Qu'est-ce qu'un certificat SSL ? Définition et explication

Qu'est-ce qu'un certificat SSL ?

Un certificat SSL est un certificat électronique qui authentifie l'identité d'un site Web et permet une connexion chiffrée. SSL signifie « Secure Sockets Layer », c'est un protocole de sécurité qui crée un lien chiffré entre un serveur Web et un navigateur Web.

Les entreprises doivent ajouter des certificats SSL à leur site Web pour sécuriser les transactions en ligne et sécuriser la confidentialité des informations client.

Pour résumer… Le SSL sécurise les connexions Internet et empêche les criminels de consulter ou de modifier les informations échangées entre deux systèmes. Lorsque vous voyez un petit cadenas à côté de l'URL dans la barre d'adresse, cela veut dire que le SSL protège le site Web que vous visitez.

Depuis son arrivée il y a 25 ans, il y a eu plusieurs versions du protocole SSL, qui ont toutes eu à un moment donné des problèmes de sécurité. Une toute nouvelle version renommée (TLS ou Transport Layer Security) a suivi et est toujours utilisée aujourd'hui. Ce sont pourtant les initiales SSL qui sont restées, donc la nouvelle version du protocole est généralement appelée par son ancien nom.

Comment fonctionnent les certificats SSL ?

Le SSL s'assure que les données transférées entre les utilisateurs et les sites Web, ou entre deux systèmes, sont impossibles à déchiffrer. Il utilise des algorithmes de chiffrement pour brouiller les données pendant le transit, ce qui empêche les cybercriminels de les lire pendant leur envoi. Ces données incluent des informations potentiellement sensibles comme des noms, des adresses, des numéros de carte de crédit ou d'autres informations financières.

Voici comment se passe le processus :

1. Un navigateur ou un serveur tente de se connecter à un site Web (par ex. un serveur Web) sécurisé par le SSL.
2. Le navigateur ou le serveur demande au serveur Web de s'identifier.
3. Le serveur Web envoie alors au navigateur ou au serveur une copie de son certificat SSL.
4. Le navigateur ou le serveur vérifie qu'il peut faire confiance au certificat SSL. Si c'est le cas, il le signale au serveur Web.
5. Le serveur Web renvoie alors un accord signé électroniquement pour commencer une session SSL chiffrée.
6. Les données chiffrées sont partagées entre le navigateur ou le serveur et le serveur Web.

Ce processus est parfois appelé « SSL handshake » ou « négociation SSL ». Cette procédure peut sembler compliquée, mais elle se fait en quelques millisecondes.

Quand un site Web est sécurisé par un certificat SSL, l'acronyme HTTPS (HyperText Transfer Protocol Secure) apparaît dans l'URL. Sans certificat SSL, seules les lettres HTTP (sans le S de « Secure ») s'affichent. Une icône de cadenas s'affichera aussi dans la barre d'adresse. Ces signes sont là pour vous signaler que vous pouvez faire confiance au site Web que vous visitez.

Pour consulter les détails d'un certificat SSL, vous pouvez cliquer sur le symbole du cadenas situé dans la barre du navigateur. Ces certificats SSL incluent généralement :

• le nom de domaine qui a reçu le certificat ;
• la personne, l'entreprise ou l'appareil qui a reçu le certificat ;
• l'Autorité de certification qui a émis le certificat ;
• la signature électronique de l'Autorité de certification ;
• les sous-domaines associés ;
• la date d'émission du certificat ;
• la date d'expiration du certificat ; et
• la clé publique (la clé privée n'est pas divulguée).

Pourquoi avoir un certificat SSL ?

Les sites Web ont besoin de certificats SSL pour sécuriser les données des utilisateurs, vérifier qui est le propriétaire du site Web, empêcher les criminels de créer une version frauduleuse du site et obtenir la confiance des utilisateurs.

Si un site Web demande aux utilisateurs de s'inscrire, de saisir des informations personnelles comme des numéros de carte de crédit ou qu'il demande à consulter des informations confidentielles comme une assurance maladie ou des informations financières, alors il est essentiel d'assurer la confidentialité de ces données. Les certificats SSL assurent la confidentialité des interactions en ligne et l'authenticité du site Web pour que les utilisateurs puissent partager leurs informations privées en toute confiance.

