Avant de se plonger dans les nombreux avantages et utilisations des certificatsSSL , il peut être utile de comprendre la technologie sous-jacente. Cet article présente une brève leçon d'histoire sur l'évolution de Secure Socket Layer (SSL) vers Transport Layer Security (TLS ) et une explication simple de la manière dont ils assurent la sécurité des connexions Internet publiques et des connexions Intranet des entreprises.
En particulier, l'objectif est de vous donner une vue d'ensemble du protocole Secure Socket Layer (SSL ) et des certificats afin de vous aider à prendre les meilleures décisions concernant la gestion des certificats pour votre entreprise.
Qu'est-ce que SSL?
SSL est le nom original du protocole cryptographique permettant d'authentifier et de chiffrer les communications sur un réseau. Officiellement, SSL a été remplacé par un protocole mis à jour appelé TLS il y a quelque temps.
SSL à TLS Chronologie
Voici une chronologie de l'évolution de SSL au fil du temps :
- SSL est un protocole de sécurité développé par Netscape dans les années 90 pour crypter et sécuriser les communications sur Internet. SSL v1.0 n'a jamais été publié en raison de problèmes de sécurité.
- En 1995, Netscape a publié SSL v2.0, mais il présentait encore de nombreux défauts.
- SSL La version 3.0 est sortie en 1996 et a résolu les problèmes de SSL v2.0. Cette version a apporté d'incroyables améliorations et a changé à jamais le fonctionnement de l'internet. Cependant, depuis 2015, SSL 3.0 et les versions antérieures sont obsolètes.
- TLS a été développé par l'Internet Engineering Task Force (IETF) comme une amélioration de SSL; TLS v1.0 publié en 1999 et basé sur SSL v3.0, avec des améliorations de sécurité mineures mais suffisamment importantes pour que SSL v3.0 et TLS v1.0 n'interopèrent pas.
- TLS La version 1.1 est sortie sept ans plus tard, en 2006, et a été remplacée par TLS v1.2 peu après, en 2008. Cela a nui à l'adoption de TLS v1.1, car de nombreux sites web sont passés directement de TLS v1.0 à TLS v1.2. 11 ans plus tard, nous en sommes à TLS v1.3.
- TLS La version 1.3 a été finalisée en 2018 et après près de 30 projets de l'IETF. TLS v1.3 apporte des améliorations significatives par rapport à ses prédécesseurs. Microsoft, Apple, Google, Mozilla, Cloudflare et Cisco ont tous abandonné TLS v1.0 et TLS v1.1 à compter de mars 2020. TLS v1.2 et TLS v1.3 sont désormais les seuls protocoles SSL encore disponibles.
Donc, en réalité, TLS est simplement une version plus récente de SSL. Cependant, la plupart des gens continuent à dire SSL au lieu de TLS. SSL et TLS ont le même objectif, protéger les informations sensibles pendant la transmission, mais sous le capot, la cryptographie a beaucoup changé depuis l'original SSL jusqu'à la dernière TLS v1.3.
Les certificats numériques sont au cœur du protocole SSL ; ils initient les connexions sécurisées entre les serveurs (sites web, intranets ou VPN) et les clients (navigateurs web, applications ou clients de messagerie).
SSL offrent une protection adéquate contre l'hameçonnage et l'écoute des transmissions, ainsi que l'authentification automatique d'un serveur, tel que le domaine d'un site web. Si un site web demande des informations sensibles aux utilisateurs, il doit disposer d'un certificat SSL pour les crypter pendant la transmission. S'il n'y a pas de certificat SSL , il ne faut pas faire confiance à cette connexion pour obtenir des informations privées.
Comment cela fonctionne-t-il ?
L'objectif premier de SSL est de fournir une connexion sécurisée au niveau de la couche transport entre deux points finaux, le serveur et le client. Cette connexion se fait généralement entre le serveur d'un site web et le navigateur du client, ou entre un serveur de messagerie et l'application de messagerie du client, telle qu'Outlook.
SSL comprend deux protocoles distincts :
- Le protocole protocole Handshake authentifie le serveur (et éventuellement le client), négocie les suites cryptographiques et génère la clé partagée.
- Le protocole protocole Record isole chaque connexion et utilise la clé partagée pour sécuriser les communications pour le reste de la session.
