Catégories
Astuces et Design

Qu'est-ce que SSL et quel type de certificat vous convient – SitePoint

Cet article a été créé en partenariat avec GoGetSSL. Merci de soutenir les partenaires qui rendent SitePoint possible.

Au cours de la dernière décennie, le taux de cybercriminalité a fortement augmenté. Déjà, de nombreuses organisations commerciales et agences gouvernementales réputées qui n'ont pas mis en place une sécurité en ligne suffisante ont été prises avec leur pantalon baissé. Google a commencé à prendre fermement position contre les sites Web qui n'utilisent pas HTTPS. Les visiteurs du site Web seront informés s'ils sont sur le point de soumettre des informations via une connexion non sécurisée.

Dans cet article, vous apprendrez à protéger vos clients et votre entreprise contre les atteintes à la vie privée et le vol de données. Vous apprendrez à utiliser la technologie SSL pour sécuriser vos sites Web et vos applications contre les fuites de données sensibles vers les écoutes.

Je ne pourrai pas vous montrer comment installer SSL, car c'est un sujet avancé. Vous pouvez trouver plus d'informations sur le processus d'installation ici.

Fonctionnement de SSL en anglais simple

Imaginez que vous êtes dans votre chambre d'hôtel, sur votre ordinateur portable, connecté au WIFI de l'hôtel. Vous êtes sur le point de vous connecter au portail en ligne de votre banque. Pendant ce temps, un pirate infâme a habilement réservé une chambre à côté de la vôtre et a mis en place un poste de travail simple qui écoute tout le trafic réseau dans le bâtiment de l'hôtel. Tout le trafic utilisant le protocole HTTP peut être vu par le pirate en texte brut.

En supposant que le site Web de la banque utilise uniquement HTTP, les détails du formulaire tels que le nom d'utilisateur et le mot de passe seront visibles par le pirate dès que vous appuyez sur Soumettre. Alors, comment protégeons-nous ces données? La réponse est évidemment le cryptage. Le chiffrement des données implique la conversion de données en texte brut en quelque chose qui semble tronqué – c'est-à-dire des données chiffrées. Pour chiffrer des données en texte brut, vous avez besoin de ce qu'on appelle un algorithme de chiffrement et une clé de chiffrement.

Supposons que vous deviez crypter les données suivantes:

Come on over for hot dogs and soda!

Il ressemblera à quelque chose comme ceci sous forme cryptée:

wUwDPglyJu9LOnkBAf4vxSpQgQZltcz7LWwEquhdm5kSQIkQlZtfxtSTsmaw
q6gVH8SimlC3W6TDOhhL2FdgvdIC7sDv7G1Z7pCNzFLp0lgB9ACm8r5RZOBi
N5ske9cBVjlVfgmQ9VpFzSwzLLODhCU7/2THg2iDrW3NGQZfz3SSWviwCe7G
mNIvp5jEkGPCGcla4Fgdp/xuyewPk6NDlBewftLtHJVf
=PAb3

Le décryptage du message ci-dessus sans la clé de chiffrement peut prendre plus d'une vie en utilisant la puissance de calcul actuelle. Personne ne peut le lire à moins d'avoir la clé de chiffrement utilisée pour le chiffrer. Ce type de chiffrement est appelé chiffrement symétrique. Maintenant que nous avons compris comment protéger les données, nous avons besoin d'un moyen sûr de transmettre la clé de chiffrement au destinataire du message en toute sécurité. Nous pouvons le faire en utilisant un système de cryptage asymétrique appelé cryptographie à clé publique.

La cryptographie à clé publique utilise une paire de clés de chiffrement liées mathématiquement:

  • Clé publique: peut être partagé en toute sécurité avec n'importe qui
  • Clé privée: ne doit jamais être transmis, stocké en secret

Lorsqu'une clé est utilisée pour chiffrer, l'autre est utilisée pour déchiffrer. La même clé ne peut pas être utilisée pour déchiffrer ce qu'elle a chiffré. Voici une description de son fonctionnement:

algorithme de clé publique

Cependant, nous ne pouvons faire confiance à aucune clé publique qui nous a été délivrée car elle peut être générée par n'importe qui. Pour garantir l'authenticité des clés publiques, elles doivent être regroupées dans ce que l'on appelle un certificat SSL. Il s'agit d'un fichier numérique signé qui contient les informations suivantes:

  • Nom du sujet: nom de la personne, de l'organisation ou de la machine
  • Clé publique
  • Signature numérique (empreinte digitale du certificat)
  • Émetteur (l'entité qui a signé le certificat)
  • Dates valides (début et expiration)

