SSL, TLS, HTTPS, cadenas dans la barre de d'URL... Explications!

C'est quoi le SSL, TLS? Pourquoi il y a un cadenas dans la barre d'URL?

J'ai rédigé il y a quelque temps un article au sujet de la redirection HTTPS des blogs qui a longtemps été impossible avec Blogger pour les noms de domaine personnalisés et qui est désormais possible depuis 1 an maintenant.

Ce HTTPS devant l'URL de mon site indique que mon site est sécurisé et que les données qui transitent entre entre votre ordinateur et mon blog sont cryptées entre autres choses...

Bon, comme ce n'est qu'un blog et non un site marchand, ça ne sert pas à grand chose si ce n'est à vous rassurer psychologiquement, mais vous imaginez l'importance que cela peut avoir pour un site marchand sur lequel on est amené à saisir des données personnelles dont nos coordonnées bancaires ou nos numéros de carte bleue.


EV-green-bar-FR
Les attributs d'un site en HTTPS


Toujours est il que je ne risque plus de voir mon blog affublé dans votre navigateur internet d'un message du genre "site not secured" ce qui pourrait rebuter plus d'un visiteur :

[chrome-non-securise-https%5B4%5D]

Je me propose donc dans cet article de vous expliquer aussi simplement que possible le fonctionnement du protocole de sécurité appelé SSL\TLS qui permet d'obtenir cette URL en HTTPS.

C'est quoi ce SSL/TLS ?

Sachez qu'à l'origine, le SSL était un protocole de sécurité internet qui appartenait à Netscape... Ça remonte à loin...

Plus tard, un groupe nommé ETF (Engineering Task Force) a repris ce protocole pour le rendre plus ouvert et standardisé en le renommant TLS, pour Transport Layer Security. Donc sachez désormais que lorsqu'on fait référence au SSL ou TLS, c'est globalement la même chose.

Mais à quoi ça sert le SSL/TLS?

SSL/TLS n'est rien d'autre qu'une surcouche de sécurité prévue pour éviter l'interception de nos données qui transiteraient en clair entre notre poste client (ordinateur, smartphone) et un serveur web.
 
Les SSL/TLS aura ainsi 2 rôles :
  • Le chiffrement des données : cacher ou crypter les information qui transit entre notre navigateur et le serveur (le serveur délivre une clé de cryptage pour que le client puissent crypter ses données et il utilise cette même clé pour décrypter et lire les données envoyées par le même client)
  • Identification du poste client sur le serveur : pour donner l'accès aux données d'un serveur qu'à un poste client autorisé
Cela permet donc d'offrir une sécurité relative au visiteur et surtout une crédibilité au site internet certifié. Le visiteur, potentiel client, est ainsi mis en confiance en voyant le cadenas dans la barre d'adresse et devient ainsi plus facile à convertir en acheteur s'il s'agit d'un site marchand par exemple ou s'il doit saisir des données personnelles.

J'ajoute que pour les éditeurs de sites web, qui misent sur le SEO pour leur visibilité il semblerait que le SSL/TLS soit un facteur de positionnement dans les résultats de recherche de Google. 

Selon moi, et je suis loin d'être un spécialiste en la matière, le bonus en matière de positionnement doit être vraiment mineur car je n'ai pas vraiment vu de différences avec mon blog. Par contre il n'est pas exclu que dans un proche avenir, si ce n'est déjà le cas, les sites sans certificat de sécurité SSL/TLS soient pénalisés par Google.

Et les certificats SSL/TLS, ça a quelque chose à voir?

Comme je l'évoque plus haut le protocole SSL/TLS permet de chiffrer les données et d'identifier un client et un serveur lors d'une connexion internet.

Cela s'avère très efficace et suffisant dans la majorité des cas, mais on peut tout à fait imaginer, dans un cas de phishing par exemple, le cas d'un internaute qui se connecterait à un serveur pirate pensant qu'il s'agit du serveur légitime auquel il est supposé se connecter (c'est ce qui se passe dans une attaque tu type "man in the middle"). Dans ce cas le chiffrement ne sert à rien puisque c'est le serveur pirate qui en emmétra la clé de décryptage de même que le protocole d'identification puisque c'est le serveur pirate qui le contrôle.

