The countdown is on to Keyfactor Tech Days     | secure your spot today!

What is an SSL Certificate and How does it Work?

Certificats SSL/TLS

Before diving into the many benefits and uses of SSL Certificates, it may help to understand the underpinning technology. This article provides a brief history lesson on how Secure Socket Layer (SSL) has evolved into Transport Layer Security (TLS) and a simple explanation of how they provide security for both Public internet and enterprise intranet connections.

In particular, the aim is to give you a complete overview of the Secure Socket Layer (SSL) protocol and certificates to help you make the best decisions regarding certificate management for your enterprise.

Qu'est-ce que SSL?

SSL is the original name of the cryptographic protocol for authenticating and encrypting communications over a network. Officially, SSL was replaced by an updated protocol called TLS some time ago. 

SSL à TLS Chronologie

Voici une chronologie de l'évolution de SSL au fil du temps :

  1. SSL est un protocole de sécurité développé par Netscape dans les années 90 pour crypter et sécuriser les communications sur Internet. SSL v1.0 n'a jamais été publié en raison de problèmes de sécurité.
  2. En 1995, Netscape a publié SSL v2.0, mais il présentait encore de nombreux défauts.
  3. SSL La version 3.0 est sortie en 1996 et a résolu les problèmes de SSL v2.0. Cette version a apporté d'incroyables améliorations et a changé à jamais le fonctionnement de l'internet. Cependant, depuis 2015, SSL 3.0 et les versions antérieures sont obsolètes.
  4. TLS a été développé par l'Internet Engineering Task Force (IETF) comme une amélioration de SSL; TLS v1.0 publié en 1999 et basé sur SSL v3.0, avec des améliorations de sécurité mineures mais suffisamment importantes pour que SSL v3.0 et TLS v1.0 n'interopèrent pas.
  5. TLS La version 1.1 est sortie sept ans plus tard, en 2006, et a été remplacée par TLS v1.2 peu après, en 2008. Cela a nui à l'adoption de TLS v1.1, car de nombreux sites web sont passés directement de TLS v1.0 à TLS v1.2. 11 ans plus tard, nous en sommes à TLS v1.3.
  6. TLS La version 1.3 a été finalisée en 2018 et après près de 30 projets de l'IETF. TLS v1.3 apporte des améliorations significatives par rapport à ses prédécesseurs. Microsoft, Apple, Google, Mozilla, Cloudflare et Cisco ont tous abandonné TLS v1.0 et TLS v1.1 à compter de mars 2020. TLS v1.2 et TLS v1.3 sont désormais les seuls protocoles SSL encore disponibles.

 

Donc, en réalité, TLS est simplement une version plus récente de SSL. Cependant, la plupart des gens continuent à dire SSL au lieu de TLS. SSL et TLS ont le même objectif, protéger les informations sensibles pendant la transmission, mais sous le capot, la cryptographie a beaucoup changé depuis l'original SSL jusqu'à la dernière TLS v1.3.

Digital certificates are the core of the SSL protocol; they initiate the secure connections between servers (e.g., websites, intranets, or VPN) and clients (e.g., web browsers, applications, or email clients).

SSL offrent une protection adéquate contre l'hameçonnage et l'écoute des transmissions, ainsi que l'authentification automatique d'un serveur, tel que le domaine d'un site web. Si un site web demande des informations sensibles aux utilisateurs, il doit disposer d'un certificat SSL pour les crypter pendant la transmission. S'il n'y a pas de certificat SSL , il ne faut pas faire confiance à cette connexion pour obtenir des informations privées.

Comment cela fonctionne-t-il ?

L'objectif premier de SSL est de fournir une connexion sécurisée au niveau de la couche transport entre deux points finaux, le serveur et le client. Cette connexion se fait généralement entre le serveur d'un site web et le navigateur du client, ou entre un serveur de messagerie et l'application de messagerie du client, telle qu'Outlook.

SSL comprend deux protocoles distincts :

  1. The Handshake protocol authenticates the server (and optionally the client), negotiates crypto suites, and generates the shared key. 
  2. Le protocole protocole Record isole chaque connexion et utilise la clé partagée pour sécuriser les communications pour le reste de la session.

