Qu'est-ce que SSL et quel type de certificat vous convient –

Cet article a été créé en partenariat avec GoGetSSL . Merci de soutenir les partenaires qui rendent SitePoint possible.

Au cours de la dernière décennie, le taux de cybercriminalité a fortement augmenté. De nombreuses organisations commerciales et agences gouvernementales réputées qui n’ont pas mis en place une sécurité en ligne suffisante ont déjà été prises avec leur pantalon baissé. Google a commencé à prendre fermement position contre les sites Web qui n'utilisent pas HTTPS. Les visiteurs du site Web seront informés s'ils sont sur le point de soumettre des informations via une connexion non sécurisée.

Dans cet article, vous apprendrez comment protéger vos clients et votre entreprise contre les atteintes à la vie privée et le vol de données. Vous apprendrez à utiliser la technologie SSL pour sécuriser vos sites Web et vos applications contre les fuites de données sensibles vers les écoutes.

Je ne serai pas en mesure de vous montrer comment installer SSL, car c'est un sujet avancé. Vous pouvez trouver plus d'informations sur le processus d'installation ici .

Fonctionnement de SSL en anglais simple

Imaginez que vous êtes dans votre chambre d'hôtel, sur votre ordinateur portable, connecté au WIFI de l'hôtel. Vous êtes sur le point de vous connecter au portail en ligne de votre banque. Pendant ce temps, un pirate infâme a habilement réservé une chambre à côté de la vôtre et a mis en place un poste de travail simple qui écoute tout le trafic réseau dans le bâtiment de l'hôtel. Tout le trafic utilisant le protocole HTTP peut être vu par le pirate en clair.

En supposant que le site Web de la banque utilise uniquement HTTP, les détails du formulaire tels que le nom d'utilisateur et le mot de passe seront visibles par le pirate dès que vous appuyez sur Soumettre. Alors, comment protégeons-nous ces données? La réponse est évidemment le cryptage. Le chiffrement des données implique la conversion de données en texte brut en quelque chose qui semble tronqué – alias les données chiffrées. Pour crypter les données en texte brut, vous avez besoin de ce qu'on appelle un algorithme de cryptage et une clé de chiffrement.

Disons que vous deviez crypter les données suivantes:

 Venez pour les hot-dogs et les sodas!

Il ressemblera à ceci sous forme cryptée:

 wUwDPglyJu9LOnkBAf4vxSpQgQZltcz7LWwEquhdm5kSQIkQlZtfxtSTsmaw
q6gVH8SimlC3W6TDOhhL2FdgvdIC7sDv7G1Z7pCNzFLp0lgB9ACm8r5RZOBi
N5ske9cBVjlVfgmQ9VpFzSwzLLODhCU7 / 2THg2iDrW3NGQZfz3SSWviwCe7G
mNIvp5jEkGPCGcla4Fgdp / xuyewPk6NDlBewftLtHJVf
= PAb3

Le décryptage du message ci-dessus sans la clé de chiffrement peut prendre plus d'une vie en utilisant la puissance de calcul actuelle. Personne ne peut le lire à moins d'avoir la clé de chiffrement utilisée pour le chiffrer. Ce type de cryptage est appelé cryptage symétrique. Maintenant que nous avons compris comment protéger les données, nous avons besoin d'un moyen sûr de transmettre la clé de chiffrement au destinataire du message en toute sécurité. Nous pouvons le faire en utilisant un système de chiffrement asymétrique connu sous le nom de cryptographie à clé publique .

La cryptographie à clé publique utilise une paire de clés de chiffrement liées mathématiquement:

• Clé publique : peut être partagée en toute sécurité avec n'importe qui
• Clé privée : ne doit jamais être transmise, stockée en secret

Lorsqu'une clé est utilisée pour crypter, l'autre est utilisée pour décrypter. La même clé ne peut pas être utilisée pour déchiffrer ce qu'elle a chiffré. Vous trouverez ci-dessous une description de son fonctionnement:

Cependant, nous ne pouvons faire confiance à aucune clé publique qui nous a été délivrée car elle peut être générée par n'importe qui. Pour garantir l'authenticité des clés publiques, elles doivent être regroupées dans ce que l'on appelle un certificat SSL. Il s'agit d'un fichier numérique signé qui contient les informations suivantes:

