Que sont SSL, TLS et HTTPS ?

Qu'est-ce qu'un certificat SSL ?

SSL signifie Secure Sockets Layer. En bref, il s'agit d'une technologie standard destinée à la sécurité de la connexion Internet et à la protection des données sensibles qui sont transmises entre deux systèmes, empêchant les criminels de lire et de modifier les informations transférées, y compris d'éventuelles informations personnelles. Les deux systèmes peuvent être un serveur et un client (par exemple, un site d'achat et un navigateur) ou un serveur et un autre serveur (par exemple, une application avec des informations personnelles identifiables ou des informations de paie).

Il agit en veillant à ce que les données transférées entre les utilisateurs et les sites, ou entre les deux systèmes restent impossibles à lire. SSL utilise l'algorithme de chiffrement pour brouiller les données en transit, empêchant les pirates de les lire lorsqu'elles sont envoyées via la connexion. Ces informations peuvent être sensibles ou personnelles, et inclure des numéros de cartes de crédit ou d'autres informations financières, des noms et des adresses.

TLS (Transport Layer Security) est simplement une nouvelle version, plus sûre, de SSL. Nous continuons à faire référence à nos certificats de sécurité en employant le terme SSL, car celui-ci est plus fréquemment utilisé. Mais lorsque vous achetez SSL auprès de Symantec, vous achetez en réalité les certificats TLS les plus récents, avec l'option de chiffrement ECC, RSA ou DSA.

HTTPS (Hyper Text Transfer Protocol Secure) s'affiche sur l'URL lorsqu'un site web est protégé par un certificat SSL. Les détails du certificat, notamment l'autorité émettrice et le nom de l'entreprise du propriétaire du site web peuvent être affichés en cliquant sur le cadenas situé sur la barre du navigateur.

Comparer les prix SSL

Présentation de SSL

Apprenez comment SSL fonctionne pour protéger vos informations en ligne et augmenter la confiance des visiteurs des sites web.

Pour les entreprises en ligne ou sites Web qui acceptent les paiements par carte de crédit et carte de débit, ou impliquent le transfert d'informations personnelles ou sensibles telles que noms et adresses, un certificat SSL est nécessaire pour la sécurité du site Web. C'est une manière essentielle de s'assurer que les sites sont sécurisés et que les clients sont protégés, mais essentiellement cela ajoute également l'apparence de sécurité sur les sites en ligne.

Un certificat SSL est installé sur le côté serveur mais il y a des indices visuels sur le navigateur qui peuvent dire aux utilisateurs qu'ils sont protégés par SSL. Tout d'abord, si SSL est présent sur le site, les utilisateurs verront https:// au début de l'adresse Web au lieu du http:// (le « s » en plus représente « sécurisé »). Selon le niveau de validation auquel un certificat est accordé à l'entreprise, une connexion sécurisée peut être indiquée par la présence d'une icône de cadenas ou d'un signal vert dans la barre d'adresse.

Google prône désormais que HTTPS, ou SSL, devrait être utilisé partout sur le Web et, depuis 2014, le moteur de recherche récompense les sites Web sécurisés de classements Web améliorés, une autre excellente raison pour que tout site installe SSL.

TLS (Transport Layer Security) est le successeur du protocole à SSL. TLS (Transport Layer Security) est une nouvelle version de SSL. Cela fonctionne plus ou moins comme le SSL, utilisant le chiffrement pour protéger le transfert des données et de l'information. Les deux termes sont généralement utilisés de façon interchangeable dans l'industrie bien que SSL soit toujours largement utilisé. Lorsque vous achetez un certificat 'SSL' auprès de Symantec, vous pouvez naturellement l'utiliser avec les protocoles SSL et TLS.

