Certificats SSL
Transcription
Certificats SSL
Document technique : Guide d'initiation aux certificats SSL Document technique Guide d'initiation aux certificats SSL Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne Document technique : Guide d'initiation aux certificats SSL Guide d'initiation aux certificats SSL Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne Sommaire Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Qu'est-ce qu'un certificat SSL ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Comment fonctionne le chiffrement SSL ? . . . . . . . . . . . . . . . . . . . . . . . . . 3 Comment savoir si un site possède un certificat SSL valide ? . . . . . . . . . . . . . 4 A quels niveaux dois-je utiliser un certificat SSL ? . . . . . . . . . . . . . . . . . . . . 5 Différents types de certificat SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Le vocabulaire technique à la portée de tous . . . . . . . . . . . . . . . . . . . . . . . 6 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2 Document technique : Guide d'initiation aux certificats SSL Introduction Que vous soyez un particulier ou une entreprise, vous devez envisager la sécurité des communications en ligne de la même manière que la sécurité physique de votre domicile ou de vos locaux. Non seulement vous vous sentirez plus en sécurité, mais vous protégerez les personnes qui visitent votre domicile, vos locaux, ou votre site Web. Il est essentiel que vous compreniez bien les risques potentiels, puis que vous vous assuriez que vous êtes intégralement protégé contre ceux-ci. Dans le monde en évolution rapide des technologies informatiques, il n'est pas toujours facile de se tenir au courant des toutes dernières avancées. Pour cette raison, il peut être sage de s'associer à une société de solutions de sécurité Internet possédant une solide réputation. Ce guide vise à démystifier les technologies impliquées et à vous fournir les informations dont vous avez besoin pour faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Pour un glossaire des termes utilisés, consultez la section "Le vocabulaire technique à la portée de tous" à la fin de ce document. Qu'est-ce qu'un certificat SSL ? Un certificat SSL est un fichier informatique numérique (ou un petit morceau de code) qui possède deux fonctions spécifiques : 1. Authentification et vérification : le certificat SSL contient des informations concernant l'authenticité de certains détails associés à l'identité d'une personne, d'une société ou d'un site Web, qu'il affiche aux visiteurs de votre site Web lorsque ceux-ci cliquent sur le symbole de cadenas ou la marque de confiance figurant dans le navigateur (par exemple le sceau Norton™ Secured). Les critères imposés par les autorités de certification pour déterminer si un certificat SSL doit être émis sont plus rigoureux dans le cas des certificats SSL EV (Extended Validation), qui sont ainsi les certificats SSL les plus fiables du marché. SSL signifie "Secure Sockets Layer" (couche de sockets sécurisés). Cette technologie permet d'établir une liaison de session sécurisée entre le navigateur Web du visiteur et votre site Web, de manière à ce que toutes les communications transmises par le biais de cette liaison soient chiffrées et, par conséquent, sécurisées. SSL est également utilisé pour transmettre des messages électroniques sécurisés, des fichiers sécurisés et d'autres formes d'informations. Est-ce que vous enverriez vos informations personnelles ou bancaires à quelqu'un en les inscrivant au dos d'une carte postale ? SSL crée un canal privé et sécurisé pour vos communications. 2. Chiffrement des données : le certificat SSL permet également d'utiliser le chiffrement, ce qui signifie que les informations sensibles échangées par le biais du site Web ne peuvent pas être interceptées ni lues par qui que ce soit d'autre que leur destinataire légitime. De la même manière qu'une carte d'identité ou un passeport ne peut être émis que par les organismes officiels d'un pays, la fiabilité d'un certificat SSL n'est optimale que s'il est émis par une autorité de certification de confiance. L'autorité de certification doit adopter une ligne de conduite et des règles strictes pour déterminer qui doit se voir remettre un certificat SSL. Lorsque vous disposez d'un certificat SSL émis par une autorité de certification de confiance, vous bénéficiez d'un degré de confiance accru de la part de vos clients et partenaires. Comment fonctionne le chiffrement SSL ? De la même manière que vous verrouillez et déverrouillez une porte en utilisant une clé, le chiffrement utilise des clés pour verrouiller et déverrouiller vos informations. Si vous ne possédez pas la bonne clé, vous ne pouvez pas "ouvrir" les informations. Chaque session SSL utilise deux clés : • La clé publique sert à chiffrer (brouiller) les informations. • L a clé privée sert à déchiffrer les informations afin de les remettre dans leur format d'origine pour qu'elles puissent être lues. 3 Document technique : Guide d'initiation aux certificats SSL Le processus : chaque certificat SSL qui est émis pour une entité validée par une autorité de certification l'est pour un serveur et un domaine