SSL (Secure Sockets Layer) et son successeur, TLS (Sécurité de la couche de transport), sont des protocoles permettant d'établir des liens authentifiés et chiffrés entre des ordinateurs en réseau. Bien que le protocole SSL soit obsolète avec la sortie de TLS 1.0 en 1999, il est encore courant de se référer à ces technologies associées comme «SSL» ou «SSL /TLS. » La version la plus récente est TLS 1.3, défini dans RFC 8446 (Août 2018).
Lisez la suite pour en savoir plus sur:
- Foire aux questions sur SSL /TLS
- Clés, certificats et poignées de main
- SSL /TLS et navigation Web sécurisée
- Obtention d'un SSL /TLS Certificat
Ou, pour une introduction rapide de TL; DR à SSL, sautez simplement pour regarder un court vidéo.
FAQ
SSL (Secure Sockets Layer) et son successeur, TLS (Sécurité de la couche de transport), sont des protocoles permettant d'établir des liens authentifiés et chiffrés entre des ordinateurs en réseau. Bien que le protocole SSL soit obsolète avec la sortie de TLS 1.0 en 1999, il est encore courant de se référer à ces technologies associées comme «SSL» ou «SSL /TLS. »
An certificat SSL (également appelé TLS ou SSL /TLS certificat) est un document numérique qui lie l'identité d'un site Web à une paire de clés cryptographiques constituée d'une clé publique et d'une clé privée. La clé publique, incluse dans le certificat, permet à un navigateur Web de initier une session de communication cryptée avec un serveur Web via le TLS et HTTPS protocoles. La clé privée est sécurisée sur le serveur et est utilisée pour signer numériquement des pages Web et d'autres documents (tels que des images et des fichiers JavaScript).
Un certificat SSL comprend également des informations d'identification sur un site Web, y compris son nom de domaine et, éventuellement, des informations d'identification sur le propriétaire du site. Si le certificat SSL du serveur Web est signé par une autorité de certification (CA) de confiance publique, comme SSL.com, le contenu signé numériquement du serveur sera approuvé par les navigateurs Web et les systèmes d'exploitation des utilisateurs finaux comme étant authentique.
Un certificat SSL est un type de Certificat X.509.
TLS (Sécurité de la couche de transport), sorti en 1999, est le successeur du SSL (Secure Sockets Layer) protocole d'authentification et de cryptage. TLS 1.3 est défini dans RFC 8446 (Août 2018).
À un moment donné, il était obligatoire d'avoir une adresse IP dédiée pour chaque certificat SSL sur un serveur Web. Ce n'est plus le cas grâce à une technologie appelée Server Name Indication (SNI). Votre plateforme d'hébergement devra spécifiquement prendre en charge SNI. Vous pouvez trouver plus d'informations sur SNI dans ce Article SSL.com.
Pour une compatibilité maximale, port 443
est le port standard, donc recommandé, utilisé pour le SSL sécurisé /TLS les communications. Cependant, n'importe quel port peut être utilisé.
TLS 1.3, défini en août 2018 par RFC 8446, est la version la plus récente de SSL /TLS. TLS 1.2 (RFC 5246) a été défini en août 2008 et reste également largement utilisé. Versions de SSL /TLS antérieurement à TLS 1.2 sont considérés comme non sécurisés et ne doivent plus être utilisés.
TLS les versions 1.0 et 1.1 sont affectées par un grand nombre de vulnérabilités de protocole et d'implémentation qui ont été publiées par des chercheurs en sécurité au cours des deux dernières décennies. Attaques comme ROBOT affecté l'algorithme d'échange de clés RSA, tandis que Embouteillage et DH faible a montré que beaucoup TLS les serveurs pourraient être amenés à utiliser des paramètres incorrects pour d'autres méthodes d'échange de clés. Compromettre un échange de clés permet aux attaquants de compromettre complètement la sécurité du réseau et de décrypter les conversations.
Attaques contre des chiffres symétriques, tels que BEAST or Lucky13, ont démontré que divers chiffres pris en charge dans TLS 1.2 et versions antérieures, avec des exemples comprenant RC4 or Mode CBC chiffres, ne sont pas sécurisés.
Même les signatures ont été touchées, Falsification de la signature RSA de Bleichenbacher attaque et autres attaques de rembourrage similaires.
La plupart de ces attaques ont été atténuées dans TLS 1.2 (à condition que TLS les instances sont configurées correctement), même si TLS 1.2 est toujours vulnérable à attaques de rétrogradation tels que POODLE, FREAK, ou Échange de courbe. Cela est dû au fait que toutes les versions du TLS protocole antérieur à 1.3 ne protège pas la négociation de prise de contact (qui décide de la version du protocole qui sera utilisée tout au long de l'échange).
Clés, certificats et poignées de main
SSL /TLS fonctionne en liant les identités d'entités telles que les sites Web et les entreprises à la cryptographie paires de clés via des documents numériques appelés Certificats X.509. Chaque paire de clés se compose d'un Clé privée et Clé publique. La clé privée est sécurisée et la clé publique peut être largement diffusée via un certificat.
