Sécurisez des Transferts de Données en Ligne avec SSL

TM
TM
Sécurisez des Transferts de Données en
Ligne avec SSL Un guide pour comprendre les
certificats SSL, comment ils fonctionnent et leur
application…
1. Aperçu
2. Qu'est-ce que le SSL?
3. Comment savoir si un site web est sécurisé
4. À quoi ressemble un certificat SSL?
5. Alertes de sécurité du navigateur
6. Comment établir une session SSL?
7. Clés publique et privées
8. Applications du SSL
9. Quand est-ce que le déploiement des certificats SSL appropriée?
10. de certificat SSL de thawte
11. Testez des certificats SSL sur votre serveur web
12. Sceau de site de thawte
13. Liens URL utiles
14. Quel rôle joue thawte?
15. La valeur de l'authentification
16. Contactez thawte
17. Glossaire
TM
TM
1.
Aperçu
thawte est un leader mondial dans la fourniture de certificats SSL En utilisant un certificat SSL de thawte
sur le(s) serveur(s) web de votre société, vous pouvez récupérer en toute sécurité des informations
sensibles en ligne et augmenter le volume de vos affaires en offrant à vos clients l'assurance que leurs
transactions sont sécurisées.
Ce guide se veut une introduction à la sécurité SSL en abordant les principes fondamentaux de son
fonctionnement. Vous y trouverez également un exposé sur les nombreuses applications des certificats
SSL et sur leur déploiement appropriée, accompagné d'informations sur la manière de tester des certificats
SSL sur votre serveur web.
2.
Qu'est-ce que le SSL?
Le SSL (Secure Socket Layer) est un protocole développé par Netscape en 1996 qui est rapidement devenu
la méthode par excellence pour sécuriser les transmissions de données via Internet. SSL est une parte
intégrale de la plupart des navigateurs et serveurs web et utilise le système de cryptage de clé publique et
privée développé par RSA.
Afin de réaliser une connexion SSL, le protocole SSL nécessite qu'un serveur dispose d'un certificat numérique
installé. Un certificat numérique est un fichier électronique qui identifie de manière unique des individus
et des serveurs. Les certificats numériques servent des passeports ou des pièces d'identité numériques qui
authentifient le serveur avant que la session SSL ne soit établie. En règle générale, les certificats
numériques sont signés par un tiers de confiance indépendant afin d'assurer leur validité. Le “signataire” d'un
certificat est appelé Autorité de Certification (CA - Certification Authority); thawte en est une
SSL fournit des communications sécurisées en combinant les deux éléments suivants:
1] Authentification –
un certificat numérique est lié à un domaine spécifique et la CA réalise avant de l'émettre un certain nombre
de vérifications pour confirmer l'identité de l'organisation qui en fait la requête. De cette manière, le certificat
ne peut être installé que sur le domaine pour lequel il a été authentifié, fournissant ainsi aux utilisateurs
l'assurance dont ils ont besoin.
2] Le cryptage –
Le cryptage est le procédé qui consiste à transformer des informations et à les rendre inintelligibles à tous
sauf au destinataire prévu. Il constitue la base de l'intégrité et du caractère privé des données nécessaires
au commerce électronique.
TM
TM
Remarque:
L'application la plus répandue des certificats SSL est celle de sécuriser les transferts de données entre les
navigateurs et les serveurs web. Bien que SSL puisse également être utilisé pour sécuriser les communications
serveur-à-serveur, ce guide va utiliser des exemples navigateur-serveur pour expliquer le fonctionnement
du SSL. Pour en savoir plus sur la sécurisation des communications serveur-serveur avec du SSL, veuillez
contacter un représentant commercial de thawte.
3.
Comment savoir si un site web est sécurisé
Le premier indice permettant de déterminer si
un site web est sécurisé ou non par un certificat
SSL se trouve dans la barre d'état du navigateur
- cherchez l'icône représentant un cadenas. Sur
les navigateurs IE, lorsque les pages ne sont
pas sécurisées, le cadenas n'est pas affiché.
Alors que si une session SSL est établie, l'icône
du cadenas s’affichera dans la barre d'état. Sur
Netscape, il existe deux icônes de cadenas “verrouillé”
et “ouvert” pour indiquer respectivement les sites
webs sécurisés et non sécurisés.
