- SOMMAIRE
Certificat TLS SSL : Comment instaurer un climat de confiance sur Internet ?
Toutes les organisations, entreprises et administrations présentent digitalement effectuent des transactions sur Internet. Que ce soit par l’intermédiaire d’un intranet, d’un extranet, d’un e-shop pour le commerce électronique, d’un site Web demandant des informations via un formulaire ou par un simple service de messagerie.
Désormais, les visiteurs et utilisateurs de ces portails Web interagissent avec ces derniers par l’intermédiaire d’un navigateur web également pour s’informer, communiquer, ou faire des achats.
Toutefois, Internet possède son lot de failles de sécurité, notamment en matière de confidentialité des échanges. En effet, il est essentiel pour l’image de votre entreprise et sa crédibilité de supprimer les risques d’interception de données sensibles par des individus malveillants. Pour cela, il est essentiel d’anticiper les problèmes et les traiter.
Les internautes prennent de plus en plus conscience du vol de données privées et n’envoient des informations sur Internet que si elles sont sûres que leurs données personnelles (mot de passe, numéro de carte de crédit, données financières, dossier médical, email, formulaire de demande de renseignement, etc.) sont entre de bonnes mains.
En installant un certificat TLS SSL sur un serveur Web ou un serveur de messagerie électronique, les données confidentielles transitent en toute sécurité. Il garantit aux utilisateurs que leurs échanges sont chiffrés et donc sécurisés.
La confiance est un élément essentiel dans le domaine des échanges et des transactions en ligne. C’est pourquoi les signes visibles de la sécurisation d’un site Web font partie des éléments pris en compte par les internautes soucieux de protéger leurs informations en ligne.
Ce guide permet donc de faire le point sur :
- Les enjeux de la sécurité sur Internet
- Les notions de cryptographie et d’Autorité de Certification
- La technologie des certificats TLS
Le protocole TLS et les certificats numériques
Le protocole TLS et les certificats numériques
En 1995, la société Netscape a développé le protocole SSL (Secure Socket Layer). C’est depuis le mode de sécurisation privilégié des transmissions de données sur Internet.
L’IETF a poursuivi son développement en le rebaptisant Transport Layer Security (TLS). On utilise aussi les termes SSL/TLS pour désigner indifféremment SSL ou TLS. Intégré aux principaux navigateurs et serveurs Web, ce protocole utilise des techniques de cryptage qui s’appuient sur un système dit “asymétrique” : à clé publique et clé privée.
L’établissement d’une connexion TLS nécessite l’installation d’un fichier appelé “certificat numérique” sur le serveur Web.
Ce certificat, répondant à la norme X.509, utilise les clés publiques et privées pour le cryptage, et identifie le serveur de manière unique et définitive.
Les certificats numériques s’apparentent à une forme de carte d’identité électronique qui permet au client (le navigateur) d’authentifier le serveur avant l’établissement d’une communication cryptée.
Les risques encourus par un site Internet non sécurisé
Les risques encourus par un site Internet non sécurisé
La confiance et la sécurité des échanges sont les conditions nécessaires et essentielles pour le développement du commerce électronique et des transactions sur Internet.
Lors des transactions menées dans le monde physique, la sécurité se base sur des éléments tangibles. Les clients acceptent souvent les risques liés à l’utilisation de leurs cartes de crédit dans les magasins. Cela car ils peuvent voir, toucher la marchandise et se faire une opinion sur le vendeur.
Sur Internet, sans toutes ces données physiques, il est beaucoup plus difficile d’évaluer si un magasin est sérieux.
De plus, au cours des dernières années, d’importants risques de sécurité ont été mis au jour et il ne se passe pas une semaine sans qu’une fraude virtuelle ou un vol de données ne soit annoncé dans les médias.
Comment conserver la confiance des utilisateurs ?