C'est là qu'intervient le certificat.

Pour vulgariser, un certificat est l'équivalent des documents d'identité biométriques des individus (passeport ou carte d'identité) mais pour un serveur. De même qu'un passeport ou une carte d'identité ne peuvent être délivrés qu'en Mairie après vérification de votre identité et sur présentation d'un dossier et de pièces justificatives il en est de même pour le certificat SSL/TLS... Sauf que ça ne se fait pas en Mairie ;-)

Le propriétaire d'un site web hébergé sur une serveur qui souhaite proposer à ses clients des connexions sécurisées selon le protocole de sécurité SSL/TLS devra s'en remettre à une autorité de certification. C'est ainsi que l'on nomme les organisme reconnus et habilités à délivrer les certificats.
Ainsi le propriétaire d'un site web pour obtenir un certificat de sécurité SSL devra envoyer des informations relatives à son identité et à l'identité de son site web (nom, prénom, adresse postale, mail, nom de domaine...). L'autorité de certification, après vérification et enquête pourra ensuite lui envoyer une signature électronique certifiée qui attestera de l'identité du site web.

Pour que ça marche, les navigateurs internet (chrome, Firefox, Edge...) doivent être capables de reconnaître les certificats en question pour pouvoir déchiffrer la signature du serveur, ce qui est le cas évidemment.

Ainsi, lorsqu'un client se connectera à un site web en SSL/TLS, les données seront chiffrées, le client sera identifié auprès du serveur et grâce au certificat, le serveur sera également identifié et authentifié auprès du client. Je ne vais entrer dans les détails des différents types de certificats que l'on distinguera en fonction de leur niveau de chiffrement de données et de sécurité : certificat ssl san, ssl wildcard, ssl extended validation (le dernier étant celui qui fournit le plus haut niveau de sécurité).

Ainsi, dans l'exemple de phishing évoqué plus haut, avec un site web frauduleux qui se substituerait au site web auquel vous vous connectez habituellement, dès que vous accéderiez au site vous seriez notifiés du problème de certificat.

Les indicateurs du certificat SSL/TLS

En principe les sites marchands indiquent sur leur site web via un logo ou un disclaimer quelconque qu'ils proposent une connexion sécurisée et certifiée à leur client.

Quant aux clients, lorsqu'ils visitent le site en question sécurisé :
  • il doit s'afficher dans la barre d'adresse le petit cadenas qui indique que le site est sécurisé
  • l'adresse du site web sécurisé est en principe en HTTPS et non HTTP
  • la barre d'adresse peut devenir verte avec les certificats ssl extended validation.
Pour mon blog, j'ai le HTTPS et le cadenas vert :

image

Notons pour conclure qu'il existe des certificats gratuits (Let's encrypt par exemple) et d'autres payants (voir SSLmarket.fr) pour les éditeurs de sites web avec un niveau de sécurité et de confiance théoriquement proportionnel au tarif.

Dans les faits, vue que pour le visiteur les attributs visuels des certificats sont les mêmes, les certificats payants n'offrent que peu de valeur ajoutée en matière de "signe extérieur de confiance" ce qui fait que beaucoup de sites web se contentent d'un certificat gratuit.


Articles recommandés



N'oubliez pas de partager cet article!