• Nom du sujet: nom de la personne, de l'organisation ou de la machine
• Clé publique
• Signature numérique (empreinte digitale du certificat)
• Émetteur (l'entité qui a signé le certificat)
• Dates valides (début et expiration)

Je n'ai énuméré que les nécessités. Les certificats SSL contiennent généralement plus d'informations. Voici un exemple concret:

Comme vous pouvez le voir, le certificat ci-dessus a été signé (voir la section des vignettes). Une signature numérique est simplement un hachage chiffré d'un fichier. Expliquons d'abord ce qu'est un hachage. Supposons que vous ayez un document de 100 mots et que vous l'exécutiez via un programme de hachage. Vous obtiendrez le hachage suivant:

 46798b5cfca45c46a84b7419f8b74735

Si vous modifiez quelque chose dans le document, même s'il ajoute un point complet, un hachage complètement nouveau sera généré lorsque vous exécuterez à nouveau la fonction de hachage:

 bc527343c7ffc103111f3a694b004e2f

Un décalage dans le hachage entre le hachage envoyé et celui généré signifie que le fichier a été modifié. Il s'agit de la première ligne de défense pour garantir qu'aucun certificat SSL n'a été modifié. Cependant, nous devons vérifier que le hachage envoyé a été créé par l'émetteur du certificat. Cela se fait en chiffrant le hachage à l'aide de la clé privée de l'émetteur. Lorsque nous effectuons un hachage local du certificat, puis décryptons la signature du certificat pour obtenir le hachage envoyé, nous pouvons comparer les deux. S'il y a une correspondance, cela signifie:

• le certificat n'a pas été modifié par quelqu'un d'autre
• nous avons la preuve que le certificat provient de l'émetteur, puisque nous avons réussi à décrypter la signature en utilisant leur clé publique
• nous peut faire confiance à l'authenticité de la clé publique jointe au certificat SSL.

Maintenant, vous vous demandez peut-être où nous obtenons la clé publique de l'émetteur et pourquoi nous devons lui faire confiance. Eh bien, la clé publique de l'émetteur est déjà préinstallée dans nos systèmes d'exploitation et navigateurs. Un émetteur est une autorité de certification (CA) de confiance qui signe les certificats conformément aux directives officielles du CA / Browser Forum et aux recommandations du NIST. Par exemple, voici une liste des émetteurs / autorités de certification de confiance que vous trouverez sur le système d'exploitation de Microsoft. Même les smartphones et les tablettes ont une liste similaire préinstallée sur le système d'exploitation et le navigateur.

Selon une enquête menée par W3Techs en mai 2018, les émetteurs suivants représentent environ 90% des certificats valides signés dans le monde:

• IdenTrust [19659020] Comodo
• DigiCert (acquis par Symantec)
• GoDaddy
• GlobalSign

Maintenant que vous maîtrisez le chiffrement et la technologie SSL, il est préférable de voir comment vous connecter en toute sécurité au portail de votre banque en utilisant HTTPS sans que le pirate d'à côté ne lise votre trafic.

1. Le navigateur de votre ordinateur portable commence par demander aux serveurs de la banque son certificat SSL.
2. Le serveur l'envoie. Le navigateur vérifie ensuite que le certificat est authentique par rapport à une liste d'autorités de certification de confiance. Il vérifie également qu'il n'a pas expiré et qu'il n'a pas été révoqué.
3. Si tout est vérifié, le navigateur génère une nouvelle clé de chiffrement (également connue sous le nom de clé de session ). À l'aide de la clé publique trouvée sur le certificat SSL, elle est chiffrée puis envoyée au serveur.
4. Le serveur déchiffre la clé de session à l'aide de sa clé privée.
5. Désormais, toutes les communications envoyées d'avant en arrière seront chiffrées à l'aide de la clé de session. Le chiffrement symétrique est plus rapide qu'asymétrique.

Cela signifie que les données de formulaire provenant de l'ordinateur portable et les données HTML provenant du serveur seront chiffrées à l'aide d'une clé de chiffrement à laquelle le pirate n'aura pas accès. Tout ce qui sera vu dans les journaux de trafic capturés sera des lettres et des chiffres tronqués.

Maintenant que vous comprenez le fonctionnement de SSL en général, passons à la section suivante pour examiner les différents types de certificats SSL que nous pouvons utiliser.