J'ai seulement énuméré les nécessités. Les certificats SSL contiennent généralement plus d'informations. Voici un exemple concret:

Exemple de certificat SSL

Comme vous pouvez le voir, le certificat ci-dessus a été signé (voir la section des miniatures). Une signature numérique est simplement un hachage chiffré d'un fichier. Expliquons d'abord ce qu'est un hachage. Supposons que vous ayez un document de 100 mots et que vous l'exécutiez via un programme de hachage. Vous obtiendrez le hachage suivant:

46798b5cfca45c46a84b7419f8b74735

Si vous modifiez quoi que ce soit dans le document, même s'il ajoute un point final unique, un hachage complètement nouveau sera généré lorsque vous exécuterez à nouveau la fonction de hachage:

bc527343c7ffc103111f3a694b004e2f

Un décalage dans le hachage entre le hachage envoyé et celui généré signifie que le fichier a été modifié. Il s'agit de la première ligne de défense permettant de garantir qu'aucun certificat SSL n'a été modifié. Cependant, nous devons vérifier que le hachage envoyé a été créé par l'émetteur du certificat. Cela se fait en chiffrant le hachage à l'aide de la clé privée de l'émetteur. Lorsque nous effectuons un hachage local du certificat, puis décryptons la signature du certificat pour obtenir le hachage envoyé, nous pouvons comparer les deux. S'il y a une correspondance, cela signifie:

  • le certificat n'a pas été modifié par quelqu'un d'autre
  • nous avons la preuve que le certificat provient de l'émetteur, car nous avons réussi à déchiffrer la signature à l'aide de leur clé publique
  • nous pouvons faire confiance à l'authenticité de la clé publique attachée dans le certificat SSL.

vérification de la signature

Maintenant, vous vous demandez peut-être où nous obtenons la clé publique de l'émetteur et pourquoi nous devons lui faire confiance. Eh bien, la clé publique de l'émetteur est déjà préinstallée dans nos systèmes d'exploitation et navigateurs. Un émetteur est une autorité de certification (CA) de confiance qui signe les certificats conformément aux directives officielles du CA / Browser Forum et aux recommandations du NIST. Par exemple, voici une liste d'émetteurs / autorités de certification de confiance que vous trouverez sur le système d'exploitation de Microsoft. Même les smartphones et les tablettes ont une liste similaire préinstallée sur le système d'exploitation et le navigateur.

Selon une enquête menée par W3Techs en mai 2018, les émetteurs suivants représentent environ 90% des certificats valides signés dans le monde:

  • IdenTrust
  • Comodo
  • DigiCert (acquis par Symantec)
  • Allez papa
  • GlobalSign

Maintenant que vous comprenez le chiffrement et la technologie SSL, il est préférable de voir comment vous pouvez vous connecter en toute sécurité au portail de votre banque en utilisant HTTPS sans que le pirate d'à côté ne lise votre trafic.

  1. Le navigateur de votre ordinateur portable commence par demander aux serveurs de la banque son certificat SSL.
  2. Le serveur l'envoie. Ensuite, le navigateur vérifie que le certificat est authentique par rapport à une liste d'autorités de certification de confiance. Il vérifie également qu'il n'a pas expiré et qu'il n'a pas été révoqué.
  3. Si tout est vérifié, le navigateur génère un nouveau clé de chiffrement (également appelé clé de session). À l'aide de la clé publique trouvée sur le certificat SSL, il est chiffré puis envoyé au serveur.
  4. Le serveur déchiffre la clé de session à l'aide de sa clé privée.
  5. Désormais, toutes les communications envoyées dans les deux sens seront cryptées à l'aide de la clé de session. Le chiffrement symétrique est plus rapide qu'asymétrique.

Cela signifie que les données du formulaire provenant de l'ordinateur portable et les données HTML provenant du serveur seront cryptées à l'aide d'une clé de chiffrement à laquelle le pirate n'aura pas accès. Tout ce qui sera vu dans les journaux de trafic capturés sera des lettres et des chiffres tronqués. Vos informations sont désormais protégées et privées des regards indiscrets.

Maintenant que vous comprenez le fonctionnement de SSL en général, passons à la section suivante et examinons les différents types de certificats SSL que nous pouvons utiliser.