Niveaux d'authentification d'entreprise

Avec le chiffrement, les autorités de certification (AC) peuvent également authentifier l'identité du propriétaire d'un site Web, ajoutant ainsi une autre couche de sécurité. Le certificat SSL est alors utilisé comme preuve de l'identité de la société. Les certificats peuvent être divisés en trois groupes d'authentification, en fonction du niveau de l'authentification, qui sont :

Certificats de validation de domaine

Certificats de validation de l'organisation

Certificats d'Extended Validation

Ils varient légèrement en fonction du but et de la fonction. Avant de décider lequel convient le mieux, il vaut la peine d'en savoir un peu plus sur leur fonctionnement.

Certificats SSL de validation de domaine

Ceux-ci exigent que les entreprises prouvent leur contrôle sur le nom du domaine uniquement. Le certificat comporte le nom du domaine qui a été fourni à l'autorité émettrice dans le cadre de la demande. Étant donné que l'identité de l'organisation n'est pas vérifiée ici, les certificats avec Validation de Domaine représentent le niveau le plus élémentaire de certification SSL, et ne sont appropriés que pour tester les serveurs et liens internes.

Certificats SSL de validation de l'organisation

Ceci exige que les candidats non seulement prouvent qu'ils possèdent leur propre nom de domaine qu'ils souhaitent sécuriser mais prouvent également que leur société est enregistrée et légalement responsable en tant qu'entreprise. Le certificat émis est alors preuve du nom du domaine et de la société. Ce niveau d'authentification convient aux sites Web accessibes au public qui recueillent les données personnelles des utilisateurs des sites. Notez que les particuliers ne peuvent pas obtenir ces certificats, seules les organisations et les entreprises peuvent le faire.

Certificats SSL d'Extended Validation

Extended Validation SSL permet d'empêcher les utilisateurs de fournir leurs informations personnelles à de faux sites qui peuvent être utilisés comme hameçonnage (phishing) par des criminels. EV SSL exige les deux validations ci-dessus pour le domaine et la société ainsi que plusieurs étapes de vérification additionnelles prouvant que le certificat SSL appartient à une société enregistrée. Ces informations de société additionnelles sont alors représentées dans le certificat émis sur la barre d'adresse et peuvent être accédées à partir d'un grand nombre de navigateurs de Web en cliquant sur l'icône de cadenas. Lors de la consultation d'un site avec EV SSL, de nombreux navigateurs affichent une barre d'adresse verte comme signe hautement visible de confiance dans le site Web et l'entreprise pour traiter des informations personnelles. Ce type de certificats est également à la disposition des organisations et entreprises uniquement.

Certificats SSL

Optimisez la confiance de sécurité de votre site Web avec les certificats SSL et le sceau Norton Secured.

Comparer les certificats SSL

Comment fonctionne un certificat SSL ?

Principe de base : lorsque vous installez un certificat SSL sur votre serveur et qu'un navigateur se connecte dessus, la présence du certificat SSL déclenche le protocole SSL (ou TLS) qui va chiffrer les informations envoyées entre le serveur et le navigateur (ou entre les serveurs) ; les détails sont bien évidemment un peu plus compliqués.

SSL fonctionne directement au-dessus du protocole TCP, agissant efficacement comme une couverture de sécurité. Il permet aux couches supérieures du protocole de rester inchangées tout en offrant une connexion sécurisée. Ainsi, les autres couches du protocole peuvent fonctionner normalement sous la couche SSL.

Si un certificat SSL est utilisé correctement, tout ce qu'un attaquant pourra voir est l'adresse IP et le port connecté, ainsi que la quantité approximative de données envoyées. Il pourra éventuellement mettre fin à la connexion mais le serveur et l'utilisateur sauront tous deux que cela a été effectué par un tiers. Toutefois, il ne pourra intercepter aucune information, ce qui rend cette étape inutile.

Le pirate peut être capable de déterminer le nom d'hôte auquel l'utilisateur est connecté mais pas le reste de l'URL. La connexion étant chiffrée, les informations importantes restent sécurisées.

SSL démarre son travail une fois la connexion TCP établie, en lançant une négociation SSL.

