Qu'est-ce qu'un certificat SSL ?

SSL (Secure Sockets Layer) est une technologie de sécurité standard mondiale qui fournit une communication cryptée entre un navigateur web et un serveur web.

Certificat SSL : définition

Les certificats SSL sont de petits fichiers de données qui lient numériquement une clé de chiffrement aux coordonnées d'une entreprise. Lorsqu’on installe ce certificat numérique sur un serveur web, il active le cadenas et le protocole HTTPS de manière à fournir des connexions sécurisées d'un serveur web à un navigateur. Le certificat SSL remplit alors deux fonctions :

• authentifier l'identité du site web (ce qui garantit aux visiteurs qu'ils ne se trouvent pas sur un faux site),
• chiffrer les données transmises.

Généralement, les entreprises ont recours au protocole SSL pour sécuriser les transactions par carte de crédit, le transfert de données et les connexions, afin d’éviter les cybermenaces (phishing, ransomware, defacement, etc.). Plus récemment, il est devenu la norme pour sécuriser la navigation sur les réseaux sociaux.

Les certificats SSL se lient entre eux par :

• un nom de domaine, un nom de serveur ou un nom d'hôte,
• une identité organisationnelle (c'est-à-dire le nom de la société) et un lieu.

Une entreprise doit installer le certificat SSL sur son serveur web pour lancer une session sécurisée avec les navigateurs. Une fois la connexion sécurisée établie, elle garantit la sécurité de tout le trafic web entre le serveur web et le navigateur web. Le protocole d'application (également appelé HTTP) se transforme en HTTPS, le "S" signifiant "sécurisé".

Comment fonctionne un certificat SSL ?

Les certificats SSL utilisent la cryptographie à clé publique.

Ce type particulier de cryptographie exploite la puissance de deux clés qui sont de longues chaînes de nombres générés de façon aléatoire. L'une est la clé privée et l'autre la clé publique. Le serveur d’une entreprise connaît sa clé publique, qui est disponible dans le domaine public. La société peut y avoir recours pour crypter n'importe quel message.

Si le site web envoie un message au serveur, il le verrouillera avec la clé publique du serveur, mais la seule façon de le décrypter est de le déverrouiller avec la clé privée du serveur. Il est le seul à avoir la clé privée, donc il est le seul à pouvoir l'utiliser pour déverrouiller le message du site web. Si un hacker intercepte le message avant que le serveur ne le déverrouille, il n’obtiendra qu’un code cryptographique impossible à déchiffrer.

Une autorité de certification (AC) de confiance émet les certificats SSL. Son rôle est d'authentifier les demandes, d'émettre les certificats et de tenir à jour les informations sur leur état.

Les internautes peuvent identifier un site certifié SSL grâce à 4 indices :

• le cadenas à gauche d'une URL,
• le préfixe URL HTTPS au lieu de HTTP,
• un sceau de confiance,
• une barre d'adresse verte lors d'un certificat SSL EV (Extended Validation). Ce type de certificat prouve l'entité juridique, physique et opérationnelle du propriétaire, ce qui équivaut au plus haut degré de sécurité.

Depuis août 2020, la plupart des navigateurs n'affichent plus le cadenas vert et la barre d'adresse pour indiquer le certificat à validation étendue (Extended Validation).

Toute personne ou entreprise qui utilise son site web pour demander, recevoir, traiter, collecter, stocker ou afficher des informations confidentielles ou sensibles a besoin d’un certificat SSL pour assurer la sécurité de telles données.