Les différents types de certificats SSL

26 Avr 2018

Une connexion sécurisée est sûre puisqu’elle est cryptée ; une connexion non protégée ne l’est pas. C’est assez simple, n’est-ce-pas ? On peut donc se demander quelle est l’origine des certificats et quelle est la différence entre un certificat SSL et un certificat TLS. Qu’est-ce qu’un certificat numérique a à voir avec la sécurité ?

Cet article va essayer de répondre à ces questions ainsi qu’aux autres doutes que vous pourriez avoir. Commençons par analyser la signification des lettres HTTP et HTTPS qui apparaissent dans l’adresse de votre navigateur.

HTTP et HTTPS pour le transfert de données

Lorsqu’un visiteur en ligne lit ou saisit des données sur un site web, des informations sont échangées entre l’ordinateur et le serveur qui héberge le site. Le processus est régi par un protocole de transfert de données appelé HTTP (protocole de transfert hypertexte).

HTTPS (protocole de transfert hypertexte sécurisé) est une extension de HTTP. La version sécurisée gère le transfert des informations entre le client et le serveur de façon cryptée, ce qui signifie que des tiers (par exemple un fournisseur de réseau Wi-Fi ou un administrateur) n’ont pas accès aux informations échangées entre le client et le serveur ; seuls le client et le serveur peuvent les consulter.

Les données transmises par le client au serveur sont à leur tour encryptées par à un protocole cryptographique particulier. Le premier protocole utilisé à ces fins était SSL (couches de sockets sécurisés). Il y a eu plusieurs versions du protocole SSL, mais toutes ont rencontré des problèmes de sécurité à un moment donné. S’en est suivie une version réorganisée et rebaptisée TLS (Sécurité de la couche de transport). Il s’agit de la version que nous utilisons actuellement. Cependant, les initiales SSL sont restées et nous continuons d’appeler cette nouvelle version du protocole par son ancien nom.

Pour utiliser l’encodage, un site web doit avoir un certificat, aussi appelé signature numérique, qui confirme que le mécanisme d’encodage est digne de confiance et conforme au protocole. Outre l’ajout de la lettre S dans HTTPS, un autre indicateur qui montre que le site web dispose d’un certificat est le petit cadenas vert (ou bouclier selon le navigateur) accompagné du mot Sécurisé ou du nom de l’entreprise dans la barre de recherche de votre navigateur. Vous pouvez voir à quoi cela ressemble en regardant maintenant la barre de recherche de votre navigateur. Toutes les pages internet de Kaspersky Lab sont en HTTPS.

Comment un site obtient un certificat SSL

Il existe deux façons d’obtenir un certificat. Un webmaster peut délivrer et signer le certificat, puis générer les clés cryptographiques. Ces certificats sont appelés certificats auto-signés. Lorsque les utilisateurs essaient d’accéder au site web, ils sont avertis que le certificat n’est pas fiable.

Lorsque vous consultez de tels sites web, la fenêtre du navigateur affiche un cadenas rouge avec une croix, un bouclier rouge, les mots Non sécurisé, les lettres HTTPS ne sont plus vertes mais rouges, ou alors les lettres HTTPS sont barrées dans la barre de recherche et surlignées en rouge. Cela dépend du navigateur, mais aussi de la version de votre navigateur.

La meilleure solution est d’obtenir un certificat signé par une autorité de certification fiable (AC). La réputation d’une AC détermine dans quelle mesure les développeurs de navigateur lui font confiance, et comment ils affichent les sites qui disposent de leurs certificats. Le prix d’un certificat dépend du type et de la durée de validité, mais aussi de la réputation de l’AC.

Types de certificats SSL

Les certificats signés par les AC ont des formats différents et changent selon leur fiabilité, mais aussi selon qui peut les recevoir, comment et de leur prix.

Certificats à validation de domaine

Pour obtenir un certificat à validation de domaine, l’individu ou entité légale doit prouver que le domaine en question lui appartient ou qu’il l’utilise pour gérer son site web. Ce certificat permet d’établir une connexion sécurisée mais ne contient pas d’information sur l’organisation qui le possède et aucun document n’est requis pour qu’il soit émis. En général, il ne faut que quelques minutes pour obtenir ce certificat.

Certificats à validation d’organisation

Les versions d’un niveau supérieur sont connues comme étant les certificats à validation d’organisation, qui confirment non seulement que la connexion au domaine est sécurisée, mais aussi que le domaine appartient réellement à l’organisation mentionnée dans le certificat. Vérifier toutes les informations et émettre un certificat peut prendre plusieurs jours. Si un site web possède un certificat DV ou OV, le navigateur affiche un cadenas gris, ou vert, ainsi que le mot « Sécurisé » et les lettres HTTPS dans la barre de recherche.

Certificats à validation étendue

Enfin, nous avons les certificats de haut niveau à validation étendue. Tout comme le certificat OV, seules les entités légales ayant fourni les documents nécessaires peuvent obtenir ce certificat. Dans ce cas-là, le nom de l’organisation et son emplacement apparaissent en vert dans la barre de recherche à côté d’un cadenas vert.

Les navigateurs se fient principalement de ces certificats EV, et ils sont aussi les plus chers. Encore une fois, selon votre navigateur, les informations sur le certificat (qui l’a émis, quand et pour combien de temps) peuvent être consultées en cliquant sur le nom de l’organisation, ou sur le mot « Sécurisé« .

Problèmes avec les certificats

La sécurité en ligne et la protection des données utilisateur sont des principes clés que les développeurs des plus grands navigateurs comme Google et Mozilla prennent en compte dans leurs politiques. Par exemple, en automne 2017 Google a annoncé que désormais toutes les pages utilisant une connexion HTTP seraient montrées du doigt et marquées comme  » Non sécurisées « , empêchant surtout les utilisateurs d’accéder à ces pages.

L’action de Google a effectivement obligé les sites web en HTTP à acheter un certificat de confiance. Par conséquent, la demande en services d’AC a fortement augmenté, poussant ainsi de nombreuses autorités à contrôler plus rapidement les documents, ce qui a eu un effet négatif sur la qualité du contrôle.

Le résultat net est que désormais les certificats de confiance peuvent être remis à des sites internet qui ne sont pas entièrement fiables. Une étude réalisée par Google a révélé qu’une des AC les plus importantes et réputées avait remis plus de 30 000 certificats sans l’exercice de la diligence raisonnable. Les conséquences ont été terribles pour l’AC en question ; Google a déclaré qu’il ne ferait plus confiance aux certificats émis par cette organisation jusqu’à ce qu’elle ait fait une révision complète de tout son système de vérification et qu’elle ait introduit de nouvelles normes. Mozilla envisage également de renforcer la vérification des certificats sur leurs navigateurs.

Malgré ces réponses, il est toujours impossible de s’assurer qu’un certificat et son propriétaire soient de bonne foi. Même dans le cas d’un certificat EV (c’est à dire à « Validation Etendue ») qui, en apparence, répond à toutes les exigences en matière de sécurité, on ne peut faire faire entièrement confiance au texte écrit en vert.

La situation des certificats EV est lamentable. Les spécialistes de l’hameçonnage peuvent, par exemple, enregistrer une entreprise sous un nom bizarrement trop similaire à celui d’une entreprise bien connue et obtenir ainsi un certificat EV pour leur site web. Le nom familier de l’entreprise va apparaître en vert dans l’adresse de recherche sur le site web d’hameçonnage, lui donnant encore plus de crédibilité. Par conséquent, lorsque les utilisateurs consultent une page internet, ils devraient toujours rester vigilants et suivre ces indications.