Le prochain indice à chercher se trouve dans la barre
d'adresse. Si une session sécurisée est établie entre le
navigateur et le serveur web, la partie “http:” de l'adresse
du site deviendra “https”. Par exemple:
“http://www.thawte.com” devient “https://www.thawte.com”.
Il est également possible de connaître la puissance de
cryptage d'une session
TM
TM
spécifique SSL. Sur IE, il suffit de pointer la souris sur l'icône du cadenas pour afficher la puissance de
cryptage.
Sur Netscape, double-cliquez sur le cadenas pour afficher le certificat.
La puissance de cryptage est indiquée dans le premier onglet du certificat.
Microsoft IE
Sécurisé:
NetScape
Sécurisé:
Non-sécurisé:
4.À quoi ressemble un certificat SSL?
Pour afficher le certificat d'un site web, double-cliquez sur l'icône du
cadenas verrouillé qui apparaît sur la barre d'état inférieure.
Certificat numérique quand vu avec un navigateur Netscape 7.0:
TM
TM
Certificat numérique quand utilisé avec un navigateur IE 6.0:
Un SSL Web Server Certificate ou un SGC SuperCert de thawte permet à votre client de voir les
informations suivantes:
• Le domaine pour lequel le certificat a été émis. Ceci leur permet de vérifier que le SSL Web Server Certificate
a bien été émis pour votre hôte et votre domaine exacts (www.mydomain.com).
• Le propriétaire du certificat. Ceci fait office d'assurance supplémentaire, car les clients peuvent voir avec
qui ils font affaires en ligne.
• La situation physique du propriétaire. Ceci assure une nouvelle fois aux clients qu'ils traitent avec une entité
réelle.
• La date de validité du certificat. Ceci est extrêmement important car cela montre aux utilisateurs que votre
certificat numérique est courant.
TM
TM
5. Alertes de sécurité du navigateur
Votre navigateur dispose d'une fonction de sécurité intégrée qui affiche un message d'avertissement
lorsque vous essayez de soumettre des informations à un site web où il y a un problème de certificat.
Voici un exemple de message d'avertissement affiché par Microsoft IE:
Dans l'exemple ci-dessus, l'alerte de sécurité est déclenchée car le nom de domaine ne correspond pas à
celui du site web que vous êtes en train d’accéder, ce qui indique que le site sur lequel le certificat est
installé n'a pas le droit de l'utiliser. D'autres avertissements de sécurité se déclenchent si la période de validité
d'un certificat a expiré. De même, un avertissement sera affiché dans le cas où le certificat est signé par
une racine qui n'est pas reconnue (une racine qui n'est pas installée par défaut dans le navigateur).
Par contre, un utilisateur qui accède à un site web disposant d'un certificat valide sera informé que le site
web qu'il visite dispose d'un certificat numérique émis par une Autorité de Certification (CA) reconnue, tel que
thawte, et que toutes les données qu'il enverra seront cryptées. En vérifiant le certificat, le client peut vérifier
que le site web appartient à une société qui existe vraiment et qui est propriétaire du nom de domaine
qu'il est en train d’accéder.
TM
TM
6. Comment une session SSL est-elle établie?
Lorsque vous vous connectez à un serveur web sécurisé tel que https://www.thawte.com, ce serveur doit
d'abord s'authentifier auprès de votre navigateur avec un certificat numérique avant qu'une connexion sécurisée
ne soit établie. Le diagramme suivant illustre les étapes qui se déroulent lorsqu'une session SSL est établie:
CLIENT
SERVER
CLEINT
Le client initie
Client
Initiates a
une connexion
Connection
Le client vérifie
The
Client verifies
l'ID numérique
de
cela ID.
the serveur.
server’sSi
Digital
lui est demandé,
If requested,
the client
le client
sends
itsenvoie
digital
son
ID
numérique
ID in response
en réponse
to the à la
requête
durequest
serveur.
server’s
Lorsque
When l'authentification
authentication
est
terminée, the
le client
is complete,
client
envoie
authe
serveur
sends
serverune
a
clé desession
session key
cryptée
en utilisant
la clé
encrypted
publique
du server’s
serveur.
using the
public key
SERVER
Bonjour?
Hello?
