Qu’est-ce qu’un certificat SSL ?

Un certificat SSL (Secure Sockets Layer) est un certificat numérique que l’on associe à un nom de domaine ou une URL. Egalement nommé certificat TLS (Transport Layer Security), il permet d’établir avec certitude le lien entre le site internet et son propriétaire (entreprise, marchand ou individu). L’authentification du site Internet permet de sécuriser les échanges électroniques avec les utilisateurs qui s’y connectent via Internet.

Le Domain Name System est un service permettant de traduire un nom de domaine en informations, notamment en adresses IP du serveur hébergeant ce nom de domaine.

Un nom de domaine (DN) est l’identifiant d’un site internet (www.monsite.com par exemple).

Un sous-domaine est l’adresse internet d’une partie de votre site internet (par exemple mail.monsite.com)

Le certificat SSL permet d’instaurer la confiance :

  • en authentifiant un site
  • en chiffrant l’ensemble des informations (personnelles, bancaires, etc.) entre ce site et la personne qui s’y connecte. Il garantit ainsi la confidentialité des échanges.

Les visiteurs peuvent ainsi laisser en toute sécurité et confiance leur numéro de carte bancaire ainsi que des informations personnelles. Ce certificat SSL permet en outre de sécuriser les transactions en ligne ; les informations données par le client ne peuvent pas être interceptées, détournées ou déchiffrées par une autre personne.

 

Comment fonctionne un certificat SSL ?

Sur un plan technique, les identifications numériques ou certificats numériques permettent d’associer une clé publique à son véritable propriétaire. La clé publique du site permet l’échange d’une clé de session secrète ; celle-ci va chiffrer les informations transmises entre le client et ce site Internet. Elle permet également, via un module de contrôle d’intégrité inclus dans les fonctions de chiffrement, de vérifier que le message n’a pas été modifié au cours de son passage sur Internet.

L’Autorité de Certification, l’organisme qui délivre le certificat SSL, agit en quelque sorte comme une Préfecture ou une Mairie qui délivre des cartes d’identité ; Elle engage une série de vérifications selon des règles très strictes, afin d’établir avec certitude l’identité de l’entreprise et du serveur web ; l’Autorité de Certification émet alors le certificat SSL et le retourne à l’administrateur du site web certifié.

Votre certificat SSL, véritable passeport électronique de votre site web, contient les informations suivantes :

  • L’url du site à certifier (ex: www.monsite.fr)
  • Les coordonnées de votre entreprise
  • Votre clé publique (qui permet le chiffrement des informations)
  • Le nom de l’Autorité de Certification, qui émet ce passeport électronique
  • La date d’expiration de ce certificat SSL
  • La signature de l’Autorité de Certification

 

Pourquoi a-t-on besoin d’un certificat SSL ?

Les utilisateurs réalisent leurs transactions sur les sites qu’ils savent certifiés et sécurisés ; ils s’assurent ainsi que l’activité de l’entreprise est réelle et que les communications chiffrées, de manière à rester confidentielles.

Les certificats SSL permettent également de prouver l’identité du propriétaire du site web aux utilisateurs qui se connectent, et empêcher un site malveillant d’usurper l’identité de celui-ci et détourner ses clients ou visiteurs.

L’Autorité de certification s’engage sur une série de vérifications selon des règles très strictes, afin d’établir avec certitude l’identité d’une entreprise et de son serveur web. Le certificat SSL, une fois fabriqué, donnera aux clients les assurances suivantes :

  • La preuve de l’identité de l’entreprise : un passeport électronique unique est délivré pour un site Internet, assurant aux clients l’authenticité du site, permettant le chiffrement et garantissant ainsi la confidentialité des communications.
  • Une forte sécurité : reposant sur le modèle de chiffrement à « clé publique », dérivé des technologies militaires, les certificats SSL, procurent un très haut niveau de sécurité. La technologie de chiffrement SSL étant déjà implémentée sur un serveur, l’entreprise doit se procurer un certificat SSL.
  • Une utilisation simple : Transparence pour les clients

 

Qu’est-ce que le protocole SSL ?

Secure Socket Layer – SSL – est un protocole d’authentification et de chiffrement de sessions Internet, également appelé aujourd’hui Transport Layer Security – TLS.

Netscape a développé cette technologie. Tous les fabricants de matériels informatiques et les logiciels d’accès à l’Internet, en particulier, tous les serveurs web et navigateurs courants du marché ont aujourd’hui adopté ce standard.

Ce protocole permet les fonctions essentielles :

  • D’authentification du serveur web et, le cas échéant, des personnes qui s’y connectent
  • De chiffrement
  • De contrôle d’intégrité des données, afin de sécuriser les informations qui transitent sur internet

 

Qui utilise des certificats SSL ?

De plus en plus d’entreprises utilisent un certificat SSL afin de sécuriser leur site internet. Cela et de susciter la confiance de l’internaute.

Les premiers certificats déjà émis ont concerné en premier lieu :

  • Les sites de commerce électronique pour sécuriser les transactions de vente sur Internet
  • Les banques qui offrent à leurs clients un accès sécurisé à leurs informations (compte bancaire, portefeuille boursier, …)
  • Les administrations pour leurs échanges internes ou pour des applications de téléprocédures
  • Les sociétés industrielles qui sécurisent leurs intranets, extranets, applications EDI, …
  • Les services de messagerie web et les réseaux sociaux (Google, Yahoo, Facebook,…)

En effet, les certificats SSL servent notamment à :

  • Chiffrer des informations confidentielles et stratégiques :
    • envoyées par un client vers un site marchand (informations client, numéros de carte bancaire, etc.) ;
    • qu’une entreprise transmet à ses partenaires ou à ses employés distants connectés à Internet ;
    • présentes et les échanges sur l’intranet d’une entreprise ;
  • Sécuriser les échanges et les transactions sur les services de messagerie ;
  • Donner confiance aux utilisateurs connectés grâce à l’authentification et à l’exactitude du contenu des informations présentes : serveur d’informations, de banque, d’administration, d’intranet ou d’extranet, de vente en ligne, etc.