Pour conserver la confiance des utilisateurs, les entreprises doivent prendre conscience des risques relatifs aux transactions en ligne. Il est important d’acquérir des solutions de sécurité performantes pour se protéger contre plusieurs types d’attaques :
- Phishing : Le faible coût de développement d’un site Web et la facilité avec laquelle on peut copier des pages existantes favorisent l’émergence de sites pirates (technique du phishing). La technique du phishing consiste à créer un site vitrine à l’apparence professionnelle, qui imite des boutiques ou des plateformes administratives existantes. Ainsi des personnes malveillantes arrivent à obtenir illégalement des numéros de cartes de crédit ainsi que des mots de passe.
- Divulgation non autorisée : Lorsque des informations de transaction sont transmises « en clair », les pirates peuvent les intercepter pour obtenir des informations confidentielles sur des utilisateurs et des clients.
- Action non autorisée : Un hacker, un fraudeur peut modifier votre site Internet afin de refuser aux clients l’accès à ses services, ou simplement l’empêcher de fonctionner.
- Modification des données : Le contenu d’une transaction peut être intercepté et altéré en cours d’acheminement. Les noms d’utilisateurs, les numéros de cartes de crédit…
Les études sur la cybercriminalité
L’ensemble des études montrent que la cybercriminalité augmente fortement et se renouvelle. Les enjeux et challenges changent, tout comme l’identité des hackers, selon une étude de 2022 de la PwC « Global Economic and Fraud ».
La cybercriminalité, véritable fléau qui touche désormais deux entreprises sur trois en France, est potentiellement synonyme de pertes financières pour les entreprises. Mais également de risques pour les utilisateurs de leurs services. Sans oublier qu’elle est globalement nuisible à la e-réputation d’une marque.
L’étude “Net Losses: Estimating the Global Cost of Cybercrime” réalisée en 2014 par McAfee évalue à plus de 400 milliards de dollars le coût de la cybercriminalité mondiale.
Reconnaître et consulter les informations d’un site Web sécurisé par un certificat SSL
On reconnaît facilement un site Web qui utilise un certificat SSL à cause du petit symbole de cadenas ou de clé dans la barre de statut des navigateurs web. Parfois également au préfixe « https:// » qui apparaît en tête des URL affichées dans la barre d’adresse des navigateurs.
La totalité des navigateurs du marché supporte le protocole SSL. L’affichage de la sécurisation par SSL varie cependant légèrement entre les différents navigateurs.
Pour consulter le détail des informations du certificat TLS SSL, il suffit de cliquer sur l’icône du cadenas. Une fenêtre s’ouvre et vous donne les informations relatives au propriétaire du certificat et du site Web qui l’utilise.
Comment visualiser les informations
Pour visualiser les informations du certificat TLS SSL, il suffit de cliquer sur le lien indiquant le domaine sécurisé. Par exemple *ssl-europa.com sur notre exemple ci-dessous. Puis de consulter les trois onglets “Général”, “Détails” et «Chemin d’accès de certification».
1- L’onglet «Général» fournit les informations relatives au certificat. Telles que: son utilisation (authentification d’un serveur), le nom du site originaire de la demande, l’Autorité de Certification et la période de validité. Dans le cas où une des informations est invalide (par exemple : autorité non reconnue, adresse du site ne correspondant pas, date de validité dépassée). Vous serez averti par le navigateur via un message d’alerte et la session ne s’ouvrira pas automatiquement.
2- L’onglet «Détails» permet de visualiser le contenu des différents champs du certificat :
- Nom du domaine à certifier
- Coordonnées de l’entreprise à qui appartient le certificat TLS SSL
- Clé publique du certificat (permettant le chiffrement)
- Date de validité et d’expiration du certificat TLS SSL
- Nom de l’Autorité de Certification qui émet le certificat TLS SSL
- Signature de l’Autorité de Certification
3- L’onglet, «Chemin d’accès de certification» donne accès au chemin de certification. A noter que le navigateur précise que le certificat est valide. En plus de vérifier les informations obtenues via l’onglet général, le navigateur vérifie que la signature du certificat est valide. Ceci grâce à la clé publique de l’Autorité de Certification.
Notions d’Autorité de Certification
En cryptographie, une Autorité de Certification (AC) est un tiers de confiance qui permet de valider l’identité des correspondants. Il peut également s’appeler Certificate Authority (CA) en anglais. Une Autorité de Certification délivre des certificats décrivant des identités numériques. Elle met à disposition des moyens techniques pour vérifier la validité de ces derniers.