Le protocole de la poignée de main

La poignée de main SSL est une technique de cryptographie asymétrique pour établir un canal sécurisé permettant au serveur et au client de communiquer - HTTPS commencent toujours par la poignée de main SSL .

Une poignée de main réussie se déroule derrière le navigateur ou l'application du client, instantanément et automatiquement, sans perturber l'expérience de l'utilisateur. En revanche, une poignée de main qui échoue déclenche l'interruption de la connexion, généralement précédée d'un message d'alerte dans le navigateur du client.

Pour autant que le site SSL soit valide et correct, la poignée de main offre les avantages suivants en matière de sécurité :

  • Authentification : Le serveur est toujours authentifié tant que la connexion est valide.
  • Confidentialité : Les données envoyées via SSL sont cryptées et ne sont visibles que par le serveur et le client.
  • Intégrité : Les signatures de certificats numériques garantissent que les données n'ont pas été modifiées pendant le transfert.

 

En résumé, les certificats SSL fonctionnent fondamentalement en utilisant un mélange de cryptographie asymétrique et de cryptographie symétrique pour les communications sur l'internet. Il existe également d'autres infrastructures impliquées dans la réalisation de la communication SSL dans les entreprises, connues sous le nom d'infrastructures à clé publique.

Comment fonctionnent les certificats SSL ?

Lorsque vous recevez le certificat SSL , vous l'installez sur votre serveur. Vous pouvez installer un certificat intermédiaire qui établit la crédibilité de votre certificat SSL en l'associant au certificat racine de votre autorité de certification.

Les certificats racine sont auto-signés et constituent la base d'une infrastructure à clé publique basée sur X.509 (PKI). Le site PKI , qui prend en charge le protocole HTTPS pour la navigation sécurisée sur le web et les systèmes de signature électronique, dépend des certificats racine. Dans d'autres applications des certificats X.509, une hiérarchie de certificats certifie la validité de l'émission d'un certificat. Cette hiérarchie est appelée "chaîne de confiance".

Chaîne de confiance

La chaîne de confiance fait référence à votre certificat SSL et à son lien avec une autorité de certification de confiance. Pour qu'un certificat SSL soit fiable, il doit remonter à une autorité de certification racine de confiance. Une chaîne de confiance garantit la confidentialité, la confiance et la sécurité pour toutes les parties concernées.

Au cœur de chaque site PKI se trouve l'autorité de certification racine, qui sert de source d'intégrité fiable pour l'ensemble du système. L'autorité de certification racine signe un certificat SSL , démarrant ainsi la chaîne de confiance. Si l'autorité de certification racine jouit d'une confiance publique, tous les principaux navigateurs et systèmes d'exploitation Internet font confiance à tout certificat d'autorité de certification valide qui lui est associé.

Comment une chaîne de confiance est-elle vérifiée ?

Le client ou le navigateur connaît intrinsèquement les clés publiques d'une poignée d'autorités de certification de confiance et utilise ces clés pour vérifier le certificat SSL du serveur. Le client répète le processus de vérification de manière récursive avec chaque certificat de la chaîne de confiance jusqu'à ce qu'il remonte au début, c'est-à-dire à l'autorité de certification racine.

À quoi sert un certificat SSL ?

Dans les connexions HTTP non sécurisées, les pirates peuvent facilement intercepter les messages entre le client et le serveur et les lire en texte clair. Les connexions cryptées brouillent les communications jusqu'à ce que le client puisse les décrypter avec l'autre clé de session.

Lorsqu'ils sont installés sur un serveur web, les certificats SSL utilisent un système de paires de clés publiques/privées pour lancer le protocole HTTPS et permettre aux utilisateurs et aux clients de se connecter en toute sécurité.

Pour l'internet : Que font les certificats SSL pour les sites web ?

Lorsqu'un certificat SSL signé sécurise un site web, il prouve que l'organisation a vérifié et authentifié son identité auprès du tiers de confiance ; puisque le navigateur fait confiance à l'autorité de certification, il fait également confiance à l'identité de cette organisation.