Types of SSL

Validation de domaine Certificats SSL

Validation de domaine est le type de certificat SSL le plus abordable et le plus courant qui puisse être délivré à quiconque pour protéger des sites Web du domaine public. Pour acheter ce type de certificat SSL, vous devez prouver que vous êtes le propriétaire du domaine que vous souhaitez protéger. C'est pourquoi cela s'appelle la validation de domaine. Cela se fait de l'une des manières suivantes:

• création d'un enregistrement DNS TXT
• répondant à un e-mail envoyé au contact de messagerie enregistré dans les enregistrements whois du domaine whois répondant à un e-mail envoyé à un contact administratif bien connu de votre domaine, tel que admin@domain.com
• publiant un nonce fourni par un système automatisé d'émission de certificats

Google Chrome est actuellement le navigateur Web le plus populaire avec environ 70% de part de marché mondiale pour les navigateurs de bureau, en septembre 2019. Google a récemment intensifié sa position sur l'application des protocoles de sécurité aux propriétaires de sites Web pour garantir la confidentialité de l'utilisateur final. Les sites Web qui ne sont pas protégés sont marqués comme non sécurisés. Les utilisateurs sont également fortement découragés s'ils essaient de soumettre un formulaire à un site Web non protégé. Si le site Web a un certificat SSL expiré ou invalide, le site sera temporairement bloqué.

Si vous ne voulez pas perdre de trafic précieux parce que votre site Web n'est pas protégé, vous devez vous assurer d'acquérir au moins un Certificat SSL de validation de domaine . Il ne faut que 5 à 8 minutes pour en obtenir un.

Public IP San SSL

Les certificats SSL sont généralement émis pour protéger un nom de domaine complet – comme www.domain.com . Si vous souhaitez protéger une adresse IP publique, vous devez acquérir un certificat Public IP SAN SSL . SAN signifie Subjective Alternative Name, qui est un champ du champ de certificat qui peut être utilisé pour contenir l'adresse IP.

Wildcard SSL

Un certificat SSL normal ne s'applique qu'à un seul domaine – comme www .domain.com . Si vous souhaitez protéger un sous-domaine, vous devrez acheter un nouveau certificat SSL pour celui-ci. Au lieu d'acheter un nouveau certificat SSL pour chaque sous-domaine que vous gérez, vous pouvez simplement acheter un certificat SSL Wildcard qui s'appliquera à vos sous-domaines, c'est-à-dire *. Domain.com . C'est plus rentable que d'acheter plusieurs certificats SSL. Il est également plus facile d'administrer à l'aide d'un seul certificat SSL.

Cependant, si un sous-domaine est compromis, cela signifie que tous les sous-domaines utilisant le même certificat sont compromis. Vous devrez le révoquer et demander un nouveau certificat. Vous pouvez également acheter séparément si vous ne rencontrez pas ce type de problème.

Certificats SSL multi-domaines

Comme son nom l'indique, vous pouvez acheter un Certificat SSL multi-domaines, qui protège jusqu'à 250 domaines et sous-domaines. Ce type de certificat est particulièrement utile pour protéger des centaines de serveurs de communication de bureau qui peuvent s'étendre sur différentes régions géographiques. Même si le trafic est limité à l'intérieur d'un réseau d'entreprise, il est préférable de le protéger également en utilisant SSL, car il est facile pour un employé voyou de surveiller et d'enregistrer le trafic de tout le monde.

Résumé

J'espère que vous avez maintenant suffisamment d'informations pour décider quel certificat SSL acheter. Notez que les certificats SSL ne sont valables que deux ans. Il s'agit d'une fonction de sécurité pour garantir que les informations sur les certificats sont mises à jour. Il garantit également qu'aucune clé égarée n'est utilisée pour infiltrer le trafic. Les certificats SSL gratuits sont généralement valables pendant 90 jours. Si vous voulez vous assurer de ne pas oublier d'acheter un renouvellement, vous pouvez obtenir un abonnement de 3 ou 4 ans . Veuillez noter que le taux limite de deux ans s'applique. Vous serez contacté vers la fin de la date d'expiration pour remplacer le certificat par un nouveau. L'avantage de choisir un plan d'abonnement plus long est que vous économisez de l'argent par rapport à l'achat annuel.

J'écris du code propre, lisible et modulaire. J'adore apprendre de nouvelles technologies qui apportent des gains d'efficacité et une productivité accrue à mon flux de travail.