Le serveur envoie son certificat à l'utilisateur avec un certain nombre de spécifications (notamment la version de SSL/TLS et les méthodes de chiffrement utilisées, etc.).

L'utilisateur vérifie ensuite la validité du certificat, sélectionne le niveau le plus élevé de chiffrement qui peut être pris en charge par les deux parties et démarre une session sécurisée à l'aide de ces méthodes. Il existe un certain nombre d'ensembles de méthodes disponibles avec différentes forces : ce qu'on appelle des suites de chiffres.

Pour garantir l'intégrité et l'authenticité de tous les messages transférés, les protocoles SSL et TLS incluent également un processus d'authentification à l'aide de codes d'authentification de message (MAC). Tout cela semble long et compliqué, mais en réalité, tout est effectué quasiment instantanément.

Gérer les certificats SSL

Optimisez la confiance de sécurité de votre site Web avec les certificats SSL et le sceau Norton Secured.

Comment savoir si le SSL est nécessaire

Le fait que Google préconise HTTPS sur l'ensemble du Web et privilégie les sites ayant un certificat SSL, indique probablement combien SSL est nécessaire ; toutefois voici d'autres importantes raisons d'obtenir un certificat SSL.

Sécurisation des achats

D'après Business Insider, 74 % des paniers d'achats sont abandonnés mais un maximum de 64 % peuvent être récupérés avec une meilleure sécurité à la caisse et un meilleur débit. Un grand nombre de ces 64 % auront plus tendance à compléter un achat s'ils savent que la zone de caisse est sécurisée. Chiffre que les entreprises ne peuvent pas se permettre d'ignorer. Même si elles n'utilisent SSL que pour la zone de caisse, cela en vaut bien la peine.

Offre d'adhésion

Si les sites offrent des adhésions ou tout équivalent incluant la collecte d'adresses e-mail et d'autres informations sensibles, SSL est une excellente idée. Il est toujours prudent de garder les informations des clients aussi sécurisées que possible.

Avec l'utilisation de formulaires

Il en va de même s'ils utilisent toute sorte de formulaires dans lesquels les utilisateurs soumettent des informations, documents ou images. La quantité d'informations recueillies sur les visiteurs d'un site est surprenante et il vaut donc la peine de les garder sécurisées.

S'il ne s'agit que d'un blog ou d'une sorte de site standard « info uniquement », HTTPS peut permettre de protéger la sécurité des sites, réduisant le risque de falsification et d'injection de pubs par des intrus sur la page pour casser l'expérience d'utilisateur. En outre, cela ne peut pas vraiment faire de tort en termes de classements de moteurs de recherche.

SSL fonctionne-t-il sur tous les périphériques ?

En bref, la réponse à cette question est oui. Naturellement, il y a certaines configurations qui ne marcheront pas à 100 %, il peut donc être utile de parler avec l'équipe de vente de l'autorité de certification en cas de doute.

Périphériques et systèmes d'exploitation

Comme nous l'avons dit, tous les gros systèmes d'exploitation pour ordinateurs, tablettes et téléphones portables sont pris en charge. Néanmoins, dans le cas des portables, il se peut que d'anciens modèles ne prennent pas en charge les protocoles SSL ou TLS plus nouveaux, il vaut donc la peine de faire des recherches pour assurer un maximum de compatibilité. Le prestataire de certificats SSL peut être utile en cas de doute.

Compatibilité avec les navigateurs

Les personnes utilisent une gamme de différents navigateurs (Chrome, Firefox, Safari, etc.) pour accéder au contenu du Web. Tout comme les sites sont créés pour fonctionner sur toutes les plateformes de navigation, SSL/TLS d'un prestataire digne confiance marchera aussi dans 99 % des cas. Sauf si les utilisateurs accèdent aux sites à partir de navigateurs niches, tous les grands noms seront couverts.

Serveurs

Grâce à la façon dont fonctionne SSL, les serveurs n'ont pas vraiment besoin d'avoir des certificats racines embarqués mais il vous faudra installer le ou les certificats intermédiaires correspondants. Tant que le certificat est installé correctement, il peut être pris en charge par n'importe quel serveur. C'est au navigateur de déterminer s'il est digne de confiance ou pas durant le processus de protocole de transfert.