spécifiques (l'adresse du site Web). Lorsqu'un utilisateur se sert de son navigateur pour accéder à l'adresse d'un site Web comportant un certificat SSL, une négociation SSL (un échange de salutations) a lieu entre le navigateur et le serveur. Des informations sont demandées au serveur, puis affichées dans la fenêtre du navigateur de l'utilisateur. Vous noterez alors que l'apparence de cette fenêtre change pour indiquer qu'une session sécurisée a débuté, par exemple en affichant une marque de confiance. Si vous cliquez sur cette dernière, vous verrez s'afficher des informations supplémentaires telles que la période de validité du certificat SSL, le domaine qu'il sécurise, son type et l'autorité de certification qui l'a émis. Tout cela signifie qu'une liaison sécurisée a été établie pour cette session, avec une clé de session unique, et que les communications sécurisées peuvent donc débuter. Comment savoir si un site possède un certificat SSL valide ? 1. Un site Web standard qui n'offre pas de sécurité SSL affiche "http://" avant son adresse dans la barre d'adresse du navigateur. Le terme HTTP signifie "HyperText Transfer Protocol" et désigne la manière conventionnelle de transmettre des informations sur Internet. En revanche, un site Web sécurisé à l'aide d'un certificat SSL affichera "https://" avant son adresse. Le terme HTTPS signifie "Secure HTTP" (HTTP sécurisé). 2. Vous verrez également s'afficher un symbole de cadenas en haut ou en bas de la fenêtre du navigateur (selon le navigateur utilisé). 3. Souvent, vous remarquerez également qu'une marque de confiance est affichée sur le site Web lui-même. Les clients Symantec™ utilisent le sceau Norton Secured comme marque de confiance sur leurs sites Web. Lorsque vous cliquez sur le sceau Norton Secured ou sur le symbole de cadenas figurant sur la page, des informations détaillées sur le certificat s'affichent ainsi que toutes les informations relatives à la société qui ont été vérifiées et authentifiées par l'autorité de certification. 4. En cliquant sur le symbole de cadenas fermé dans la fenêtre du navigateur, ou sur certaines marques de confiance SSL telles que le sceau Norton Secured, le visiteur du site Web peut afficher le nom de l'organisation authentifiée. Dans les navigateurs haute sécurité, lorsqu'un certificat SSL Extended Validation (EV) est détecté, le 4 Document technique : Guide d'initiation aux certificats SSL nom de l'organisation authentifiée est mis en évidence et la barre d'adresse devient verte. Si les informations ne correspondent pas ou si le certificat a expiré, le navigateur affiche un message d’erreur ou un avertissement. A quels niveaux dois-je utiliser un certificat SSL ? La réponse courte à cette question est que vous devez utiliser un certificat SSL dans tous les cas où vous voulez transmettre des informations de manière sécurisée. Voici quelques exemples : • P our sécuriser les communications entre votre site Web et le navigateur de vos clients. • Pour sécuriser les communications internes au sein de l'intranet de l'entreprise. our sécuriser les communications par courrier électronique en provenance et à • P destination de votre réseau (ou de votre adresse électronique personnelle). our sécuriser les échanges d'informations entre serveurs (à la fois internes et • P externes). • Pour sécuriser les informations envoyées et reçues par le biais d'appareils mobiles. Différents types de certificat SSL Un certain nombre de certificats SSL différents sont disponibles sur le marché à l'heure actuelle. • P remier type de certificat SSL : le certificat auto-signé. Comme son nom l'indique, il s'agit d'un certificat qui est généré pour un usage interne, et qui n'est pas émis par une autorité de certification. Du fait que le propriétaire du site Web génère son propre certificat, celui-ci n'a pas la même valeur qu'un certificat SSL émis par une autorité de certification, qui est intégralement authentifié et vérifié. • U n certificat avec validation du domaine (Domain Validated - DV) est considéré comme un certificat SSL d'entrée de gamme et peut être émis rapidement. La seule opération de vérification qui est effectuée est de s'assurer que le demandeur possède bien le domaine (l'adresse du site Web) sur lequel il prévoit d'utiliser le certificat. Aucun autre contrôle n'est effectué pour vérifier que le propriétaire du domaine est une entité commerciale légitime. • U n certificat SSL intégralement authentifié constitue la première étape pour garantir une réelle sécurité en ligne et instaurer la confiance. Le délai d'émission de ces certificats est légèrement plus long, car ils ne sont délivrés qu'après plusieurs contrôles et validations de l'organisation, visant à confirmer qu'elle existe, qu'elle est détentrice du domaine et que l'utilisateur est habilité à demander le certificat. Tous les certificats SSL Symantec sont intégralement authentifiés. • M ême si un certificat SSL est en mesure d’assurer un chiffrement 128 ou 256 bits, certains navigateurs et systèmes d’exploitation plus anciens ne peuvent pas se connecter à ce niveau de sécurité. Les certificats SSL dotés de la technologie SGC (Server-Gated Cryptography) permettent d'utiliser le chiffrement 128 ou 256 bits avec 99,9 % des visiteurs d'un site Web. Si un certificat SGC n'est pas installé sur le serveur Web, les navigateurs et systèmes d'exploitation qui ne prennent pas en charge le chiffrement fort 128 bits bénéficieront seulement d'un chiffrement 40 ou 56 bits. Les utilisateurs possédant certains navigateurs et systèmes d’exploitation anciens passeront temporairement au chiffrement SSL 128 bits s’ils visitent un site Web muni d’un certificat SSL compatible SGC. Pour plus d'informations sur la technologie SGC, visitez la page suivante : www.symantec.fr/ssl-certificates. 