 

Les certificats SSL, plusieurs choix possibles :

En fonction de la configuration de vos serveurs web et de vos sites internet il existe plusieurs types de certificats:

Il existe 3 types de certificats SSL :

  • DV : “Domain validated” permet de sécuriser un site internet.
  • OV : “Organisation validated” sécurise le site internet institutionnel de votre organisation.
  • EV : “Extended validated” permet une sécurité renforcée de votre site par la présence d’une barre verte sur la ligne d’URL du browser
  • Certificat RGS* : Ce certificat s’adresse aux organisations du secteur public. Il respecte la norme RGS et est reconnu par l’administration française.

Les options Wilcard ou SAN : Si vous avez plusieurs noms de domaines à protéger vous avez la possibilité de choisir entre l’option Wildcard ou l’option SAN. Ces options vous permettent d’inclure dans un même certificat plusieurs noms de domaines.

L’option “wildcard” (*. avant votre nom de domaine) permet de sécuriser l’ensemble des sous domaines de votre site internet avec le même certificat.

Par exemple, si le nom de domaine est https://www.monsite.fr il est possible de positionner dans un certificat Wildcard les adresses URL suivantes :

  • https://intranet.monsite.fr
  • https://secure.monsite.fr
  • https://webmail.monsite.fr

L’option SAN (Subject Alternative Name) permet de sécuriser plusieurs noms de domaines différents appartenant à mon organisation.

Par exemple, si le nom de domaine est https://www.monsite.fr il est possible de positionner dans un même certificat les adresses suivantes :

  • https://www.monsite.com
  • https://www.monsite2.com

 

Quelle est la différence entre un certificat SSL DV et un certificat SSL OV ?

Les caractéristiques techniques du certificat restent les mêmes que ce soit pour un DV ou un OV ; à savoir un niveau de sécurité maximal de 256 bits avec une clé RSA de 2048 bits et un algorithme de hachage SHA-2.

La différence repose sur les vérifications effectuées par l’Autorité de Certification ; dans le cas d’un certificat SSL DV,  l’équipe de production dédiée vérifie que le demandeur de certificat est bien propriétaire du nom de domaine donné, à l’aide des informations figurant dans le WHOIS. Pour émettre un certificat SSL OV, l’équipe de production dédiée vérifie non seulement que le demandeur du certificat est bien propriétaire du nom de domaine mais également propriétaire de l’entreprise. L’entreprise doit figurer dans la base de données du registre du commerce correspondant. Qui plus est, le nom de l’entreprise apparaîtra dans l’intitulé même du certificat SSL OV.

 

Quelle est la différence entre un certificat SSL OV et un certificat SSL EV ?

Pour émettre un certificat SSL EV, l’équipe de production dédiée procède à un audit poussé de l’entreprise assurant ainsi le niveau de fiabilité le plus élevé. Le certificat SSL EV est en général utilisé par les leaders mondiaux du commerce électronique. Avec ce certificat, la barre de navigateur s’affiche en vert ce qui garantit une sécurité et une légitimité maximale pour un site. L’acquisition d’un certificat SSL EV n’est pas plus complexe qu’un certificat SSL OV. Il renforce néanmoins la confiance des internautes quant à la sécurité de votre site web, ce qui peut favoriser la hausse de vos ventes en ligne.

 

Que veut dire « clé de 256 ou de 2048 bits »?

Une clé est un nombre ou un couple de nombres. Le nombre de bits d’une clé correspond à la taille de la clé, c’est à dire la grandeur du nombre. Plus la taille d’une clé est importante, plus le niveau de sécurité est élevé.

Il y a deux types de clé, utilisable chacune pour un type d’algorithme bien précis : symétrique ou asymétrique.

Lorsque l’on parle de clés de 256 bits, il s’agit de « clés de session », symétriques, qui chiffrent les informations confidentielles selon un algorithme symétrique – les plus fréquents sont les algorithmes AES. On parle alors de « clé AES de 256 bits ».

Lorsque l’on parle de clés de 2048 bits, il s’agit de « clés de signature » ou de « clés de chiffrement de clés de session », utilisées par des algorithmes asymétriques – le plus fréquent est RSA. On parle alors de « clé RSA de 2048 bits ».

En effet, pour des raisons de performance, il est plus rapide de chiffrer un message avec une clé symétrique qu’avec une clé asymétrique de résistance comparable. Il faut donc pouvoir transmettre en toute confidentialité la clé symétrique à son interlocuteur ; la clé symétrique sert en effet à la fois au chiffrement et au déchiffrement du message. C’est au moyen de la clé publique du destinataire que la clé de session est chiffrée et transmise au destinataire en toute confidentialité. La sécurisation d’un site internet au moyen d’un certificat SSL devient alors essentielle et un incontournable du marché.

 

Qui délivre des certificats SSL ?

Un tiers de confiance certifié peut émettre un certificat. Acteur du développement de la confiance dans le monde numérique, il intervient dans la protection de l’identité, des documents, des transactions et de la mémoire numérique. Il engage sa responsabilité juridique dans les opérations qu’il effectue pour le compte de son client.

Les organismes qui produisent les certificats SSL sont appelés des Autorités de Certification (AC ou CA en anglais pour Certification Authority).

Hélène Toutchkov

Hélène Toutchkov
Content Manager