Principaux services et fonctionnalités

En savoir plus sur la façon dont nos services permettent d'étendre la sécurité du site Web au-delà de SSL.

Quelles sont les implications visuelles de SSL ?

Comme nous l'avons mentionné à plusieurs reprises dans ce guide, c'est souvent l'impact visuel d'un certificat SSL qui a le grand effet sur les utilisateurs et les clients éventuels. Mais comment le certificat marche-t-il exactement et quelle forme visuelle un SSL prendra-t-il sur un site ?

Comme avec tout achat, en ligne ou non, la plupart des gens auront plus tendance à acheter auprès d'un distributeur digne de confiance. Les certificats prouvant l'authenticité ou l'expertise dans un certain domaine contribuent grandement à permettre aux clients de se sentir plus en sécurité.

C'est exactement l'impact visuel qu'un certificat SSL peut avoir sur des clients éventuels. SSL et TLS sont les normes de sécurité les meilleures et les plus acceptées de l'industrie et les certificats doivent fièrement être affichés où tout le monde peut les voir.

Tout d'abord, il apparaîtra dans la barre d'adresse. Le pre-x du site sera https:// au lieu du http:// et les utilisateurs insistent plus fréquemment sur la différence.

Le présence de l'icône de cadenas dans la barre d'adresse est également une très bonne indication de la sécurité. Elle réassure les clients que leur connexion est sécurisée et chiffrée. Et, comme nous l'avons dit, elle peut pousser les gens à compléter une transaction.

En utilisant la forme la plus sécurisée du certificat - le certificat Extended Validation SSL – le nom de la société apparaît en vert dans la barre d'adresse. C'est une autre façon sûre d'indiquer aux clients qu'il est légitime à 100 %.

Enfin, de nombreux certificats SSL sont munis d'une image de sceau, qui peut être utilisée sur le site pour afficher la marque de SSL qui est utilisée. Informez les clients que leur sécurité et leurs informations sont protégées et ils auront plus tendance à confier leur liquide au site. La recherche de 2013 montre que le sceau SSL du SSL Symantec est le plus reconnu sur le Web.

Qu'est-ce qu'une erreur de connexion SSL ?

Une erreur de connexion SSL a lieu lorsque la page accédée a des problèmes de sécurité. Elles ont lieu pour la protection des utilisateurs, interrompant l'accès pour les informer qu'il y a peut-être des questions de sécurité au fur et à mesure qu'ils avancent.

Elles peuvent prendre un certain nombre de formes, souvent divergeant du choix du navigateur. Dans certains cas, la page peut passer au rouge avec le https:// pre-x également surligné en rouge. Avec Google Chrome, il y a un certain nombre de messages que les utilisateurs peuvent voir apparaître sur leur écran. Comme par exemple, « votre connexion n'est pas privée » simplement « cette page Web n'est pas disponible ».

Ceci peut provenir d'un code de sécurité obsolète sur le site Web et ne veut pas nécessairement dire que le site accédé est suspect, mais les utilisateurs doivent tout de même prendre les erreurs de connexion sérieusement, surtout s'ils ne sont pas à 100 % sûrs du site de destination.

Alors qu'il y a des moyens de contourner des erreurs de connexion SSL, il est fortement recommandé aux utilisateurs de ne pas le faire.

Si, dans les essais de développement de site Web, on trouve que le site subit des erreurs de connexion SSL, il est alors impératif d'y rémédier rapidement. Ceci peut inclure la mise à jour des paramètres de sécurité ou simplement l'acquisition d'un certificat SSL plus adapté. Ceci permettra aux navigateurs d'établir que le site est sécurisé et permettra aux utilisateurs d'y accéder sans avertissements de sécurité.

Comment fonctionne SSL sur l'e-mail ?

