Qu'est-ce que le SSL et le certificat SSL ? Explications

En surfant sur le Web, vous avez certainement déjà dû voir dans votre barre de recherche que certains sites avaient le HTTPS en rouge et barré ou qu’en surfant un message d’erreur apparaît vous indiquant que la page n’est pas sécurisée. Cela provient du protocole SSL et du certificat de sécurité, nous allons donc voir ensemble qu’est-ce qu’un certificat SSL.

Qu’est-ce que le SSL (Secure Socket Layer) ?

Il s’agit d’un protocole de sécurisation des échanges de données de façon cryptée sur Internet qui a été développé par Netscape. Sa mission est de garantir la confidentialité des données qui transitent entre le client et le serveur, d’assurer leur intégrité, et de les authentifier. Il fonctionne avec 2 types de clés :

• Une clé publique utilisée pour crypter les données jusqu’à réception sur le serveur
• Une clé privée utilisée par le serveur pour décrypter les données

Cette sécurité et cet encodage sont généralement utilisés par les boutiques en ligne pour sécuriser les paiements de leurs clients et leurs informations personnelles dans le but d'éviter le vol de ces données précieuses. Les banques utilisent également cette technologie.

Comment ça fonctionne ?

Pour faire simple, le protocole est un canal où les informations transitent via le port 443 entre le client et le serveur. Celui-ci empêche les personnes extérieures ou mal intentionnées de voir les données qui circulent dans ce fameux tunnel et ainsi vous protège contre le vol de vos informations personnelles.
Cependant, pour qu’il puisse fonctionner, il faut que le détenteur du site Web détienne un certificat SSL serveur contenant diverses informations à son sujet :

• Le nom du détenteur de la clé publique ainsi que le lieu de l’entreprise
• Le nom de l’autorité qui lui a attribué le certificat
• La durée de validité du certificat
• Un numéro de série

Le détenteur du site Web doit également activer cette fonctionnalité sur son serveur.

Certains certificats SSL sont fournis avec le label Geotrust pour une sécurité renforcée. Vous trouverez plus d'informations à ce sujet sur la page 1and1.

Comment reconnaître un site sécurisé ?

C'est très simple, il suffit de regarder dans la barre d’adresse de votre navigateur Web. Si l’adresse commence par HTTPS et qu’un cadenas fermé est visible, c’est que le site est sécurisé.

Voici un exemple sous Chrome de ce que l’on trouve dans le cadenas pour le moteur de recherche de Google :

Comme vous l’avez compris, le SSL a beaucoup d’avantages que cela soit pour le visiteur, il se sent beaucoup plus en sécurité surtout lorsqu’il doit donner ses coordonnées bancaires, mais aussi pour le webmaster puisque le certificat SSL est détecté automatiquement par l’algorithme de Google comme un gage de qualité et de confiance ce qui aura pour effet d’avoir un meilleur positionnement par rapport à ses concurrents.

Est-ce possible de pirater un cryptage SSL ? Et combien de temps faudrait-il ?

Ces dernières années, de nombreuses failles de sécurité ont été découvertes mettant à mal la sécurité du protocole SSL. L'une des dernières en date baptisée FREAK (Factoring RSA EXPORT Attack Keys) permet de modifier la force de la clé de chiffrement utilisée pour sécuriser la connexion et ainsi la casser grâce à un Brute Force, c'est-à-dire un ordinateur ou un serveur qui teste toutes les combinaisons possibles. Ceux qui ont découvert cette faille, ont alors fait un essai en louant pour l'occasion un serveur chez Amazon pour casser une clé RSA modifié en 512 bits. Il a fallu moins de 12 heures de calculs pour la déchiffrer...

Comme vous pouvez le voir, il faut un certain temps pour déchiffrer ce cryptage qui peut être raccourci avec des serveurs bien plus puissants comme ceux utilisés par les gouvernements, et les pirates n'ont pas de temps à perdre avec monsieur tout le monde, ils préféreront les organisations où ils pourront tirer un maximum d'informations et donc un maximum d'argent.