La relation mathématique spéciale entre les clés privées et publiques dans une paire signifie qu'il est possible d'utiliser la clé publique pour crypter un message qui ne peut être décrypté qu'avec la clé privée. De plus, le détenteur de la clé privée peut l’utiliser pour signer d'autres documents numériques (tels que des pages Web) et toute personne disposant de la clé publique peut vérifier cette signature.
Si le SSL /TLS le certificat lui-même est signé par un autorité de certification (CA) de confiance publique tels que SSL.com, le certificat sera implicitement approuvé par les logiciels clients tels que les navigateurs Web et les systèmes d'exploitation. Les autorités de certification de confiance publique ont été approuvées par les principaux fournisseurs de logiciels pour valider les identités qui seront fiables sur leurs plates-formes. Les procédures de validation et d'émission de certificats d'une autorité de certification publique sont soumises à des audits réguliers et rigoureux pour maintenir ce statut de confiance.
Via l' SSL /TLS poignée de main, les clés privées et publiques peuvent être utilisées avec un certificat de confiance public pour négocier une session de communication chiffrée et authentifiée sur Internet, même entre deux parties qui ne se sont jamais rencontrées. Ce simple fait est le fondement de la navigation Web sécurisée et du commerce électronique, comme on l'appelle aujourd'hui.
SSL /TLS et navigation Web sécurisée
L'utilisation la plus courante et la plus connue de SSL /TLS est la navigation Web sécurisée via le HTTPS protocole. Un site Web public HTTPS correctement configuré comprend un SSL /TLS certificat signé par une autorité de certification de confiance publique. Les utilisateurs visitant un site Web HTTPS peuvent être assurés de:
- Authenticité. Le serveur présentant le certificat est en possession de la clé privée qui correspond à la clé publique du certificat.
- Intégrité. DOCUMENTS signé par le certificat (par exemple, les pages Web) n'ont pas été modifiés en transit par un l'homme au milieu.
- Chiffrement Les communications entre le client et le serveur sont cryptées.
En raison de ces propriétés, SSL /TLS et HTTPS permettent aux utilisateurs de transmettre en toute sécurité des informations confidentielles telles que les numéros de carte de crédit, les numéros de sécurité sociale et les informations de connexion sur Internet, et de s'assurer que le site Web auquel ils les envoient est authentique. Avec un site Web HTTP non sécurisé, ces données sont envoyées sous forme de texte brut, facilement accessible à tout espion ayant accès au flux de données. En outre, les utilisateurs de ces sites Web non protégés n'ont aucune assurance de tiers de confiance que le site Web qu'ils visitent est ce qu'il prétend être.
Recherchez les indicateurs suivants dans la barre d'adresse de votre navigateur pour vous assurer qu'un site Web que vous visitez est protégé par un SSL /TLS certificat (capture d'écran de Firefox 70.0 sur macOS):
- Une icône de cadenas fermé à gauche de l'URL. Selon votre navigateur et le type de certificat que le site Web a installé, le cadenas peut être vert et / ou accompagné d'informations d'identification sur l'entreprise qui l'exécute.
- S'il est affiché, le protocole au début de l'URL doit être
https://
, Pashttp://
. Notez que tous les navigateurs n'affichent pas le protocole.
Les navigateurs de bureau modernes alertent également les visiteurs sur les sites Web non sécurisés qui n'ont pas de SSL /TLS certificat. La capture d'écran ci-dessous représente un site Web non sécurisé affiché dans Firefox et montre un cadenas barré à gauche de l'URL:
Obtention d'un SSL /TLS Certificat
Prêt à sécuriser votre propre site Web? La procédure de base pour demander un SSL /TLS le certificat du site Web est le suivant:
- La personne ou l'organisation demandant le certificat génère une paire de clés publiques et privées, de préférence sur le serveur à protéger.
- La clé publique, ainsi que le (s) nom (s) de domaine à protéger et (pour les certificats OV et EV) les informations organisationnelles sur l'entreprise qui demande le certificat, est utilisée pour générer un demande de signature de certificat (CSR).
- S'il te plait regarde cette FAQ pour obtenir des instructions sur la génération d'une paire de clés et CSR sur de nombreuses plates-formes de serveurs.
- La CSR est envoyé à une autorité de certification de confiance publique (telle que SSL.com). L'AC valide les informations dans le CSR et génère un certificat signé qui peut être installé sur le serveur Web du demandeur.
- Pour obtenir des instructions sur la commande SSL /TLS certificats de SSL.com, veuillez consulter ce mode d'emploi.
SSL /TLS les certificats varient en fonction des méthodes de validation utilisées et du niveau de confiance qu'ils confèrent, avec une validation étendue (EV) offrant le plus haut niveau de confiance. Pour plus d'informations sur les différences entre les principales méthodes de validation (DV, OV et EV), veuillez consulter notre article, Certificats DV, OV et EV.