Nom

accessoire,9,actualité,68,addon,10,Adsence,8,adwcleaner,2,Amazon,2,android,55,androïd,3,antivirus,12,Apple,19,application,69,arnaque,8,art,18,Article sponsorisé,3,astuce,116,bd,6,billet d'humeur,33,Blog geek,1,blogger,33,BLOGGING,45,bon plan,12,bug,9,bureatique,2,bureautique,4,chrome,22,cinema,17,cloud,3,CMS,3,concours,6,Crack-net story,34,découverte,3,dell,2,design,4,développement durable,2,dropbox,1,ebook,1,education,56,emploi,3,enquête,2,evernote,1,extension,14,facebook,33,firefox,11,Flash,4,foot,1,free,3,gadget,3,gagner de l'argent,10,geek,67,geekeries,12,gmail,15,google,33,gps,2,gratuit,120,html,5,humour,30,image,33,immobilier,3,infographie,72,Insolite,20,internet,69,iPad,6,iphone,53,itunes,7,jeux video,30,joomla,1,Lecture,2,linux,6,liste,1,logiciel,65,logo,5,mac,3,mail,20,manga,7,marketing,8,meilleurs sites,2,messenger,1,microsoft,7,mobile,12,monetiser,11,mp3,3,musique,18,nomade,1,office,6,outlook,1,p2p,1,PC,65,pdf,11,photo,45,photoshop,7,playstation,1,podcasts,2,pratique,16,publicité,16,referencement,5,référencement,2,rese,1,Réseaux sociaux,56,rumeur,2,samsung,5,samsung galaxy s2,9,sécurité,31,seo,12,séries,15,service web,122,skype,1,smartphone,51,sport,2,streaming,10,tablette,5,Tchat,1,téléchargement,28,telephone,7,téléphonie,14,template,6,test,3,torrent,3,travail,2,troll,3,Tuto,118,tv,10,twitter,46,video,58,wallpaper,5,webmaster,43,widget,4,wifi,3,windows,47,wordpress,9,youtube,21,
ltr
item
Crack-net: SSL, TLS, HTTPS, cadenas dans la barre de d'URL... Explications!
SSL, TLS, HTTPS, cadenas dans la barre de d'URL... Explications!
C'est quoi le SSL, TLS? Pourquoi il y a un cadenas dans la barre d'URL?
https://lh3.googleusercontent.com/-3eLf5MsmE68/W7ZmwJomPEI/AAAAAAAAGnY/4tprBYf2GdU03B7GXIELPFH_sa7A13UBwCHMYCw/EV-green-bar-FR_thumb%255B2%255D?imgmax=800
https://lh3.googleusercontent.com/-3eLf5MsmE68/W7ZmwJomPEI/AAAAAAAAGnY/4tprBYf2GdU03B7GXIELPFH_sa7A13UBwCHMYCw/s72-c/EV-green-bar-FR_thumb%255B2%255D?imgmax=800
Crack-net
https://www.crack-net.com/2018/10/ssl-tls-https-comment-ca-marche.html
https://www.crack-net.com/
https://www.crack-net.com/
https://www.crack-net.com/2018/10/ssl-tls-https-comment-ca-marche.html
true
3471367308829404027
UTF-8
Loaded All Posts Articles non trouvés VOIR TOUT Lire plus... Répondre Cancel reply Effacer Par Home PAGES Articles Voir Tout RECOMMANDÉ POUR VOUS LABEL ARCHIVE RECHERCHER TOUS LES ARTICLES Aucun article ne correspond à votre recherche Back Home Dimanche Lundi Mardi Mercredi Jeudi Vendredi Samedi Dim Lun Mar Mer Jeu Ven Sam Janvier Février Mars Avril Mai Juin Juillet Aout Septembre Octobre Novembre Décembre Jan Fev Mar Avr Mai Jun Jul Aug Sep Oct Nov Dec A l'instant Il y a 1 minute $$1$$ minutes ago Il y a 1 heure $$1$$ hours ago Hier $$1$$ days ago $$1$$ weeks ago Il y a plus de 5 semaines Followers Follow CONTENU PREMIUM BLOQUÉ Etape 1: Partager. STEP 2: Cliquer sur le lien partagé pour débloquer Copier tout le code Sélectionner tout le code Tout le code est copié Impossible de copier le code/texte, veuillez appuyer sur [CTRL]+[C] (ou CMD+C sur Mac) pour copier