Le protocole de la poignée de main
La poignée de main SSL est une technique de cryptographie asymétrique pour établir un canal sécurisé permettant au serveur et au client de communiquer - HTTPS commencent toujours par la poignée de main SSL .
Une poignée de main réussie se déroule derrière le navigateur ou l'application du client, instantanément et automatiquement, sans perturber l'expérience de l'utilisateur. En revanche, une poignée de main qui échoue déclenche l'interruption de la connexion, généralement précédée d'un message d'alerte dans le navigateur du client.
Pour autant que le site SSL soit valide et correct, la poignée de main offre les avantages suivants en matière de sécurité :
- Authentification : Le serveur est toujours authentifié tant que la connexion est valide.
- Confidentialité : Les données envoyées via SSL sont cryptées et ne sont visibles que par le serveur et le client.
- Intégrité : Les signatures de certificats numériques garantissent que les données n'ont pas été modifiées pendant le transfert.
En résumé, les certificats SSL fonctionnent fondamentalement en utilisant un mélange de cryptographie asymétrique et de cryptographie symétrique pour les communications sur l'internet. Il existe également d'autres infrastructures impliquées dans la réalisation de la communication SSL dans les entreprises, connues sous le nom d'infrastructures à clé publique.
Comment fonctionnent les certificats SSL ?
Lorsque vous recevez le certificat SSL , vous l'installez sur votre serveur. Vous pouvez installer un certificat intermédiaire qui établit la crédibilité de votre certificat SSL en l'associant au certificat racine de votre autorité de certification.
Les certificats racine sont auto-signés et constituent la base d'une infrastructure à clé publique basée sur X.509 (PKI). Le site PKI , qui prend en charge le protocole HTTPS pour la navigation sécurisée sur le web et les systèmes de signature électronique, dépend des certificats racine. Dans d'autres applications des certificats X.509, une hiérarchie de certificats certifie la validité de l'émission d'un certificat. Cette hiérarchie est appelée "chaîne de confiance".
Chaîne de confiance
La chaîne de confiance fait référence à votre certificat SSL et à son lien avec une autorité de certification de confiance. Pour qu'un certificat SSL soit fiable, il doit remonter à une autorité de certification racine de confiance. Une chaîne de confiance garantit la confidentialité, la confiance et la sécurité pour toutes les parties concernées.
Au cœur de chaque site PKI se trouve l'autorité de certification racine, qui sert de source d'intégrité fiable pour l'ensemble du système. L'autorité de certification racine signe un certificat SSL , démarrant ainsi la chaîne de confiance. Si l'autorité de certification racine jouit d'une confiance publique, tous les principaux navigateurs et systèmes d'exploitation Internet font confiance à tout certificat d'autorité de certification valide qui lui est associé.
Comment une chaîne de confiance est-elle vérifiée ?
Le client ou le navigateur connaît intrinsèquement les clés publiques d'une poignée d'autorités de certification de confiance et utilise ces clés pour vérifier le certificat SSL du serveur. Le client répète le processus de vérification de manière récursive avec chaque certificat de la chaîne de confiance jusqu'à ce qu'il remonte au début, c'est-à-dire à l'autorité de certification racine.
À quoi sert un certificat SSL ?
Dans les connexions HTTP non sécurisées, les pirates peuvent facilement intercepter les messages entre le client et le serveur et les lire en texte clair. Les connexions cryptées brouillent les communications jusqu'à ce que le client puisse les décrypter avec l'autre clé de session.
Lorsqu'ils sont installés sur un serveur web, les certificats SSL utilisent un système de paires de clés publiques/privées pour lancer le protocole HTTPS et permettre aux utilisateurs et aux clients de se connecter en toute sécurité.
Pour l'internet : Que font les certificats SSL pour les sites web ?
Lorsqu'un certificat SSL signé sécurise un site web, il prouve que l'organisation a vérifié et authentifié son identité auprès du tiers de confiance ; puisque le navigateur fait confiance à l'autorité de certification, il fait également confiance à l'identité de cette organisation.
Le moyen le plus simple de vérifier si le site web dispose d'un certificat SSL est de regarder dans votre navigateur ; voyez si l'URL du site web commence par "HTTPS :", car cela indique qu'un certificat SSL est installé sur le serveur. Si c'est le cas, cliquez sur l'icône du cadenas dans la barre d'adresse pour afficher les informations relatives au certificat.