Le moyen le plus simple de vérifier si le site web dispose d'un certificat SSL est de regarder dans votre navigateur ; voyez si l'URL du site web commence par "HTTPS :", car cela indique qu'un certificat SSL est installé sur le serveur. Si c'est le cas, cliquez sur l'icône du cadenas dans la barre d'adresse pour afficher les informations relatives au certificat.

Historically, web browsers use HyperText Transfer Protocol (HTTP) to connect to web servers that listen on TCP port 80 by default. HTTP is a plain-text protocol, which means it is relatively easy for a hacker to intercept and read the transit data. Due to the proliferation of phishing, Google’s Chrome browser, among others, now redirects to HTTPS by default.

SSL utilise le port 443, crypte les données échangées entre le navigateur et le serveur et authentifie l'utilisateur. Par conséquent, lorsque les communications entre le navigateur web et le serveur doivent être sécurisées, le navigateur passe automatiquement à SSL - c'est-à-dire tant que le serveur dispose d'un certificat SSL .

L'établissement d'une connexion avec un serveur doté d'un certificat signé par une autorité de certification de confiance se fait sans difficulté supplémentaire pour l'utilisateur. Lorsqu'un internaute visite un site web sécurisé SSL, il est plus enclin à communiquer ses coordonnées ou à effectuer des achats avec sa carte de crédit. En outre, la présence d'un certificat SSL sur votre site web améliore votre position dans le classement, ce qui permet aux utilisateurs et aux clients de trouver plus facilement votre site.

SSL atteste de la fiabilité d'un site web, mais avec des certificats plus avancés, toute l'entreprise peut être certifiée SSL .

Pour les intranets : Que font les certificats SSL pour les applications dans un environnement d'entreprise ?

Bien que SSLait été conçu à l'origine pour le World Wide Web, les entreprises utilisent les certificats SSL pour sécuriser un large éventail de connexions internes et externes. Les cas d'utilisation les plus courants des certificats d'entreprise SSL sont les suivants :

  • Network Access Controls (NAC)
  • Réseaux privés virtuels (VPN)
  • Single Sign-On (SSO)
  • Internet des objets (IoT)

 

If properly configured, all these applications run on top of SSL protocol. We’ll take a closer look at these examples in the following section:

Accès au réseau

Les employés qui connectent des appareils sans fil au réseau de l'entreprise ont besoin d'un accès facile, alors que le réseau doit empêcher l'accès non autorisé aux ressources de l'entreprise. Les employés peuvent utiliser les certificats SSL pour accéder aux fichiers et les crypter à partir de leurs appareils, des serveurs de l'entreprise ou même des serveurs en nuage pour les personnes autorisées.

Évitez d'avoir à vous souvenir ou à réinitialiser des mots de passe longs et difficiles à retenir, qui changent tous les 90 jours, en les remplaçant par une identité numérique. Placez une identité numérique dans le bureau Windows ou Mac, le serveur ou les points d'accès WiFi, afin que seuls les appareils autorisés puissent se connecter à votre réseau d'entreprise.

Signature unique

Aujourd'hui, les employés des entreprises ont accès à une grande variété de services d'identité ou de produits de fédération. Les entreprises utilisent souvent un produit d'authentification unique Web pour accéder à toutes leurs ressources dans le portail de l'entreprise ou les services en nuage.

Internet des objets

A digital identity can be installed in your IoT device and the user’s device or application to ensure that only trusted IoT devices could connect to your network. The IoT device takes instructions from or sends data to authorized applications, and users possess a digital identity.

SSL VPN

A Secure Sockets Layer Virtual Private Network (SSL VPN) is a virtual private network (VPN) created using the Secure Sockets Layer (SSL). IT departments can scale both the solution and its required infrastructure services. SSL VPN enables granular control over managed application access to enterprise web applications. Perhaps the most significant benefits of SSL VPN come from the gained efficiency and productivity of freeing up IT resources by enabling all digital certificates to be accessed remotely.

Signature de codes, de documents et de courriels

Many people don’t realize that code signing, document signing, and email signing certificates are not SSL certificates. Even though they are all facilitated by PKI x.509 certificates, the key-usage function makes all the difference. Read “Difference Between Code Signing and SSL certificate” or “Difference Between Digital certificate and Digital Signature” to learn more on the subject.