La plupart des grands prestataires d'e-mail utilisent le chiffrement SSL pour chiffrer l'e-mail des utilisateurs. Dans la plupart des cas, l'option SSL sera automatiquement cochée dans les paramètres d'e-mail. Pour récupérer un e-mail qui a signalé un message d'erreur, il se peut que l'utilisateur puisse devoir décocher cette option.

Si le compte où les utilisateurs récupèrent leur mail prend en charge SSL, ils peuvent alors sélectionner cette option d'avoir les données envoyées par le biais d'une connexion sécurisée.

Si une société configure son propre service d'e-mail, l'équipe IT peut avoir besoin de vérifier avec leur prestataire qu'il est également sécurisé par SSL. Ceci éliminera les problèmes de sécurité lors de l'envoi de mailings et de mails individuels.

Implémentation d'un certificat SSL sur un site

En fonction de la manière dont un site est hébergé et où, il y a plusieurs façons d'ajouter un certificat SSL. Dans certains cas, s'il y a un élément ecommerce sur le site, avoir un certificat sera une condition requise. Les grands prestataires d'hébergement offrent des packs d'hébergement dont des certificats SSL.

Il peut également être possible de transférer un SSL existant d'autres hôtes (en l'exportant du serveur original et en l'important sur le nouveau serveur). Il faudra suivre les instructions spécifiques sur le site de l'hôte Web. Notez que certaines autorités de certification vous demandent d'acheter une licence de serveur pour chaque serveur qui hébergera le certificat.

Cliquez ici pour toutes les instructions d'installation

Confiance et votre entreprise

Découvrez comment SSL Symantec permet de stimuler votre entreprise en donnant aux clients la confiance de cliquer.

Sommaire SSL

SSL est un important outil de sécurité pour l'entreprise et un qui joue un rôle accru dans le succès des transactions en ligne. Ce n'est vraiment pas compliqué à acheter et installer, et de nombreux prestataires SSL peuvent vous aider tout au long du chemin.

Un https:// pre-x et une icône de cadenas ne sont qu'à quelques clics et peuvent avoir un gros impact sur l'entreprise ; augmentation des ventes, développement de la confiance des consommateurs et stimulation des classements Web tous avec un certificat de norme de l'industrie.

Glossaire SSL

Chiffrement 256 bits Processus de brouillage d'un document électronique à l'aide d'un algorithme dont la clé est de 256 bits de longueur. Plus la clé est longue, plus elle est forte.

Cryptographie asymétrique Ce sont des chiffres qui incluent une paire de 2 clés pendant les processus de chiffrement et de déchiffrement. Dans le monde des SSL et TLS, nous les appelons des clés publiques et privées.

Certificate signing request (CSR)(Requête de signature de certificat) Forme lisible par machine d'une application de certificat Symantec. Une CSR contient généralement la clé publique et le nom distingué du demandeur.

Autorité de certification (AC) (Certification authority (CA)) Entité autorisée à émettre, suspendre, renouveler ou révoquer des certificats sous une CPS (Déclaration des Pratiques de Certification (Certification Practice Statement)). Les AC sont identifiées par un nom distingué sur tous les certificats et les CRL qu'elles émettent. Une autorité de certification doit faire connaître sa clé publique ou procurer un certificat d'une AC de plus haut niveau attestant de la validité de sa clé publique si elle est subordonnée à une autorité de primaire. Symantec est une Autorité de certification primaire (ACP) (Primary certification authority(PCA)).

Suite de chiffres Ceci est une série de protocoles d'échanges de clés qui inclut l'authentification, le chiffrement et les algorithmes d'authentification de messages utilisés dans les protocoles SSL.

Nom courant (NC) Valeur d'attribut dans le nom distingué d'un certicat. Pour les certificats SSL, le nom courant est le nom de l'hôte DNS du site à sécuriser. Pour les certificats d'éditeurs de logiciels, le nom courant est le nom de l'organisation.