Pour les entreprises, il faut savoir qu'un certificat SSL est requis pour obtenir une adresse Web HTTPS. HTTPS est la forme sécurisée d'une adresse HTTP, cela signifie que les sites Web en HTTPS ont un trafic protégé par le protocole SSL. La plupart des navigateurs signalent les sites HTTP (ceux qui n'ont pas de certificat SSL) comme étant « non sécurisés ». C'est une façon claire de signaler aux utilisateurs que le site peut être dangereux, et cela pousse les entreprises à migrer vers une adresse HTTPS.

Un certificat SSL permet de sécuriser les informations suivantes :

• les identifiants ;
• les transactions par carte de crédit ou les informations bancaires ;
• les informations personnelles identifiables, comme le nom, l'adresse, la date de naissance ou le numéro de téléphone ;
• les documents juridiques et les contrats ;
• les dossiers médicaux ; et
• les informations confidentielles.

Les types de certificats SSL

Il existe différents types de certificats SSL avec différents niveaux de validation. Voici les six principaux :

1. Certificats à validation étendue (EV SSL)
2. Certificats à validation de l'organisation (OV SSL)
3. Certificats à validation de domaine (DV SSL)
4. Certificats SSL génériques
5. Certificats SSL pour domaines multiples (MDC)
6. Certificats pour les communications unifiées (UCC)

Certificats à validation étendue (EV SSL)

C'est le certificat SSL le plus élevé et le plus cher. Il est surtout utilisé pour les gros sites Web qui collectent des données et impliquent des paiements en ligne. Une fois installé, ce certificat SSL affiche le cadenas, l'adresse HTTPS, le nom de l'entreprise et le pays dans la barre d'adresse du navigateur. Afficher les informations concernant le propriétaire du site dans la barre d'adresse permet de le distinguer des sites frauduleux. Pour obtenir un certificat EV SSL, le propriétaire du site Web doit passer par une procédure standard de vérification de l'identité pour confirmer qu'il est autorisé légalement à posséder les droits exclusifs de ce domaine.

Certificats à validation de l'organisation (OV SSL)

Cette version du certificat SSL possède une garantie d'un niveau similaire à celle du certificat EV SSL puisque pour en obtenir un, le propriétaire du site doit passer par une procédure de validation importante. Ce type de certificat affiche également les informations du propriétaire du site Web dans la barre d'adresse pour le distinguer des sites frauduleux. Les certificats OV SSL se trouvent juste en dessous des certificats EV SSL en matière de prix, et leur objectif principal est de chiffrer les informations confidentielles des utilisateurs pendant les transactions. Les sites commerciaux et en contact avec le public doivent installer un certificat OV SSL pour veiller à ce que toutes les informations client partagées restent confidentielles.

Certificats à validation de domaine (DV SSL)

Le processus de validation pour obtenir ce certificat SSL est minimal, donc les certificats SSL à validation de domaine fournissent une garantie réduite et un chiffrement minimal. Ils sont surtout utilisés pour les blogs et les sites internationaux qui n'impliquent pas de collecte de données ou de paiements en ligne. Ce type de certificat SSL fait partie des moins chers et est très rapide à obtenir. Le processus de validation nécessite seulement que le propriétaire du site Web prouve qu'il possède le domaine en répondant à un email ou à un appel téléphonique. La barre d'adresse du navigateur affiche la mention HTTPS et un cadenas, sans donner le nom de l'entreprise.

Certificats SSL génériques

Les certificats SSL génériques vous permettent de sécuriser un domaine de base et des sous-domaines illimités avec un seul certificat. Si vous avez plusieurs sous-domaines, l'achat d'un certificat SSL générique est bien moins cher que d'acheter des certificats SSL individuels pour chacun d'entre eux. Les certificats SSL génériques possèdent un astérisque * dans le nom commun qui représente tous les sous-domaines valides qui possèdent le même domaine de base. Par exemple, le même certificat générique pour un site Web peut servir à sécuriser :

• votredomaine.com
• votredomaine.com
• votredomaine.com
• votredomaine.com
• votredomaine.com

Certificat SSL pour domaines multiples (MDC)

Un certificat pour domaines multiples peut servir à sécuriser plusieurs domaines et/ou noms de sous-domaines. Cela inclut la combinaison de domaines uniques et de sous-domaines avec des domaines de premier niveau (Top-Level Domain ou TLD) différents, à l'exception des domaines locaux/internes.