Les rôles d’une Autorité de Certification
Les services des Autorités de Certification s’utilisent notamment dans le cadre de la sécurisation des communications numériques. Il s’utilise via le protocole SSL/TLS pour sécuriser les communications web (HTTPS).
Lors de la délivrance du certificat, l’Autorité de Certification signe numériquement chaque certificat émis. Chaque navigateur contient une liste des Autorités de Certification dites “de confiance”. Une fois la connexion SSL établie, le navigateur vérifie que le certificat du serveur a pour origine une Autorité de Certification digne de confiance. Si cette autorité n’est pas digne de confiance, un message d’alerte s’affiche.
Les obligations d’une Autorité de Certification s’organisent autour de deux fonctions distinctes :
- Fonction d’organisation : traitement des demandes de certificats, contrôle des informations, validation ou rejet des demandes, révocation des certificats.
- Fonction technique : manipulation d’équipements cryptographiques, environnement sécurisé de bout en bout, maintien d’une capacité de production adaptée aux besoins de fonctionnement de l’Autorité de Certification.
Pour offrir son service de certificat TSL SSL, l’Autorité de Certification peut s’appuyer d’une part sur une Autorité d’Enregistrement (AE). Ce dernier les aspects organisationnels. D’autre part, sur une unité de production (l’opérateur de services de certification), qui crée les certificats.
Une relation de confiance hiérarchique peut lier des AC successives. Une Autorité est à la base de toutes ces AC, c’est l’Autorité de Certification Racine (Root CA en anglais). C’est la référence pour la communauté d’utilisateurs des certificats émis par ces AC. La réputation de l’Autorité se lie au degré de confiance qui est accordée au certificat TLS SSL.
Comment reconnaître une Autorité de Certification (AC) de confiance ?
Les Autorités de Certification dites de confiance, sont des entités qui mettent en place des procédures de production de certificats SSL respectant des règles internationales du CAB Forum (https://cabforum.org/). Elles ont pour obligation de se soumettre à des audits annuels et doivent présenter leur certification aux éditeurs de confiance. Ci-dessous, la liste des AC racines de confiance.
La liste des Autorités de Certifications reconnues est accessible depuis n’importe quel navigateur internet. Dès lors que l’Autorité de certification fait partie de cette liste, elle est considérée comme étant de confiance.
Ainsi, l’inconvénient majeur d’utiliser des certificats non délivrés par une Autorité mondialement reconnue (certificat auto-signé par exemple) est que l’internaute qui souhaite se connecter à un serveur web (non sécurisé avec un certificat dit « de confiance ») verra son navigateur afficher une fenêtre d’alerte avec un message lui indiquant qu’il n’est pas en mesure de vérifier ledit certificat car il ne connaît pas la clé publique de l’autorité.
Exemple dans le cas d’un certificat signé par une Autorité de Certification non reconnue.
Comment le certificat TLS SSL sécurise les connexions et les transactions “Client/Serveur Web”
Notions cryptographiques
La cryptographie a pour objectif principal de protéger l’intégrité d’un message. Pour cela, elle chiffre son contenu pour le rendre uniquement lisible par son destinataire et incompréhensible aux autres. On distingue deux types de méthodes : celle employant des algorithmes à clés symétriques (clé secrète) et celle utilisant les algorithmes dits de clés asymétriques (ou clés publiques).
Le protocole de sécurisation SSL/TLS utilise un algorithme asymétrique. Il fonctionne à l’aide de deux clés, l’une publique (que l’on peut diffuser à volonté) et l’autre privée (que l’on garde pour soi). Ces deux clés se lie par une fonction mathématique appelée algorithme de chiffrement. Celui-ci utilise la clé publique (donc connue) d’une personne pour envoyer un message chiffré (donc confidentiel). Seule la personne disposant de la clé privée correspondante est alors en mesure de déchiffrer le message ainsi transmis.