ID
Server
numérique
Digital
du serveur
ID
Le serveur répond en
Server
Responds
by
envoyant
au client
sending
the client
son ID numérique.
itsLe
Digital
ID. peut
The
serveur
server may
also
également
demander
request
l'ID numérique
du
the client’s
clientDigital
pour ID
for client
l'authentification
authentication
client
ID
Client
numérique
Digital
du ID
client
Clé de
Session
session
Key
a session
key is est
established,
secure
Une foisOnce
qu'une
clé de session
établie, une
communication
communication
clientet
and
server
sécurisée peut commence
commencerbetween
entre le client
le serveur.
Durant ce processus, le navigateur vérifie que:
• le nom de domaine du certificat correspond au nom de domaine depuis equel il a été envoyé
• le certificat n'a pas expiré
• la CA qui a signé le certificat est validée par le navigateur
Ce processus est transparent et l'utilisateur ne voit pas le déroulement des étapes ci-dessus. Le certificat
sert de preuve qu'un tiers de confiance indépendant, tel que thawte, a vérifié que le domaine appartient bien
à une société existant réellement et qu'il est donc totalement digne de foi. Un certificat valide fournit aux
clients l'assurance qu’ils envoient des informations personelles de manière sécurisée à la partie authentifiée
TM
TM
7. Clés publique et privées
Lorsque vous demandez un certificat, vous générez une paire de clés sur votre serveur – une clé publique
et une clé privée. Lorsqu'une paire de clés est générée pour votre société, votre clé privée est installée sur
votre serveur et il est fondamental qu'aucune autre personne ne puisse y accéder.
Votre clé privée crée des signatures numériques qui jouent en réalité le rôle de cachet en ligne de votre
société. Il est indispensable que cette clé soit conservée de manière aussi sûre que possible. Si vous perdez
votre clé privée, vous ne pourrez plus utiliser votre certificat. Pour cette raison, c’est indispensable que
vous fassiez une sauvegarde de la clé privée, en tant que meilleure pratique pou rassurer la gestion continue
de votre clé.
Votre clé publique correspondante est installée sur votre serveur web et fait partie du certificat numérique.
Les clés publique et privée sont mathématiquement liées, mais elles ne sont pas identiques. Les clients qui
veulent communiquer avec vous de manière privée (en utilisant SSL) utilisent la clé publique de votre certificat
pour crypter les informations avant de vous les envoyer. Ce processus est instantané et transparent pour
l'utilisateur. Seule la clé privé du serveur web peut décrypter ces informations. Les clients auront ainsi
l'assurance que rien de ce qu'ils vous ont envoyées ne sera vue par un tierce personne.
8. Applications du SSL
Il y a deux domaines d'applications principaux pour les certificats SSL:
1] La sécurisation des communications navigateur vers serveur web La sécurisation des communications navigateur vers serveur web est actuellement la principale application
et concerne le plus souvent les sites web de commerce électronique afin de sécuriser le transfert des
informations de paiement. Le type de données considéré sensible ne se limite plus aux données financières
et inclut toutes les informations personnellement identifiables y compris les numéros de sécurité sociale et
de pièces d'identités, et de plus en plus les adresses de courrier électronique.
2] La sécurisation des communications serveur-à-serveur De plus en plus de sociétés se tournent vers les certificats SSL pour sécuriser les échanges serveur-à-serveur.
C'est un domaine d'application qui fournit aux sociétés plusieurs options pour améliorer la sécurité des données
et l'intimité du réseau. Actuellement, la sécurisation des communications entre serveurs de courrier électronique
est l'application la plus commune, mais il est également possible de sécuriser, entre autres, des sites ftp et
des serveurs de base de données et d'applications.
TM
TM
9. Quand est-ce que le déploiement de certificats SSL
appropriée?
La décision de mettre en oeuvre des certificats SSL est basée sur l'importance attachée à la sécurité du
transfert de données en ligne. Par exemple, si vous traitez des transactions financières sur votre page web,
il ne fait absolument aucun doute que des certificats SSL sont requis. Si vous gérez des données de clients
sensibles, tels que des numéros de sécurité sociale ou de pièces d'identités, vous devez sérieusement
envisager l'utilisation de certificats SSL – surtout si la sécurité et le caractère privé des informations relatives
à vos clients/membres a une haute priorité.