Par exemple :

• exemple.com
• org
• ce-domaine.net
• divers.com.au
• exemple.com
• exemple.org

Les certificats pour domaines multiples ne prennent pas en charge automatiquement les sous-domaines. Si vous devez sécuriser www.exemple.com and exemple.com avec un seul certificat pour domaines multiples, vous devez mentionner les deux noms d'hôte lorsque vous obtenez le certificat.

Certificat pour les communications unifiées (UCC)

Les certificats pour les communications unifiées (UCC) sont également considérés comme des certificats SSL pour domaines multiples. Les UCC ont d'abord été créés pour sécuriser les serveurs Microsoft Exchange et Live Communications. De nos jours, n'importe quel propriétaire de site Web peut utiliser ces certificats pour sécuriser plusieurs noms de domaines avec le même certificat. Les certificats UCC sont validés au niveau structurel et affichent un cadenas dans les navigateurs. Les UCC peuvent être utilisés comme les certificats EV SSL pour rassurer les visiteurs du site Web qui verront une barre d'adresse verte.

Il est crucial de bien connaître les différents types de certificats SSL pour obtenir celui qui conviendra à votre site Web.

Comment obtenir un certificat SSL

Les certificats SSL peuvent s'obtenir directement auprès d'une Autorité de certification. Les Autorités de certification (Certificate Authorities ou CA) émettent des millions de certificats SSL chaque année. Elles jouent un rôle essentiel dans le fonctionnement d'Internet et assurent des interactions transparentes et fiables en ligne.

Obtenir un certificat SSL peut être gratuit ou coûter jusqu'à plusieurs centaines de dollars, selon le niveau de sécurité dont vous avez besoin. Une fois que vous avez choisi le type de certificat qu'il vous faut, vous pouvez chercher des fournisseurs de certificats qui proposent les niveaux de SSL qui vous correspondent.

Voici les étapes d'obtention d'un SSL :

• Commencez par configurer votre serveur et par vérifier que votre dossier sur WHOIS est à jour et correspond à ce que vous envoyez à l'Autorité de certification (vous devez montrer le nom de l'entreprise, son adresse, etc.).
• Générer une demande de signature de certificat (Certificate Signing Request ou CSR) sur votre serveur. Votre hébergeur peut vous aider pour cette étape.
• Envoyer la demande à votre Autorité de certification pour valider votre domaine et les informations sur l'entreprise.
• Installer le certificat fourni une fois la procédure terminée.

Une fois obtenu, vous devez configurer le certificat sur votre hôte Web ou sur vos propres serveurs si vous hébergez le site Web vous-même.

La vitesse d'obtention du certificat dépend du type que vous demandez et du fournisseur que vous utilisez. Chaque niveau de validation nécessite une durée différente. Un simple certificat SSL à validation de domaine peut arriver quelques minutes après votre achat, tandis qu'un certificat à validation étendue peut prendre jusqu'à une semaine.

Peut-on utiliser un certificat SSL sur plusieurs serveurs ?

Il est possible d'utiliser un certificat SSL pour plusieurs domaines sur le même serveur. Selon le revendeur, vous pouvez aussi utiliser le même certificat SSL sur plusieurs serveurs. C'est possible grâce aux certificats SSL pour domaines multiples dont nous avons parlé précédemment.

Comme son nom l'indique, le certificat SSL pour domaines multiples fonctionne pour plusieurs domaines. Le nombre de domaines dépend de l'Autorité de certification. Un certificat SSL pour domaines multiples diffère d'un certificat SSL à domaine unique qui, comme son nom l'indique également, est conçu pour sécuriser un seul domaine.

