SSL


Un cryptage SSL (Secure Socket Layer) active une connexion sécurisée entre le client et le serveur. Il s’agit d’un protocole Internet qui permet aux données sensibles (informations de paiement, données sur la carte de crédit) de ne pas être lues par des tiers : elles sont transmises sous une forme cryptée. En outre, un certificat confirme que le serveur est digne de confiance. Le SSL peut aussi être appelé TLS (Transport Layer Security).

Signification[modifier]

Le SSL est une méthode de cryptage courante pour les connexions HTTPS. Ces connexions sont établies lorsque des données sensibles sont envoyées. En première ligne, on trouve les sites web sur lesquels les utilisateurs peuvent posséder des comptes protégés par un mot de passe. Sans cette connexion sécurisée, aucune transaction bancaire ne serait possible, tout comme les online shop ou les réseaux sociaux. Les vacances ne pourraient pas non plus être réservées en ligne. Ainsi, une technique de cryptage comme le SSL a une très grande importance pour la société Internet moderne.

600x400-SSL-01-01.png

Certificat SSL[modifier]

Le certificat SSL permet une authentification de l’exploitant du site. En particulier dans le domaine du e-commerce, il est très important de crypter le transfert de données via un certificat SSL : en effet, seul le cryptage SSL autorise le transfert de données protégées au serveur. Il est important que le fournisseur puisse être identifié au cours de telles opérations de paiement, et le certificat SSL permet cela. En outre, le certificat est garant de confiance et peut convertir un visiteur en client.

Contenu et fonction[modifier]

En cliquant sur le “https” dans la barre d’adresse, n’importe quel utilisateur peut lire quel certificat est utilisé. Ce dernier fournit des informations sur l’émetteur et le titulaire. Un émetteur peut par exemple être VeriSign ou Inc. Il effectue des opérations de vérification auprès du propriétaire du site et indique si ce dernier peut être digne de confiance. Le certificat sert donc de preuve qu’il existe vraiment quelqu’un derrière le site et si le vendeur, banquier ou autre, et si la personne est honnête. Le certificat comprend également une date d’expiration. Les certificats SSL sont disponibles sous des variations de 128 bits et 256 bits. C’est ce dernier qui est considéré comme le plus sûr.

Variations[modifier]

Tout certificat n’est pas équivalent. Il existe ceux qu’on appelle étapes de validations, qui comme leur nom l’indique valident différents aspects, ce qui représentent plusieurs étapes de sécurité. La première est le certificat de validation du nom du domaine. Il vérifie seulement si l’adresse e-mail du domaine est valide administrativement parlant. Cette étape ne protège pas contre les attaques web et les tentatives d’hameçonnage. Ensuite, il existe aussi des certificats qui valident les entreprises ou organisations. Pour les banques, qui requièrent par exemple un très haut niveau de sécurité, on peut faire appel à un certificat EV SSL (extended validation). Si on réalise cette connexion https depuis un navigateur mis à jour et performant, la barre d’adresse sera colorée en vert : c’est une particularité de ce certificat. Le certificat EV SSL peut être obtenu par une entreprise seulement après une vérification détaillée, approfondie et standardisée. Il assure une authentification avec un très haut niveau de sécurité.

Aspects juridiques[modifier]

D’un point de vue juridique, l’authentification sur une base numérique est discutable. Souvent, les documents numériques n’ont pas de valeur juridique. Depuis 2011, il existe en Allemagne la loi sur les signatures. Avec ce règlement, toutes les thématiques relatives au certificat SSL sont gérées. Il existe de plus des agences nationales qui peuvent elles-mêmes reconnaître et certifier les organisations ou entreprises.

Sécurité[modifier]

Dans tous les cas, la transmission sécurisée des données ne peut pas être interrompue ou perturbée par un tiers. Cependant, le SSL ne peut pas influencer la façon dont l’exploitant du site utilise les données collectées. Quand ces dernières sont sauvegardées de manière peu ou non sécurisée sur le serveur, elles ne sont pas protégées contre les attaques de piratage. La recherche encryptées se base également sur le cryptage SSL : les données de l’utilisateur sont être cryptées afin qu’elles ne soient pas suivies ou trackées.