Erreur de connexion Lorsque les questions de sécurité empêchant une session sécurisée de commencer sont signalées en tentant d'accéder un site.

Certificats SSL de Validation de domaine (VD) (Domain Validation (DV)) Le niveau le plus fondamental du certificat SSL, seule la propriété du nom de domaine est validée avant l'émission du certificat.

Cryptographie par courbes elliptiques (Elliptic Curve Cryptography (ECC)) Crée des clés de chiffrement basées sur l'idée d'utiliser les points sur une courbe pour refuser la paire de clés publiques/privées. Elle est extrêmement difficile à casser en utilisant les méthodes force brute souvent employées pas les pirates informatiques et offre une solution plus rapide avec moins de puissance de calcul que le chiffrement de chaîne pure RSA.

Chiffrement Processus de transformer des données lisibles (en texte clair) en une forme inintelligible (chiffre-texte) de sorte que les données originales ne puissent pas être récupérées (chiffrement unidirectionnel) ou ne puissent pas être récupérées sans utiliser un processus de déchiffrement inverse (chiffrement bidirectionnel).

Certificats SSL d'Extended Validation (EV) La forme la plus complète de certificat sécurisé qui valide le domaine, exige une très stricte authentification de la société et la met en valeur dans la barre d'adresse.

Échange de clés Ceci est la façon dont les utilisateurs et le serveur établissent en toute sécurité un secret pré-maître pour une session.

Secret maître Le matériau clé utilisé pour la génération des clés de chiffrement, les secrets MAC et les vecteurs d'initialisation.

Code d'authentification des messages (Message Authentication Code (MAC)) Une fonction de hachage unidirectionnelle arrangée sur une message et un secret.

Certificats SSL Validation d'Organization (OV) Un type de certificat SSL qui valide la propriété du domaine et l'existence de l'organisation derrière.

Secret pré-maître Le matériau clé utilisé pour la dérivation de secret maître.

Infrastructure à clé publique (ICP) (Public key infrastructure (PKI)) Architecture, organisation, techniques, pratiques et procédures qui collectivement prennent en charge l'implémentation et le fonctionnement d'un système cryptographique de clés publiques à base de certificat. L'ICP comporte des systèmes qui collaborent pour fournir et implémenter le système cryptographique de clés publiques et, éventuellement, d'autres services connexes.

Serveur sécurisé Serveur qui protège les pages Web hôtes utilisant SSL ou TLS. Lorsqu'un serveur sécurisé est en service, le serveur est authentifié à l'utilisateur. En outre, les informations d'utilisateur sont chiffrées par le protocole SSL du navigateur Web de l'utilisateur avant d'être envoyées sur l'Internet. Les informations ne peuvent être déchiffées que par le site hôte qui les a requises.

Certificats SSL SAN (Subject Alternative Name) Type de certificat qui permet de sécuriser de multiples domaines avec un certificat SSL.

SSL signifie couche des sockets sécurisés (secure sockets layer). Protocole pour navigateurs Web et serveurs qui permet l'authentification, le chiffrement et le déchiffrement des données envoyées sur l'Internet.

Certificat SSL Certificat de serveur qui permet l'authentification du serveur à l'utilisateur, tout en permettant le chiffrement des données transférées entre le serveur et l'utilisateur. Les cerrtificats SSL sont vendus et émis directement par Symantec et par le biais du centre Symantec Managed PKI for SSL.

Validation SSL Un protocole utilisé au sein du SSL aux fins de la négociation de sécurité.

Chiffrement symétrique Méthode de chiffrement qui implique que la même clé est utilisée dans les processus de chiffrement et de déchiffrement.

TCP protocole de contrôle de transmissions (Transmission control protocol), un des principaux protocoles dans tout réseau.

Certificats SSL Wildcard Type de certificat utilisé pour sécuriser des sous-domaines multiples.

Outils de gestion

CERTIFICATS SSL/TLS

Code Signing Certificates

PROGRAMMES DE PARTENARIAT

Certificats TLS/SSL RENOUVELER