Au vu de l'accroissement du commerce électronique en ligne, il apparaît évident que le SSL est devenu indispensable à la sécurité des informations transitant sur la toile.

Les protocoles SSL sont d'ailleurs utilisés chaque jour de manière totalement transparente, c'est à dire qu'ils s'activent sans requérir aucune démarche de la part de leurs utilisateurs.

Qu'est-ce que c'est ? Comment ça fonctionne ?

• Qu'est-ce que le SSL ?
• Qu'est-ce qu'un certificat numérique ?
  
  

• Le certificat serveur
  
• Le certificat serveur omnidomaine
• Le certificat serveur multiple sites

Qu'est-ce que le SSL ?

Développé par Netscape, le SSL (Secure Socket Layer) ou TLS (Transport Layer Security), est un protocole de sécurisation des échanges de données sur Internet.

Il a plusieurs missions :

• Authentifier le serveur
  
• Garantir la confidentialité des données échangées
• Assurer l'intégrité de ces données
• Optionnellement authentifier le client via l'utilisation d'un certificat numérique

COMMENT ÇA FONCTIONNE ?

Le protocole SSL crée un canal de communication entre le client et le serveur indépendamment du protocole utilisé, il sécurise ainsi les transactions sur le web (protocole HTTP) ou les connexions via protocole FTP, IMAP ou POP.

Ce canal de communication est un tunnel opaque qui empèche quiquonque de voir ce qui y transite.

De manière schématique :


Il fonctionne sur l'établissement de clés privées et publiques qui s'apparentent à l'utilisation d'une serrure et de sa clé :

La clé privée est enregistrée sur le serveur.
La clé publique, connue de tous, crypte les données à envoyer, qui, une fois réceptionnées par le serveur, sont décryptées au moyen de la clé privée.



Qu'est-ce qu'un certificat numérique ?

Le certificat SSL fait office de carte d'identité numérique et a donc pour but d'identifier de manière fiable le détenteur d'un serveur, d'un site Internet ou d'une adresse électronique entre autres.

Il est délivré par un tiers de confiance aussi appelé Authorité de certification, tel que Thawte, qui atteste, après audit, de l'identité du détenteur du certificat.



Le certificat serveur

Pour activer la sécurité SSL (dans le cadre du e-commerce par exemple) il est indispensable de posséder un certificat SSL serveur.

Le certificat serveur contient différentes informations :

• Le nom du détenteur de la clé publique
• Le nom de l'autorité de certification ayant délivré le certificat
• La période de validité du certificat
• Un numéro de série...

CE QUE VOIENT LES INTERNAUTES

En clair, quand vous êtes sur un site Internet, apparaissent sur la barre d'adresse, des informations concernant le site en question.

Exemple sur Firefox 3 (survoler les images pour voir la signification de ces picto) :


Firefox 3 distingue 5 types de sites selons les informations qu'ils délivrent. A chacun de ces sites correspond un avertissement :

Aucune information concernant l'identité du site Internet. Ce site n'a pas de certificat SSL.

Intermédiaire entre les sites non sécurisés et les EV. Il regroupe les certificats 1-facteur (ou domain-validated :faible niveau de sécurité, la connexion est chiffrée, le domaine est certifié sans que son détenteur soit connu), les 2-facteur (domaine et organisation validés) et les 3-facteur (domaine, organisation et existence physique de cette dernière validés).

Haut niveau de sécurité, toutes les informations concernant le détenteur du site sont connues : nom de l'entreprise. la connexion entre le client et le serveur est entièrement chiffrée. la barre verte apparait, il s'agit ici d'un certificat de type EV (extended validation).

Siginifie que le site sur lequel vous vous trouvez possède un certificat invalide, donc expiré; ou contenant des informations erronées.

Apparait sur des sites d'attaque connus de votre navigateur. Ces sites sont considérés comme dangeureux, vous devrez donc accepter d'y entrer pour faire disparaitre le message d'avertissement.

SUR LES AUTRES NAVIGATEURS :


APPARITION DU CADENAS DE SECURITE :




Le certificat SSL omnidomaine

Le certificat omnidomaine, ou Wildcard, permet de sécuriser plusieurs sous-domaines (de la forme : *.domaine.fr). Il fonctionne sur le même modèle que le certificat SSL serveur et contient le même type d'informations.

Au lieu de contenir un nom de domaine classique, le certificat fera apparaître : *domaine.fr. Cette étoile sera nativement remplacé par le navigateur qui ira chercher si un certificat existe pour ce sous-domaine.

Ce type de certificat est proposé par Comodo et son WildSSL.


Le certificat multiple sites

Le certificat SSL multiple sites permet de sécuriser plusieurs SANs (Subject Alternative Names) hébergés sur un même serveur, ce qui évite d'avoir à acquérir un certificat par nom de domaine.

Ce type de certificat est poposé par Comodo. Vous pouvez choisir de sécuriser 5 ou 12 SANs (ou nom de domaine) avec le Comodo UCC ou 3 SANs avec le Comodo EV Multi Sites.

Les avantages du certificat omnidomaine :

• Un seul achat pour la sécurisation de plusieurs domaines
• Un unique audit : gain de temps
• un gain d'argent

CAS PARTICULIER :

Le certificat Comodo UCC est adapté à :

• Exchange 2007
• Office communication serveur 2007
• Office collaboration serveur 2007
• Exchange 2010

Le Comodo UCC est conseillé par MICROSOFT pour la sécurisation de ses produits exchange 2007 et 2010.