Types de SSL

Certificats SSL de validation de domaine

La validation de domaine est le type de certificat SSL le plus abordable et le plus courant qui peut être délivré à quiconque pour protéger les sites Web du domaine public. Pour acheter ce type de certificat SSL, vous devez prouver que vous êtes le propriétaire du domaine que vous souhaitez protéger. C'est pourquoi cela s'appelle la validation de domaine. Cela se fait par une ou plusieurs des manières suivantes:

  • création d'un enregistrement DNS TXT
  • répondre à un e-mail envoyé au contact e-mail enregistré dans les enregistrements whois du domaine
  • répondre à un e-mail envoyé à un contact administratif bien connu de votre domaine, tel queadmin@domain.com
  • publier un nonce fourni par un système d'émission automatique de certificats

Google Chrome est actuellement le navigateur Web le plus populaire avec environ 70% de part de marché mondiale des navigateurs de bureau, en septembre 2019. Google a récemment intensifié sa position sur l'application de protocoles de sécurité aux propriétaires de sites Web pour garantir la confidentialité de l'utilisateur final. Les sites Web qui ne sont pas protégés sont marqués comme non sécurisés. Les utilisateurs sont également fortement découragés s'ils essaient de soumettre un formulaire à un site Web non protégé. Si le site Web a un certificat SSL expiré ou invalide, le site sera temporairement bloqué.

Si vous ne voulez pas perdre de trafic important car votre site Web n'est pas protégé, vous devez vous assurer d'acquérir au moins un certificat SSL de validation de domaine. Il ne faut que 5 à 8 minutes pour en obtenir un.

IP publique San SSL

Les certificats SSL sont généralement émis pour protéger un nom de domaine complet – tel que www.domain.com. Si vous souhaitez protéger une adresse IP publique, vous devrez acquérir un certificat SSL SAN IP public. SAN signifie Subjective Alternative Name, qui est un champ du champ de certificat qui peut être utilisé pour contenir l'adresse IP.

SSL générique

Un certificat SSL normal ne s'applique qu'à un seul domaine – tel que www.domain.com. Si vous souhaitez protéger un sous-domaine, vous devrez acheter un nouveau certificat SSL pour celui-ci. Au lieu d'acheter un nouveau certificat SSL pour chaque sous-domaine que vous gérez, vous pouvez simplement acheter un certificat SSL Wildcard, qui s'appliquera à vos sous-domaines, c'est-à-dire *.domain.com. C'est plus rentable que d'acheter plusieurs certificats SSL. Il est également plus facile d'administrer à l'aide d'un seul certificat SSL.

Cependant, si un sous-domaine est compromis, cela signifie que tous les sous-domaines utilisant le même certificat sont compromis. Vous devrez le révoquer et demander un nouveau certificat. Vous pouvez également en acheter un séparément si vous ne rencontrez pas ce type de problème.

Certificats SSL multi-domaines

Comme son nom l'indique, vous pouvez acheter un certificat SSL multi-domaine, qui offre une protection pour jusqu'à 250 domaines et sous-domaines. Ce type de certificat est particulièrement utile pour protéger des centaines de serveurs de communication de bureau qui peuvent s'étendre sur différentes régions géographiques. Même si le trafic est limité à l'intérieur d'un réseau d'entreprise, il est préférable de le protéger également en utilisant SSL, car il est facile pour un employé voyou de surveiller et de consigner le trafic de tout le monde.

Vérification commerciale plus rapide avec le code LEI

Depuis 2019, il est possible de vérifier les organisations à l'aide d'un code LEI (Legal Entity Identifier) ​​à l'échelle mondiale. Cela simplifie et accélère considérablement le processus de vérification. Les entreprises peuvent recevoir un code LEI via les agents d'enregistrement officiels de la GLEIF.

L'identifiant d'entité juridique (LEI) est un code unique permettant d'identifier toute entreprise du monde entier participant à des transactions financières. Le processus est effectué conformément à la norme internationale ISO 17442. L'objectif est d'aider à surveiller et à mesurer le risque systémique, et à soutenir efficacement et à peu de frais la conformité aux exigences réglementaires en matière de rapports.

Sommaire

J'espère que vous avez maintenant suffisamment d'informations pour décider quel certificat SSL acheter. Notez que les certificats SSL ne sont valables que deux ans. Il s'agit d'une fonction de sécurité pour garantir que les informations sur les certificats sont mises à jour. Il garantit également qu'aucune clé égarée n'est utilisée pour infiltrer le trafic. Les certificats SSL gratuits sont généralement valables pendant 90 jours. Si vous voulez vous assurer de ne pas oublier d'acheter un renouvellement, vous pouvez obtenir un plan d'abonnement de 3 ou 4 ans. Veuillez noter que le taux limite de deux ans s'applique. Vous serez contacté vers la fin de la date d'expiration pour remplacer le certificat par un nouveau. L'avantage de choisir un plan d'abonnement plus long est que vous économisez de l'argent au lieu d'acheter chaque année.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *