antécédents. Examinons chacun d’entre eux plus en détail :

Certificat SSL EV (Extended Validation)

La plupart des utilisateurs en ligne préfèrent les certificats SSL EV, car ils sont fournis avec la vérification la plus complète, qui comprend la vérification du domaine, ainsi que des vérifications croisées qui lient l’entité à un emplacement physique spécifique.

Ce type de vérification laisse une trace écrite détaillée offrant aux clients un recours en cas de fraude lors de transactions sur ce site Web.

Certificat SSL OV (Organization Validation)

Les domaines qui obtiennent un certificat OV sont soumis à un processus légèrement moins rigoureux. La CA contacte la personne ou l’entreprise qui demande le certificat, mais ne procède pas à une vérification complète des antécédents sur le sujet.

En plus de la propriété du domaine, l’entreprise est validée et les détails du certificat peuvent être consultés sur la plupart des principaux navigateurs Web, ce qui permet aux utilisateurs de déterminer si le site sur lequel ils se trouvent est légitime.

Certificat SSL DV (Domain Validation)

Un site Web sécurisé avec un certificat DV offre uniquement un cadenas verrouillé dans la barre d’adresse ; il n’affiche pas les détails de l’organisation, car ils n’existent pas. Ces certificats valident uniquement la propriété du domaine, peuvent être acquis de manière anonyme et ne lient pas un domaine à une personne, un lieu ou une entité.

Les certificats numériques sont de toutes formes et tailles, offrant différents niveaux de protection et d’assurance. Il est important de sélectionner le certificat SSL/TLS adapté aux besoins de votre entreprise, sinon vous risquez une exposition accrue à des attaques potentielles et à des violations de conformité.

Tout d’abord, considérez le niveau de validation requis de votre organisation. Votre secteur dispose-t-il de normes strictes en matière de protection des données et de chiffrement ? Quel type d’assurance vos clients cibles recherchent-ils ? Quel type d’informations personnelles collectez-vous ? Ces questions devraient vous mettre sur la bonne voie.

Ensuite, vous devrez sélectionner le type de certificat requis pour vos besoins spécifiques. Demandez-vous : Quelle est votre utilisation clé ? Avez-vous une requête de serveur Web standard ou une série de serveurs d’échange à couvrir ? Aurez-vous besoin d’un certificat multi-domaine ?

Vous hésitez encore ? Essayez notre outil de sélection de certificat SSL pour plus de conseils.

Acquérir votre certificat

Une fois que vous aurez affiné vos choix, vous devrez soumettre une demande de signature de certificat (CSR) à une Certificate Authority autorisée, telle qu’Entrust.

De plus, l’autorisation du propriétaire du domaine est requise pour chaque domaine inclus dans un certificat. Une CA ne peut pas traiter les demandes de certificat si le nom de domaine n’est pas enregistré auprès de l’entreprise requérante, de son organisation mère ou de l’une de ses filiales. Vous devrez fournir un numéro de téléphone professionnel et les coordonnées d’un haut dirigeant. Au total, voici ce dont vous aurez besoin :

• Informations de paiement valides
• Contact pour l’autorisation
• Contact technique
• Contact pour la facturation
• Une CSR achevée
• Une liste de tous les domaines

Chez Entrust, nous offrons un accès flexible et pratique à une large gamme de certificats SSL/TLS, vous permettant de faire le meilleur choix pour votre organisation.

Entrust est un membre fondateur du Conseil de sécurité de la Certificate Authority (CA) et du CA/Browser Forum. Nos experts en sécurité numérique contribuent activement au développement de normes industrielles pour TLS/SSL, le Document Signing, les certificats de signature de code et la gestion des certificats.

Plus qu’un simple leadership, nous offrons une équipe solide et un portefeuille de confiance de certificats numériques pour un large éventail d’exigences des entreprises. Avec la plateforme de certificats primée d’Entrust, voici ce dont vous bénéficiez :

• Assistance primée
• Compatibilité avec les navigateurs universels
• Rééditions illimitées
• Licences serveur illimitées
• Chiffrement 128-256 bits
• Tous les certificats Entrust Advantage sont conformes à l’infrastructure à clé publique (PKI) internationale x.509 largement acceptée.