Les navigateurs web utilisent le protocole de transfert d'hypertexte (HTTP) pour se connecter aux serveurs web qui écoutent sur le port TCP 80 par défaut. HTTP est un protocole en texte clair, ce qui signifie qu'il est relativement facile pour un pirate d'intercepter et de lire les données en transit. Il n'est pas adapté à une application exigeant la confidentialité.
SSL utilise le port 443, crypte les données échangées entre le navigateur et le serveur et authentifie l'utilisateur. Par conséquent, lorsque les communications entre le navigateur web et le serveur doivent être sécurisées, le navigateur passe automatiquement à SSL - c'est-à-dire tant que le serveur dispose d'un certificat SSL .
L'établissement d'une connexion avec un serveur doté d'un certificat signé par une autorité de certification de confiance se fait sans difficulté supplémentaire pour l'utilisateur. Lorsqu'un internaute visite un site web sécurisé SSL, il est plus enclin à communiquer ses coordonnées ou à effectuer des achats avec sa carte de crédit. En outre, la présence d'un certificat SSL sur votre site web améliore votre position dans le classement, ce qui permet aux utilisateurs et aux clients de trouver plus facilement votre site.
SSL atteste de la fiabilité d'un site web, mais avec des certificats plus avancés, toute l'entreprise peut être certifiée SSL .
Pour les intranets : Que font les certificats SSL pour les applications dans un environnement d'entreprise ?
Bien que SSLait été conçu à l'origine pour le World Wide Web, les entreprises utilisent les certificats SSL pour sécuriser un large éventail de connexions internes et externes. Les cas d'utilisation les plus courants des certificats d'entreprise SSL sont les suivants :
- Contrôles d'accès au réseau
- Réseaux privés virtuels (VPN)
- Signature unique
- Internet des objets (IoT)
Si elles sont correctement configurées, toutes ces applications fonctionnent sur le protocole SSL . Nous examinerons ces exemples de plus près dans la section suivante :
Accès au réseau
Les employés qui connectent des appareils sans fil au réseau de l'entreprise ont besoin d'un accès facile, alors que le réseau doit empêcher l'accès non autorisé aux ressources de l'entreprise. Les employés peuvent utiliser les certificats SSL pour accéder aux fichiers et les crypter à partir de leurs appareils, des serveurs de l'entreprise ou même des serveurs en nuage pour les personnes autorisées.
Évitez d'avoir à vous souvenir ou à réinitialiser des mots de passe longs et difficiles à retenir, qui changent tous les 90 jours, en les remplaçant par une identité numérique. Placez une identité numérique dans le bureau Windows ou Mac, le serveur ou les points d'accès WiFi, afin que seuls les appareils autorisés puissent se connecter à votre réseau d'entreprise.
Signature unique
Aujourd'hui, les employés des entreprises ont accès à une grande variété de services d'identité ou de produits de fédération. Les entreprises utilisent souvent un produit d'authentification unique Web pour accéder à toutes leurs ressources dans le portail de l'entreprise ou les services en nuage.
Internet des objets
Une identité numérique peut être installée dans votre appareil IoT et dans l'appareil ou l'application de l'utilisateur afin de garantir que seuls les appareils IoT de confiance puissent se connecter à votre réseau. L'appareil IoT reçoit des instructions ou envoie des données à des applications autorisées, et les utilisateurs possèdent une identité numérique.
SSL VPN
Un réseau privé virtuel Secure Sockets Layer (SSL VPN) est un réseau privé virtuel (VPN) créé à l'aide du protocole Secure Sockets Layer (SSL). Les services informatiques peuvent faire évoluer à la fois la solution et les services d'infrastructure requis. SSL Le VPN permet un contrôle granulaire de l'accès géré aux applications web de l'entreprise. Les avantages les plus significatifs de SSL VPN proviennent peut-être de l'efficacité et de la productivité accrues de la libération des ressources informatiques en permettant l'accès à distance à tous les certificats numériques.
Signature de codes, de documents et de courriels
Beaucoup de gens ne réalisent pas que les certificats de signature de code, de document et de courrier électronique ne sont pas des certificats SSL . Même s'ils sont tous facilités par les certificats x.509 de PKI , la fonction d'utilisation des clés fait toute la différence. Lisez "Différence entre signature de code et certificat SSL " ou "Différence entre certificat numérique et signature numérique" pour en savoir plus sur le sujet.