Pour compliquer un peu les choses, les certificats SSL pour domaines multiples sont parfois appelés certificats SAN. SAN (Subject Alternative Name) signifie « nom alternatif du serveur ». Tous les certificats pour domaines multiples possèdent des champs supplémentaires (c'est-à-dire les SAN) qui servent à lister les domaines supplémentaires que vous souhaitez sécuriser avec le même certificat.

Les certificats pour communications unifiées (UCC) et les certificats génériques couvrent également plusieurs domaines et, pour ce dernier, un nombre illimité de sous-domaines.

Que se passe-t-il après l'expiration d'un certificat SSL ?

Les certificats SSL ont une durée limitée. Le Certificate Authority/Browser Forum, qui sert d'organisme de réglementation au secteur SSL, déclare que les certificats SSL doivent avoir une durée de vie ne dépassant pas 27 mois. Les certificats peuvent donc durer deux ans et vous pouvez reporter jusqu'à trois mois si vous renouvelez la période restante sur votre certificat SSL précédent.

Les certificats SSL doivent expirer car, comme toutes les formes d'authentification, les informations doivent être revérifiées périodiquement pour assurer leur validité. Internet est toujours en mouvement, et c'est aussi le cas des entreprises et des sites Web qui changent de mains. Lorsqu'ils changent de propriétaire, les informations détenues par les certificats SSL changent aussi. Le but de cette période d'expiration est de veiller à ce que les informations utilisées pour authentifier les serveurs et les entreprises soient à jour et aussi précises que possible.

Auparavant, les certificats SSL pouvaient durer jusqu'à cinq ans, période qui a été réduite à trois, puis plus récemment à deux ans avec potentiellement trois mois supplémentaires. En 2020, Google, Apple et Mozilla ont annoncé qu'ils mettraient en place des certificats SSL d'un an, malgré le refus de la proposition par le Certificate Authority Browser Forum. Cette mesure a pris effet en septembre 2020. Il est possible qu'à l'avenir, la période de validité soit encore réduite.

Lorsqu'un certificat SSL arrive à expiration, le site concerné devient inaccessible. Lorsque le navigateur d'un utilisateur arrive sur un site Web, il vérifie la validité du certificat SSL en quelques millisecondes (c'est la partie négociation dont nous avons parlé précédemment). Si le certificat SSL a expiré, les visiteurs reçoivent ce genre de message : « Ce site n'est pas sécurisé. Risque probable de sécurité ».

Si les utilisateurs peuvent choisir d'accéder quand même à la page, cela n'est pas recommandé compte tenu des risques de cybersécurité potentiels, comme la présence de programmes malveillants. Cela augmente considérablement les taux de rebond pour les propriétaires de site Web, car les utilisateurs quittent rapidement la page d'accueil du site signalé.

Être au courant des dates d'expiration des certificats SSL est un problème pour les plus grandes entreprises. Si les petites ou moyennes entreprises (PME) ont un nombre mineur de certificats à gérer, les plus grandes organisations qui effectuent potentiellement des transactions sur plusieurs marchés (avec de nombreux sites Web et réseaux) en ont beaucoup plus. À un tel niveau, laisser un certificat SSL arriver à sa date d'expiration relève plutôt de l'oubli que de l'incompétence. Pour les grandes entreprises, le meilleur moyen de suivre l'expiration de leurs certificats SSL est d'utiliser une plateforme de gestion des certificats. Il existe toute une variété de produits disponibles sur le marché que vous pouvez trouver en ligne. Ces plateformes permettent aux entreprises de consulter et de gérer les certificats numériques de toute leur infrastructure. Si vous les utilisez, vous devez vous connecter régulièrement pour prendre connaissance des dates de renouvellement.

Si vous laissez expirer un certificat, celui-ci sera alors invalide et vous ne pourrez plus exécuter de transactions sécurisées sur votre site. L'Autorité de certification (CA) vous demandera de renouveler votre certificat SSL avant la date d'expiration.