Du point de vue commercial, le déploiement de certificats SSL fournit à vos clients/utilisateurs l'assurance
qu'ils ne sont exposés à aucun des risques associés à la transmission de données sur un réseau ouvert. Ceci
a en soi de nombreux avantages pour votre commerce, dont la plupart surviennent de la confiance accrue
lors de leur traitement avec votre société en ligne. Ainsi, si votre commerce dépend de la mise en place d'une
relation de confiance avec les clients pour faciliter les transactions en ligne, le déploiement des certificats
SSL est alors primordiale SSL certificats est essential.
10. Solutions de certificat SSL de thawte
Certificats SSL123
SSL123 est un certificat de domaine sécurisé validé, capable de cryptage à 128-bit dépendant du niveau de
cryptage supporté par le navigateur du client. Ce produit peut être délivrée en quelques minutes et est idéal
pour les commerces souhaitant mettre en place une sécurité élémentaire entre leur site Web et leurs utilisateurs
en ligne ainsi que pour des applications générales tel la sécurisation d’intranets.
SSL Web Server Certificates
Le SSL Web Server Certificate de thawte est capable de cryptage à 128-bit dépendant du niveau de cryptage
supporté par le navigateur du client. Ces certificats sont un produit idéal pour les organisations qui prennent
leur commerce en ligne au sérieux et reconnaissent la valeur et les avantages d’avoir des renseignements
validés concernant leur organisation inclus dans le certificat.
SGC SuperCerts
Un SGC SuperCert de thawte vous permettra d’étendre le cryptage à 128-bit à vos clients, même s’ils utilisent
un des navigateurs plus anciens qui suit: IE 5.01 et Netscape 4.7x et postérieur – dont la puissance de
cryptage est limitée à 40-bit ou 56-bit. Ce sont des certificats idéaux si vous sécurisez des informations
extrêmement sensibles et que le cryptage 128-bit est préférable.
Programme Starter-PKI (SPKI)
Le programme SPKI de thawte est idéal pour toute société qui a besoin de trois certificats ou plus par an,
pour leur propre utilisation sur un plan continuel. Notre programme SPKI vous permet de prendre le contrôle
complet de vos besoins de certification tout en jouissant des avantages d'économies considérables.
TM
TM
11. Testez des certificats SSL sur votre serveur web
Afin de vous permettre de comprendre et d'évaluer de manière pratique le fonctionnement des certificats SSL,
vous pouvez télécharger un certificat SSL de test pour évaluation. Ces certificats sont valides pendant d’une
durée 21 jours et vous permettront de vous familiariser avec le processus d'installation ainsi que de vous
assurer de leur compatibilité avec la configuration de votre serveur web. Le certificat de test est disponible
au: http://www.thawte.com/ucgi/gothawte.cgi?a=w46840165367049000
Vous pouvez également télécharger l'un des guides étape-par-étape spécialisés qui traitent de la demande,
de la configuration et de l'installation des certificats SSL pour les deux plate-formes de serveur les plus
répandues: Apache Guide / Microsoft IIS Guide
Les consignes d'installation pour les autres plate-formes de serveurs web sont
disponibles sur notre site de support – cliquez ici, http:www.thawte.com/support
12. Le sceau de site de thawte
Tous les clients thawte disposant d'un SSL Web Server Certificate ou d'un SGC
SuperCert peuvent afficher le sceau de site sur leurs sites web. Le sceau de site est
une image sécurisée qui fournit une preuve visible du statut de votre site certifié, que
vous êtes complètement authentifié et que vos utilisateurs peuvent traiter avec vous en
toute sécurité.
Le sceau de site est disponible en plusieurs langues et plusieurs tailles, permettant une intégration facilement
au design existant de votre site web. Pour plus d'informations, visitez le lien:
13. Liens URL utiles
Pour plus d'informations sur les SSL Web Server Certificates, veuillez visiter:
http://www.thawte.com/ssl/index.html
Les problèmes souvent rencontrés avec les certificats SSL pour serveur web sont traités dans la base de
connaissance de thawte:
http://kb.thawte.com
TM
TM
Vous pouvez également trouver des informations utiles dans notre FAQ:
http://www.thawte.com/support/ssl/index.html
Pour acheter des SSL Web Server Certificates:
http://www.thawte.com/buy/
14. Quel rôle joue thawte?
thawte est une autorité de certification (CA - Certification Authority) qui délivre des certificats de serveur web
SSL et SuperCerts 128 bits à des organisations ou à des personnes dans le monde entier. thawte vérifie
que la société commandant le certificat est une organisation enregistrée et que la personne de la société qui
a commandé le certificat est autorisée à le faire.
thawte vérifie également que la société en question est propriétaire du domaine approprié. Les certificats
numériques de thawte interagissent facilement avec Apache et avec les derniers logiciels de Microsoft et
Netscape, de sorte que vous pouvez être tranquille et assuré que votre achat d’un certificat numérique thawte
permettra à vos clients d’être confiants en votre système et son intégrité – ils se sentiront en sécurité en
commerçant en ligne.