Émission d’un certificat TLS SSL
Le certificat SSL est un « document numérique » permettant d’authentifier une clé publique. C’est-à-dire prouver qu’elle appartient bien à une personne ou à une entité connue.
Un certificat associe donc une clé publique à une identité. Cette identité peut être celle :
- D’une personne physique (on parle de certificat individuel) permettant par exemple à son titulaire de sécuriser son e-mail.
- D’une machine (comme un serveur web). On parle alors de « certificat serveur ». Il s’utilise par la machine titulaire afin de prouver son identité aux clients qui souhaitent établir une connexion sécurisée avec elle.
Ainsi, un certificat numérique SSL fonctionne sur le même principe qu’une pièce d’identité classique. Les informations qu’il contient se certifie par l’Autorité de Certification (AC). Celui-ci signe le certificat avec sa clé privée de telle sorte que quiconque disposant de la clé publique de cette AC est en mesure de vérifier l’authenticité de chaque certificat délivré.
Comment mettre en place un serveur web sécurisé
Les navigateurs Web intègrent nativement une liste de certificats provenant de différentes Autorités de Certification selon des règles internes définies par les développeurs du navigateur. Notons que depuis 2014, pour assurer l’inviolabilité des informations chiffrées, la taille minimum de la clé privée de signature doit être de 2048 bits.
Lorsqu’une personne physique ou morale souhaite mettre en place un serveur web utilisant une communication HTTPS sécurisée par SSL/TLS, elle génère une clé publique, une clé privée puis envoie à l’une de ces Autorités de Certification une demande de signature de certificat (en anglais CSR : Certificate Signing Request) contenant sa clé publique ainsi que des informations sur son identité (coordonnées postales, téléphoniques, email…).
Après vérification de l’identité du demandeur du certificat par une Autorité d’Enregistrement (AE), l’Autorité de Certification signe le CSR grâce à sa propre clé privée qui devient alors un certificat puis le transmet en retour à la personne qui en a fait la demande.
Le certificat ainsi retourné sous forme de fichier informatique s’intègre dans le serveur web du demandeur. Lorsqu’un utilisateur se connecte à ce serveur web, celui-ci lui transmet à son tour le certificat fourni précédemment par l’Autorité de Certification.
Le protocole HTTPS
Le navigateur du client authentifie le certificat du serveur grâce au certificat de l’Autorité de Certification (intégré nativement dans le navigateur). Celui-ci signe précédemment le certificat. L’identité du serveur est ainsi confirmée à l’utilisateur par l’Autorité de Certification.
Le navigateur fait ensuite une demande de vérification OCSP en contactant l’Autorité de Certification afin de savoir si le certificat du serveur est toujours valide. Il s’agit d’une transaction de validation.
Sur le plan technique, cette infrastructure de gestion des clés permet ainsi de s’assurer que :
- Les données transmises entre le serveur web et le poste du client n’ont pas été modifiées durant le transfert : intégrité par « hachage » des données.
- Les données proviennent bien d’un serveur web connu et qu’il ne s’agit pas d’une réplique frauduleuse.
- Les données ne peuvent pas être lisibles par un tiers grâce au chiffrement.
De quoi se compose un certificat SSL
Un certificat SSL se compose donc d’une clé publique et d’une clé privée. La clé publique s’utilise pour le chiffrement des informations et la clé privée s’utilise pour les déchiffrer. Lorsqu’un navigateur se connecte à un domaine sécurisé, une connexion SSL authentifie le serveur et le client (navigateur), puis définit une méthode de cryptage et une clé unique de session. Ils peuvent alors entamer une session sécurisée qui garantit la confidentialité et l’intégrité du message.
Le fonctionnement du protocole SSL peut se décliner selon deux modes distincts – étant entendu que le certificat peut se trouver sur le serveur et/ou sur le poste client :
- Dans le premier cas, on authentifie le serveur
- Dans le second cas, on authentifie le client/navigateur c’est-à-dire l’internaute destinataire
Techniquement, serveur et client utilisent le même format de certificats (x509) mais ils diffèrent par l’information qu’ils contiennent. Ainsi, un certificat côté navigateur sert à identifier un utilisateur et contient donc des informations sur cet utilisateur. Côté serveur, le certificat a pour but d’authentifier le serveur, mais aussi l’organisme auquel il appartient s’il s’agit d’un certificat OV ou EV. Le schéma ci-dessous illustre le procédé qui garantit la protection des communications entre serveur et client.