L'Autorité de certification ou le service SSL qui vous a fourni vos certificats vous enverra des notifications à des intervalles prédéfinis, normalement 90 jours à l'avance. Vérifiez que ces rappels sont envoyés à une liste de diffusion par courrier électronique plutôt qu'à une personne en particulier, qui a peut-être quitté l'entreprise ou changé de poste entre-temps. Réfléchissez aux parties prenantes de votre entreprise qui font partie de cette liste de distribution et assurez-vous que les bonnes personnes reçoivent les rappels au bon moment.

Comment savoir si un site possède un certificat SSL ?

Pour vérifier qu'un site possède un certificat SSL, le plus simple est de regarder la barre d'adresse de votre navigateur.

• Si l'URL commence par HTTPS et non par HTTP, alors le site est sécurisé à l'aide d'un certificat SSL.
• Les sites sécurisés affichent également une icône de cadenas sur laquelle vous pouvez cliquer pour consulter les informations de sécurité. Les sites de confiance affichent un cadenas et une barre d'adresse verte.
• Les navigateurs affichent aussi des signaux d'alerte lorsqu'une connexion n'est pas sécurisée : un cadenas rouge, un cadenas ouvert, une ligne barrant l'adresse du site ou un triangle d'avertissement au-dessus du cadenas.

Comment vérifier que votre session en ligne est sécurisée ?

N'envoyez vos données personnelles et vos informations de paiement qu'à des sites pourvus de certificats EV ou OV. Les certificats DV ne conviennent pas aux sites de e-commerce. Vous saurez si un site possède un certificat EV ou OV en regardant la barre d'adresse. Pour un SSL EV, le nom de l'organisation sera visible dans la barre d'adresse. Pour un SSL OV, vous verrez le nom de l'organisation en cliquant sur le cadenas. Pour un SSL DV, seul le cadenas sera visible.

Lisez la déclaration de confidentialité du site Web. Cela vous permet de savoir comment vos données seront utilisées. Les entreprises légitimes seront transparentes sur la collecte des données et sur leur utilisation.

Repérez des signes ou des indicateurs de confiance sur les sites Web.
En plus des certificats SSL, vous pouvez voir des logos ou des badges de réputation qui montrent que le site Web répond à des normes de sécurité spécifiques. Pour savoir si un site est légitime, vous pouvez chercher une adresse postale et un numéro de téléphone, consulter sa politique de retour et de remboursement, et vérifier que les prix sont crédibles.

Faites attention aux tentatives de phishing.
Les cybercriminels créent parfois des sites qui imitent des sites qui existent bel et bien pour pousser les gens à acheter quelque chose ou à se connecter à leur site de phishing. Un site de phishing peut obtenir un certificat SSL et peut donc chiffrer tout le trafic passant entre vous et lui. De plus en plus de tentatives de phishing se passent sur des sites HTTPS, car les utilisateurs se sentent en sécurité lorsqu'ils voient l'icône du cadenas.

Pour éviter ce type d'attaque :

• Examinez toujours le domaine du site où vous vous trouvez et vérifiez qu'il est bien écrit. L'URL des sites frauduleux contient souvent un caractère différent, par exemple : amaz0n.com au lieu de amazon.com. Si vous avez des doutes, tapez le domaine directement dans votre navigateur pour être sûr de vous connecter au site voulu.
• Ne saisissez jamais vos identifiants, vos mots de passe, vos identifiants bancaires ou toute autre information sur un site à moins d'être sûr de son authenticité.

• Réfléchissez toujours à ce que vous propose un site, demandez-vous s'il a l'air suspect et si vous devez vraiment vous y inscrire.
• Assurez-vous que vos appareils sont protégés : Kaspersky Internet Security vérifie les URL avec une base de données étendue de sites de phishing et détecte les escroqueries même sur les sites sécurisés.

Les risques de cybersécurité évoluent sans cesse, mais comprendre les types de certificats SSL et comment faire la différence entre un site sécurisé et un site potentiellement dangereux aidera les internautes à éviter les escroqueries et à protéger leurs données personnelles contre les cybercriminels.

Articles connexes :

• Conseils sur la façon de se prémunir contre les attaques de ransomwares
• Comment exécuter une analyse antivirus dans les règles de l'art
• Qu'est-ce qu'une atteinte à la sécurité ?
• Qu'est-ce que la confidentialité des données ?