Les Français sont de plus en plus connectés : la moitié d’entre eux a l’habitude d’effectuer des achats en ligne, et ils sont 80 % à consulter leurs comptes bancaires depuis des interfaces web. Mais comment assurer la sécurité de leurs données personnelles ? La réponse, c’est le protocole SSL, permettant d’assurer la confidentialité des données échangées entre les internautes et les plateformes web. Voici 5 questions pour tout comprendre au sujet du fameux certificat SSL et de son successeur, le certificat TLS.

 

Le SSL, c’est quoi ?

Dans certificat SSL, il y a « SSL », abréviation de Secure Socket Layer. Il s’agit d’un protocole permettant de sécuriser les échanges entre un internaute et une plateforme (site web, serveur, application mobile) via le chiffrement des données. Ce protocole, inventé dans les années 90 par Netscape pour Mastercard dans le but de protéger les transactions effectuées en ligne, élimine les risques d’interception « en clair » des données par des personnes tierces. Les informations échangées sont donc cryptées et inaccessibles aux pirates informatiques.

Le protocole SSL a contribué à la sécurisation du web et au développement du commerce en ligne. Utilisé en grande partie pour sécuriser les données confidentielles et les coordonnées bancaires des internautes, et pour garantir leur intégrité, le SSL est également une méthode d’ « authentification forte ». À travers un certificat SSL, l’utilisateur peut s’assurer de l’identité du serveur avec lequel il communique.

Comment fonctionne un certificat SSL ?

Le certificat SSL est donc un certificat électronique qui intègre le protocole SSL. Il atteste du lien entre l’identité numérique et l’identité physique d’une personne ou d’une entreprise. Et garantit ainsi la confidentialité des données échangées entre le serveur et les internautes, par le biais d’une clé cryptographique.

Installé sur un serveur, le certificat SSL autorise des connexions sécurisées sur le navigateur. Celles-ci sont signalées par la présence du protocole HTTPS dans l’URL du serveur, et par l’affichage d’un cadenas de sécurité dans la barre d’adresse (à gauche ou à droite, en fonction des navigateurs).

Ce certificat de site web assure-t-il la sécurité des utilisateurs ?

Au départ, le certificat SSL est destiné à la sécurisation des données sensibles, essentiellement dans le cadre des paiements en ligne. Par la suite, le SSL s’est imposé comme la norme pour protéger l’accès aux comptes utilisateurs, l’envoi de documents dématérialisés ou les déclarations fiscales (entre autres). Même les réseaux sociaux ont adopté le protocole SSL : vous pouvez constater, en vous connectant sur Facebook, Twitter ou LinkedIn, que ces plateformes affichent bien le protocole HTTPS et le fameux cadenas.

Un certificat SSL permet ainsi de faire la distinction entre un site sécurisé et légitime, et un site mal protégé, voire malveillant, par exemple dans un cas de « phishing » (une forme d’attaque consistant à imiter une page web pour convaincre un internaute de livrer des informations confidentielles).

Toutefois, il ne faut pas oublier une chose : le SSL signifie que les données sont protégées par un chiffrement. Ce qui n’empêche nullement un pirate informatique d’acheter un certificat SSL à faible niveau de sécurité (un certificat DV, par exemple, est délivré au propriétaire d’un nom de domaine, sans plus de vérifications) afin d’afficher HTTPS et cadenas. Les données sont effectivement chiffrées, mais l’internaute n’est pas protégé pour autant.

Pour garantir une protection optimale, il est nécessaire d’installer un certificat SSL offrant un haut niveau de sécurisation, permettant de garantir l’identité de l’entreprise propriétaire et gestionnaire du site. C’est le cas des certificats à validation d’organisation ou à validation étendue.

 

Comment obtenir un certificat SSL ?

Un certificat SSL suppose une vérification préalable, dont la teneur est fonction du niveau de sécurisation demandée. Une entreprise qui souhaite adopter le protocole SSL doit s’adresser à une Autorité de Certification (AC), seule habilitée à fournir le certificat en question, de la même façon que seuls les services administratifs compétents sont en mesure de délivrer une carte d’identité ou un passeport. Les Autorités de Certification sont nombreuses, et CertEurope est l’une d’entre elles. Selon les AC, le niveau de fiabilité des procédures de vérification et d’émission des certificats diffère.
Notez qu’il est également possible de passer par des intermédiaires (les fournisseurs de certificats SSL) qui travaillent avec ces autorités.

Quelle différence entre un certificat SSL et un certificat TLS ?

Afin d’intégrer des algorithmes de chiffrement plus précis et plus robustes, et ainsi faire face aux évolutions des problématiques de sécurité, le SSL a connu des versions successives… Jusqu’à se transformer en TLS (Transport Layer Security).
Le protocole TLS est donc le successeur du SSL. L’arrivée du TLS en 1999 n’a pas mis au rebut les protocoles précédents (SSL 2.0 et 3.0), mais ceux-ci ont été progressivement désapprouvés par les autorités. Conséquence : un site web qui utilise un protocole trop ancien n’offre pas une expérience utilisateur sécurisée, et voit son préfixe HTTPS barré en guise d’avertissement aux internautes. Le TLS est donc le protocole en vigueur.
Pour autant, il faut savoir que protocole et certificat sont deux choses différentes – et indépendantes l’une de l’autre. Si le protocole TLS s’est imposé, on parle toujours de « SSL » par convention. Ce qui veut dire qu’un certificat SSL et un certificat TLS sont une seule et même chose.
Vous n’avez donc pas besoin de vous précipiter auprès de votre autorité compétente pour acheter un certificat TLS, dès lors que vous en possédez déjà un en version SSL !

 

++ Découvrez les certificats électroniques SSL Certeurope, Autorité de Certification

Hélène Toutchkov

Hélène Toutchkov
Content Manager