15. La valeur de l'authentification
L’information constitue un atout primordial dans vos affaires. Pour assurer l’intégrité et la sécurité de vos
informations, il est important d’identifier avec qui vous êtes en train de traiter, et d’être sûr que les données
que vous recevez sont fiables. L’authentification peut aider à établir la confiance entre des parties impliquées
dans tous types de transactions en abordant un ensemble unique de risques de sécurité comprenant:
La mystification: Le faible coût de la conception d’un site web et la facilité avec laquelle des pages existantes
peuvent être copiées font qu’il est trop facile de créer des sites web illégitimes qui semblent avoir été publiés
par des organisations reconnues. De fait, des escrocs ont illégalement obtenu des numéros de cartes
bancaires en réalisant des devantures ayant un aspect professionnel qui simulaient des commerces légitimes.
Les actions non autorisées: Un concurrent ou un client mécontent peut endommager votre site web de telle
sorte qu’il fonctionne mal ou refuse de servir des clients potentiels.
TM
TM
La communication d’informations non autorisée: Quand des informations de transaction sont transmises «au
clair», des pirates informatiques peuvent intercepter les transmissions pour obtenir des informations sensibles
de vos clients.
Altération de données: Le contenu d’une transaction peut être intercepté et altéré en route, de manière
malicieuse ou accidentelle. Des noms d’utilisateurs, des numéros de cartes bancaires et des sommes d’argent
transmises «au clair» sont vulnérables et peuvent être altérées.
16. Contacter thawte
Si vous avez des questions supplémentaires à propos du contenu de ce guide ou des
produits et services de thawte, veuillez contacter un conseiller commercial:
Courrier électronique:
Téléphone:
Fax:
[email protected]
+27 21 937 8902
+27 21 937 8967
17. Glossaire
Cryptographie asymétrique
C’est une méthode cryptographique utilisant une paire de clés publique et privée combinée pour crypter et
décrypter des messages. Pour envoyer un message crypté, un utilisateur crypte un message avec la clé
publique du destinataire. Après réception, le message est décrypté avec la clé privée du destinataire. L'utilisation
de clés différentes pour réaliser les fonctions de cryptage et de décryptage est connue comme étant une
fonction unidirectionnelle de trappe, c'est-à-dire que la clé publique est utilisée pour crypter un message mais
ne peut pas être utilisée pour le décrypter. Sans la clé privée, il est pratiquement impossible d'inverser cette
fonction lorsqu'un cryptage moderne et puissant est utilisé.
Autorité de Certification
Une autorité de certification (CA – Certification authority) est une organisation (telle que thawte) qui délivre
et gère des certificats de sécurité et des clés publiques pour le cryptage de messages.
TM
TM
Requête de signature de certificat (CSR - Certificate signing request)
Une CSR est une clé publique que vous générez sur votre serveur et qui valide les informations spécifiques
à l’ordinateur concernant votre serveur web et votre organisation lorsque vous demandez un certificat de
thawte.
Clé privée
Une clé privée est un code numérique utilisé pour décrypter des messages cryptés avec une unique clé
publique correspondante. L’intégrité du cryptage dépend de ce que la clé privée reste secrète.
Clé publique
Une clé publique est un code numérique qui permet un cryptage de messages transmis au propriétaire de
l’unique clé privée correspondante. La clé publique peut circuler librement sans pour autant compromettre
le cryptage tout en augmentant l’efficacité et la commodité de permettre une communication cryptée.
Cryptographie symétrique
C’est une méthode de cryptage où la même clé est utilisée pour le cryptage et le décryptage. Cette méthode
est handicapée par les risques de sécurité impliqués par la distribution sécurisée de la clé étant donné qu’elle
doit être communiquée à la fois au destinataire et à l’émetteur sans être divulguée à des tiers.