Fonctionnalités[modifier]

Différent cryptage[modifier]

Le cryptage SSL assure une connexion sécurisée entre un serveur et un client. Pour ce faire, des protocoles d’application tels que HTTP, IMAP, POP3 et SMTP, qui sont transmis en clair, vont être sécurisés. Cela protège les données sensibles de manipulations non désirées et l’accès par des tiers. Le cryptage est ici retenu comme méthode de sécurisation, comme par exemple :

  • le cryptage symétrique (une seule clé)
  • le cryptage asymétrique (deux clés)
  • la fonction de hachage (empreinte digitale)

On va essentiellement tester l’envoi des données et s’assurer que ces dernières soient 100% sécurisées.

Soutien du navigateur[modifier]

Les navigateurs les plus courants supportent le cryptage SSL. Aucun problème ne devrait être rencontré sur Chrome, Firefox, Safari ou les versions actuelles de Opera et Internet Explorer.

Avantages et inconvénients[modifier]

  • Des transactions sensibles, comme les transactions bancaires, seraient impossibles sans cryptage. Le protocole SSL contribue donc au confort des individus. Les opérations comme les achats en ligne permettent à l’utilisateur de gagner du temps.
  • Un certificat SSL est un indicateur de confiance de la part du fournisseur. Plus les clients ont confiance en votre site web, plus vous pouvez espérer qu’ils se fidélisent.
  • D’un point de vue technique, le SSL a le grand avantage de fonctionner indépendamment du système d’exploitation. Le navigateur utilisé n’a pas d’importance et il ne faut pas ajouter de logiciel supplémentaire. Il n’existe donc pas de restriction ou limite à ce que le système SSL soit utilisé.
  • L’expérience utilisateur est toutefois limitée, car la connexion à ces pages peut durer plus longtemps que pour des pages simples. Le serveur doit beaucoup plus rechercher et a donc besoin de plus de temps.

Critiques[modifier]

  • En 2010, il est révélé que des connexions naturelles et sécurisées par le SSL ont été détournées de manière routinière par des institutions publiques.
  • En 2011, il a été question d’un scandale lié au SSL. Un éditeur de certificats s’est trouvé compromis : il se trouve qu’il fournissait des certificats non autorisés. En réponse, beaucoup de personnes en ont conclu que le cryptage SSL n’était pas un concept fiable pour le futur.
  • En 2014, le bug dit Heartbleed a été percé, par lequel beaucoup plus de données pouvaient être espionnées. En plus des webmasters et des online shops, des personnes privées ont aussi été touchées. L’étendue de cette fuite n’est pas encore connue.

De manière générale, ce sont la publication et la falsification des certificats qui se trouvent dans le viseur.

Utilisation pour l’optimisation pour les moteurs de recherche[modifier]

Pendant longtemps, le cryptage des sites web par le système SSL proposait un dispositif de sécurité qui était utilisé seulement pour les espaces dits sensibles, comme le panier d’achat ou la transaction, mais rarement plus sur le site. En termes d’optimisation du référencement, on pouvait donc régulièrement rencontrer le problème du duplicate content. Il était en effet possible de livrer le même contenu sous HTTP et sous HTTPS.

En août 2014, Google a enfin déclaré au sein d’un article posté sur son blog officiel que le cryptage SSL est un facteur de classement. Google lui-même a complètement transformé sa recherche sur le web quant aux connexions HTTPS, et ce déjà depuis 2011. Pour les webmasters, il s’agit maintenant d’aborder la question d’une plus grande sécurité pour leurs utilisateurs tout en assurant des opérations relatives à l’optimisation pour les moteurs de recherche.

Dans l’article susmentionné, les auteurs évoquent aussi que ce cryptage SSL ne représente toutefois qu’un facteur de classement mineur par rapport à d’autres facteurs beaucoup plus importants et pesants, comme le contenu. En outre, les webmasters ont eu beaucoup de temps pour installer des connexions sécurisées.

On ne sait pas encore dans quelle mesure le cryptage SSL va influencer les classements dans le futur. Cependant, on suppose que dans les domaines très compétitifs au niveau des mots-clés, des facteurs de classement plus petits pourraient devenir essentiels à un bon référencement.