5 Document technique : Guide d'initiation aux certificats SSL • U n nom de domaine est fréquemment utilisé avec plusieurs suffixes d'hôte différents. Pour cette raison, vous pouvez employer un certificat Wildcard qui vous permet de fournir une sécurité SSL complète à tous les hôtes de votre domaine – par exemple, hote.votre_domaine.com (où "hote" varie mais le nom de domaine reste le même). • S imilaire à un certificat Wildcard, mais un peu plus polyvalent, le certificat SSL SAN (Subject Alternative Name) permet d'ajouter plusieurs domaines à un même certificat SSL. • L es certificats Code Signing sont spécifiquement conçus pour garantir que le logiciel que vous avez téléchargé n'a pas été altéré en cours de route. De nombreux cybercriminels altèrent des logiciels disponibles sur Internet. Ils peuvent par exemple rattacher un virus (ou tout autre type de logiciel malveillant) à un logiciel inoffensif pendant le téléchargement de celui-ci. Ces certificats offrent une garantie contre ce genre d'éventualité. es certificats SSL avec validation étendue (Extended Validation - EV) offrent le • L meilleur niveau d'authentification du marché et garantissent ainsi un degré de confiance maximal de la part des clients. Lorsqu'un consommateur visite un site Web sécurisé à l'aide d'un certificat SSL EV, la barre d'adresse de son navigateur devient verte (dans les navigateurs haute sécurité) et un champ spécial affiche le nom du propriétaire légitime du site Web accompagné du fournisseur qui a émis le certificat. Le nom du détenteur du certificat et de l'autorité de certification émettrice sont également affichés dans la barre d'adresse du navigateur. La présence de cet indicateur visuel rassurant a contribué à accroître la confiance des consommateurs à l'égard de l’e-commerce. Le vocabulaire technique à la portée de tous Chiffrement : les informations sont "brouillées" pour les rendre inutilisables par toute personne autre que celle à laquelle elles sont destinées. Déchiffrement : les informations sont "décodées" et remises dans leur format d'origine. Clé : formule mathématique (ou algorithme) utilisée pour chiffrer ou déchiffrer vos informations. De la même manière qu'un cadenas à code est plus difficile à ouvrir lorsqu'il offre un grand nombre de combinaisons possibles, plus la longueur de la clé de chiffrement (mesurée en nombre de bits) est importante, plus le chiffrement sera fort. Navigateur : logiciel servant à accéder à Internet. Exemples : Microsoft Internet Explorer (IE), Mozilla Firefox, Apple Safari, RockMelt et Google Chrome. 6 Document technique : Guide d'initiation aux certificats SSL Conclusion Dans l'univers de l’e-commerce, c'est le degré de confiance qui fait toute la différence. Investir dans les technologies visant à protéger les clients et à gagner leur confiance est un facteur de réussite essentiel pour toute société qui fait des affaires en ligne ou qui héberge un site Web de e-commerce. Une mise en œuvre efficace des certificats SSL ainsi qu'une utilisation appropriée des marques de confiance constituent des méthodes éprouvées pour susciter la confiance des clients. Pour plus d'informations, visitez notre page Web à l'adresse www.symantec.fr/ssl-certificates. 7 Document technique : Guide d'initiation aux certificats SSL Informations complémentaires Visitez notre site Web www.symantec.fr/ssl-certificates Pour en savoir plus Pour plus d’informations sur les certificats SSL de Symantec™, appelez le 0800 90 43 51 ou +41 (0) 26 429 77 24, ou envoyez un courrier électronique à l’adresse [email protected] Pour contacter un spécialiste produit Appelez le 0800 90 43 51 ou +41 (0) 26 429 77 24 A propos de Symantec Symantec est un leader mondial dans le domaine des solutions de sécurité, de stockage et de gestion des systèmes destinées à aider les particuliers et les entreprises à sécuriser et gérer leur environnement informatique. Nos logiciels et services permettent d'assurer une protection plus complète et plus efficace contre davantage de risques à différents points et d'instaurer ainsi la confiance, quel que soit l'endroit où les informations sont utilisées ou stockées. Symantec Tour Egée 17 avenue de l'Arche La Défense 6 92671 Courbevoie Cedex www.symantec.fr © 2013 Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec, Norton, le logo en forme de coche et le logo Norton Secured sont des marques commerciales ou des marques déposées de Symantec Corporation ou de ses filiales aux États-Unis et dans d’autres pays. Les autres noms cités peuvent être des marques commerciales de leurs détenteurs respectifs.