En résumé, lors d’une connexion SSL avec un certificat :
Authentification
- Le serveur envoie au navigateur son certificat
- Le navigateur reçoit ce certificat
- Le navigateur remonte le chemin de confiance du certificat (il vérifie que le certificat reçu a bien été signé par une Autorité de Certification)
Chiffrement
- Le certificat envoyé par le serveur vers le navigateur contient la clé publique du serveur. La clé privée du serveur reste cachée sur le serveur
- Le navigateur génère de son côté une clé de session
- Cette clé de session est envoyée par le navigateur vers le serveur sous forme chiffrée par le navigateur, en utilisant la clé publique (le certificat) du serveur.
- Une fois reçue par le serveur, elle est ensuite déchiffrée à l’aide de la clé privée du serveur
- Toutes les données sont alors chiffrées par cette clé de session par les deux parties
Les champs d’application des certificats SSL
- En utilisant un certificat SSL, vos transactions sur Internet sont sûres. Vos clients ont confiance en votre système de protection et savent avec certitude où ils envoient les données. En retour, vous êtes assurés que votre entreprise reçoit des données fiables.
- Une connexion sécurisée augmente l’indice de confiance de l’utilisateur, ce qui, en retour, améliore la fréquentation et l’utilisation de vos sites, surtout en ce qui concerne des actes d’achat. Lorsque vous installez un certificat SSL, les clients potentiels savent qu’ils se trouvent sur un site sécurisé. De plus, le référencement de votre site Web par le moteur de recherche Google est améliorée.
Le protocole SSL peut être utilisé de diverses façons et à des fins différentes :
- Communications «de navigateur à serveur»: la plupart du temps le SSL sert à sécuriser les communications entre un serveur Web et un navigateur, notamment dans le cadre de transmissions d’informations sensibles (achats en ligne, dossiers médicaux ou transactions bancaires). La technologie SSL permet de confirmer à l’utilisateur l’identité du destinataire de ses informations personnelles, tout en assurant que seule cette entité autorisée y aura accès.
- Communications « de serveur à serveur »: le protocole SSL peut également être utilisé pour sécuriser les communications entre deux serveurs, telles que les transactions entre deux entreprises. Dans ce scénario, les deux serveurs possèdent généralement un certificat qui leur permet de s’authentifier mutuellement et de sécuriser leurs communications bilatérales.
- Respect des obligations réglementaires : de nombreuses réglementations juridiques et sectorielles exigent des niveaux d’authentification et de confidentialité que les certificats SSL permettent d’obtenir. Le standard PCI DSS (Payment Card Industry Data Security Standard) exige, par exemple, l’utilisation de technologies d’authentification et de cryptage pour tout paiement en ligne.
Comment obtenir un certificat SSL pour sécuriser son site Internet ou son serveur Web ?
Nous l’avons vu, une session SSL ne peut pas être ouverte si le serveur Web ne dispose pas d’un certificat permettant au navigateur (client) de vérifier l’identité du serveur. La vérification de cette identité se fait sur l’adresse DNS du serveur. Cela ne se fait pas sur l’identité du titulaire de certificat comme pour les certificats de personnes physique. Le processus de délivrance des certificats SSL est donc légèrement différent de celui d’un certificat client ou de messagerie.
Le demandeur de certificat doit générer tout d’abord une paire de clés publiques avec un algorithme de chiffrement (de type RSA). Ensuite il renseigne un formulaire concernant l’organisation (l’entreprise) titulaire du certificat. Par exemple contact technique, ville, département, etc. C’est à partir de ces informations que se créée ce qu’on appelle une RSC (pour Requête de Signature de Certificat). Sinon plus généralement une CSR (Certificate Signing Request) en anglais. La CSR doit se générer avec une clé de 2048 bits.
La génération de cette CSR dépend du serveur web que vous utilisez.
Avant de la générer, vous devez bien vous assurer que les champs du Distinguished Name (DN) dans le formulaire sont correctement renseignés.
Le DN est un fichier chiffré qui contient :
- La clé publique de votre organisation
- Le nom de votre organisation
- Sa localité
- Le nom de domaine enregistré
En générant une CSR, le serveur web créera deux fichiers :
- Une clé privée (à conserver soigneusement et à ne pas divulguer)
- Une requête de signature de certificat (CSR)
Lors de la saisie de votre formulaire en ligne, vous devrez rentrer un mot de passe qui servira à chiffrer la clé privée du serveur. La CSR se signe à l’aide de la clé privée du serveur pour laquelle elle se génère. Cela permet ainsi à l’Autorité de Certification d’être sûre que le demandeur est bien en possession de la clé privée en question.
La CSR contient ainsi toutes les informations saisies par le demandeur ainsi que la clé publique du serveur. C’est à partir de ces informations que l’Autorité de Certification (AC) signe et délivre le certificat après sa vérification. Il ne reste alors plus qu’à installer le certificat ainsi obtenu sur le serveur Web pour permettre l’utilisation du protocole SSL lors des transactions entre le site Web et les navigateurs des utilisateurs.
Voici un exemple de CSR :
—–BEGIN CERTIFICATE REQUEST—–
MIIBpTCCAQ4CAQAwZTELMAkGA1UEBhMCRlIxEjAQBgNVBAoTCUtFWU5FQ1RJUzEX
MBUGA1UECxMOMDAwMiA0NzgyMTczMTgxDTALBgNVBAsTBFRFU1QxGjAYBgNVBAMT
EXd3dy5rZXluZWN0aXMubmV0MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3
1XuFvLFtJMgzfpQfk5E4x2oTgAz74KKuBQ9GX2jzIKfJA5RRZ/j7jeXJJZgFT0+e
z8+89qgRxTwUH4yuJV3usegp+dtq0eHAXjClSgqwCPpEKMmQ3aAABM45lCKxQbMZ
k0ARyFHCKnhhFbHi3VMwye2tqjDwNS5kXktCYrQodwIDAQABoAAwDQYJKoZIhvcN
KdveiQ/lYtNn+/xJAavBYQ2O6CO8E85MmxzBVoQl2E5U+wot1cbDERI
—–END CERTIFICATE REQUEST—–
La génération de la CSR constitue donc l’étape préalable à toute demande en ligne d’un certificat SSL.
Une fois générée, cette CSR doit se copier dans le champ du formulaire de demande de certificats en ligne. Le serveur vérifie la bonne syntaxe du contenu puis demande la saisie des informations administratives relatives au titulaire du certificat.
Une fois l’ensemble des champs correctement renseignés, la demande de certificat s’envoie au service clients de l’Autorité de Certification qui procède à un certain nombre de vérifications administratives et téléphoniques avant de la valider et de déclencher sa fabrication. Ces vérifications dépendent du type de certificat : vérification du domaine Internet dans le cas d’un certificat SSL “Domain Validated” (DV SSL), à laquelle s’ajoutent les vérifications concernant l’organisation (l’entreprise) pour les certificats SSL “Organization Validated” (OV SSL) et “Extended Validation” (EV SSL).
Si l’étape de vérification se passe correctement, l’Autorité de Certification génère alors le certificat SSL puis le signe avec sa clé privée. Le certificat peut alors être récupéré par le demandeur sur une URL spécifique qui lui aura été communiquée.
Il faut ensuite établir le chemin de certification jusqu’au certificat sur le serveur web. Il est alors nécessaire de télécharger :
- Le certificat de l’Autorité de Certification Racine : reconnu par tous comme autorité du niveau le plus élevé et figurant de manière native dans les navigateurs
- Le certificat de l’Autorité de Certification SSL : celui signé par l’AC délivrant des certificats SSL.
www.ssl-europa.com/solutions/certificats-ssl
Certificat SSL
Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise
Certificat SSL
Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise