Qu'est-ce qu'un certificat SSL/TLS ?
Un certificat SSL/TLS est un objet numérique qui permet aux systèmes de vérifier l'identité et d'établir ensuite une connexion réseau chiffrée avec un autre système à l'aide du protocole SSL/TLS (Secure Sockets Layer/Transport Layer Security). Les certificats sont utilisés dans un système cryptographique appelé « infrastructure à clé publique » (PKI, Public Key Infrastructure). L'infrastructure PKI permet à une partie d'établir l'identité d'une autre partie à l'aide de certificats si elles font toutes deux confiance à un tiers appelé « autorité de certification ». Les certificats SSL/TLS font donc office de cartes d'identité numériques pour sécuriser les communications réseau, établir l'identité des sites web sur Internet, ainsi que des ressources sur les réseaux privés.
Pourquoi les certificats SSL/TLS sont-ils importants ?
Les certificats SSL/TLS établissent la confiance entre les utilisateurs du site web. Les entreprises installent des certificats SSL/TLS sur des serveurs web pour créer des sites web sécurisés SSL/TLS. Les caractéristiques d'une page web sécurisée SSL/TLS sont les suivantes :
- Une icône de cadenas et une barre d'adresse verte dans le navigateur web
- Un préfixe https dans l'adresse du site web dans le navigateur
- Un certificat SSL/TLS valide Vous pouvez vérifier si le certificat SSL/TLS est valide en cliquant sur l'icône en forme de cadenas dans la barre d'adresse URL pour la développer.
- Une fois la connexion chiffrée établie, seuls le client et le serveur web peuvent voir les données envoyées.
Vous trouverez certains avantages des certificats SSL/TLS ci-dessous.
Protection des données privées
Les navigateurs valident le certificat SSL/TLS de n'importe quel site Web pour démarrer et maintenir des connexions sécurisées avec le serveur du site Web. La technologie SSL/TLS permet de garantir le cryptage de toutes les communications entre votre navigateur et le site Web.
Renforcer la confiance des clients
Les clients avertis d'Internet comprennent l'importance de la confidentialité et veulent faire confiance aux sites Web qu'ils visitent. Un site Web protégé par SSL/TLS possède l'icône en forme de cadenas vert, que les clients considèrent comme sécurisée. La protection SSL/TLS aide les clients à savoir que leurs données sont protégées lorsqu'ils les partagent avec votre entreprise.
Soutenir la conformité réglementaire
Certaines entreprises doivent se conformer aux réglementations du secteur en matière de confidentialité et de protection des données. Par exemple, les entreprises du secteur des cartes de paiement doivent adhérer à la PCI DSS. La norme PCI DSS est une exigence du secteur pour sécuriser les transactions en ligne, y compris la sécurisation du serveur Web avec un certificat SSL/TLS.
Améliorer le référencement
Les principaux moteurs de recherche ont fait de la protection SSL/TLS un facteur de classement pour l'optimisation des moteurs de recherche. Un site Web sécurisé SSL/TLS sera probablement mieux classé dans le moteur de recherche qu'un site Web similaire sans certificat SSL/TLS. Cela augmente le nombre de visiteurs des moteurs de recherche vers le site Web protégé par SSL/TLS.
Quels sont les principes clés de la technologie de certification SSL/TLS ?
SSL/TLS signifie Secure Sockets Layer/Transport Layer Security. Il s'agit d'un protocole ou d'une règle de communication qui permet aux systèmes informatiques de communiquer entre eux sur Internet en toute sécurité. Les certificats SSL/TLS permettent aux navigateurs web d'identifier et d'établir des connexions réseau chiffrées vers des sites web à l'aide du protocole Secure Sockets Layer/Transport Layer Security (SSL/TLS).
Chiffrement
Le chiffrement consiste à brouiller le message original afin qu'il ne puisse être déchiffré que par le destinataire prévu. Par exemple, vous remplacez le mot cat par ecv en avançant chaque lettre de l'alphabet de deux positions. Le destinataire connaît la règle (ou la clé) et recule chaque lettre de deux positions pour lire le mot lui-même. Le chiffrement SSL/TLS s'appuie sur ce concept en utilisant la cryptographie à clé publique, avec deux clés différentes pour chiffrer et déchiffrer un message. L'infrastructure PKI permet à une partie d'établir l'identité d'une autre partie à l'aide de certificats si elles font toutes deux confiance à un tiers appelé « autorité de certification ». L'autorité de certification vérifie le certificat et authentifie les deux parties avant le début de la communication.
Les deux types de clés sont les suivants :
Clé publique
Le navigateur et le serveur web communiquent en codant et en décodant des informations à l'aide de paires de clés publiques et privées.La clé publique est une clé cryptographique que le serveur web fournit au navigateur dans le certificat SSL/TLS. Le navigateur utilise la clé pour chiffrer les informations avant de les envoyer au serveur web.
Clé privée
Seul le serveur web possède la clé privée. Un fichier chiffré par la clé privée ne peut être déchiffré que par la clé publique, et vice versa. Si la clé publique ne peut déchiffrer que le fichier qui a été chiffré par la clé privée, le fait de pouvoir déchiffrer ce fichier garantit que le destinataire et l'expéditeur prévus sont bien ceux qu'ils prétendent être.
Authentification
Le serveur envoie la clé publique du certificat SSL/TLS au navigateur. Le navigateur vérifie le certificat d'un tiers de confiance. Par conséquent, il peut vérifier que le serveur web est bien celui qu'il prétend être.
Signature numérique
Une signature numérique est un numéro propre à chaque certificat SSL/TLS. Le destinataire génère une nouvelle signature numérique et la compare à la signature originale pour s'assurer que des parties externes n'ont pas falsifié le certificat lors de son passage sur le réseau.
Qui valide les certificats SSL/TLS ?
Une autorité de certification (CA) est une organisation qui vend des certificats SSL/TLS à des propriétaires web, à des sociétés d'hébergement web ou à des entreprises. L'autorité de certification valide le domaine et les détails du propriétaire avant d'émettre le certificat SSL/TLS. Pour être une autorité de certification, une organisation doit répondre à des exigences spécifiques définies par la société du système d'exploitation, des navigateurs ou des appareils mobiles et demander à être répertoriée en tant qu'autorité de certification racine. Ce point est important pour établir la confiance entre les utilisateurs d'Internet. Par exemple, Amazon Trust Services est une autorité de certification et peut délivrer des certificats SSL/TLS à des sites web.
Quelle est la période de validité du certificat SSL/TLS ?
Un certificat SSL/TLS a une durée de validité maximale de 13 mois. La validité du certificat SSL/TLS a été progressivement réduite au fil des ans. L'objectif est de réduire les risques de sécurité affectant les entreprises et les utilisateurs du web. Par exemple, des tiers non fiables peuvent utiliser un certificat SSL/TLS valide d'un domaine expiré pour créer un site web non autorisé.
En raccourcissant la période de validité, les risques d'utilisation abusive des certificats SSL/TLS sont réduits. Lorsque le certificat SSL/TLS expire, les visiteurs web reçoivent un avertissement dans le navigateur indiquant que le site web n'est pas sécurisé. L'organisation révoque l'ancien certificat SSL/TLS et le remplace par un certificat renouvelé.Le processus de renouvellement doit avoir lieu avant l'expiration du certificat précédent pour éviter les incidents de sécurité.
Qu'est-ce qui est inclus dans un certificat SSL/TLS ?
Un certificat SSL/TLS contient les informations suivantes.
- Nom de domaine
- Autorité de certification
- Signature numérique de l'autorité de certification
- Date d'émission
- Date d'expiration
- Clé publique
- Version SSL/TLS
TLS signifie Transport Layer Security (Sécurité de la couche de transport). Il s'agit d'un successeur et d'une évolution du protocole SSL/TLS version 3.0. Il n'existe que de légères différences techniques entre les protocoles SSL/TLS et TLS. Comme le protocole SSL/TLS, le protocole TLS fournit un canal de transmission de données chiffré entre un navigateur et le serveur web. Les certificats SSL/TLS modernes utilisent le protocole TLS au lieu du protocole SSL/TLS, mais le protocole SSL/TLS reste un acronyme populaire parmi les experts en sécurité. Bien qu'ils ne soient pas exactement les mêmes, les termes SSL et TLS sont couramment utilisés pour signifier la même chose. Ils peuvent également faire référence au protocole de chiffrement cryptographique SSL/TLS.
Comment fonctionne un certificat SSL/TLS ?
Les navigateurs utilisent le certificat SSL/TLS pour établir une connexion sécurisée avec le serveur web via l'établissement de la liaison SSL/TLS. L'établissement de la liaison SSL/TLS fait partie de la technologie HTTPS (hypertext transfer protocol secure). Il s'agit d'une combinaison de HTTP et de SSL/TLS. HTTP est un protocole utilisé par les navigateurs web pour envoyer des informations en texte brut à un serveur web. Le protocole HTTP transmet des données non chiffrées, ce qui signifie que les informations envoyées depuis un navigateur peuvent être interceptées et lues par des tiers. Les navigateurs utilisent HTTP avec SSL/TLS, ou HTTPS, pour une communication totalement sécurisée.
Poignée de main SSL/TLS
La poignée de main SSL/TLS implique les étapes suivantes :
- Le navigateur ouvre un site Web sécurisé SSL/TLS et se connecte au serveur Web.
- Le navigateur tente de vérifier l'authenticité du serveur Web en demandant des informations identifiables.
- Le serveur Web envoie le certificat SSL/TLS contenant une clé publique en réponse.
- Le navigateur vérifie le certificat SSL/TLS, s'assurant qu'il est valide et correspond au domaine du site Web. Une fois que le navigateur est satisfait du certificat SSL/TLS, il utilise la clé publique pour chiffrer et envoyer un message contenant une clé de session secrète.
- Le serveur Web utilise sa clé privée pour déchiffrer le message et récupérer la clé de session. Il utilise ensuite la clé de session pour chiffrer et envoyer un message d'accusé de réception au navigateur.
- Désormais, le navigateur et le serveur Web utilisent la même clé de session pour échanger des messages en toute sécurité.
Clé de session
Une clé de session maintient la communication cryptée entre le navigateur et le serveur Web une fois l'authentification SSL/TLS initiale terminée. La clé de session est une clé de chiffrement pour la cryptographie symétrique. La cryptographie symétrique utilise la même clé pour le chiffrement et le déchiffrement. La cryptographie asymétrique utilise une immense puissance de calcul. Par conséquent, le serveur Web passe à la cryptographie symétrique qui nécessite moins de calculs pour maintenir une connexion SSL/TLS.
Quels sont les types de certificats SSL/TLS ?
Les certificats SSL/TLS diffèrent selon la validation et le domaine. Les certificats avec différents niveaux de validation sont classés comme suit :
- Certificats de validation étendue
- Certificats de validation d'organisation
- Certificats de validation de domaine
Les certificats SSL/TLS qui prennent en charge différents types de domaines sont les suivants :
- Certificat de domaine unique
- Certificat avec caractères génériques
- Certificat multi-domaines
Certificats de validation étendue
Un certificat de validation étendue (SSL/TLS EV) est un certificat numérique doté du plus haut niveau de chiffrement, de validation et de confiance. Lors de la demande d'un certificat SSL/TLS EV, une organisation ou un propriétaire web est soumis à des contrôles stricts de la part des autorités de certification. Cela inclut la vérification de l'adresse physique de l'entreprise, de la demande de certificat appropriée et des droits exclusifs d'utilisation du domaine.
Les entreprises utilisent les certificats SSL/TLS EV pour protéger les utilisateurs contre les tiers non autorisés. Cela est important lorsque l'entreprise traite des données sensibles sur le site web, telles que des transactions financières et des dossiers médicaux. Un certificat SSL/TLS EV contient des détails sur l'organisation commerciale, qui peuvent être consultés sur un navigateur.
Certificats de validation d'organisation
Les certificats de validation d'organisation (SSL/TLS OV) arrivent en deuxième position après les certificats SSL/TLS EV en termes de validation et de confiance. Comme les certificats SSL/TLS EV, les entreprises doivent passer par un processus de vérification lorsqu'elles demandent un certificat SSL/TLS OV. Bien que le processus de sélection soit moins strict, les candidats doivent prouver la propriété du domaine aux autorités de certification.
Le certificat SSL/TLS OV contient des informations commerciales validées et peut être inspecté dans le navigateur. Les entreprises de premier plan et commerciales utilisent le certificat SSL/TLS OV pour renforcer la confiance des clients. Le certificat SSL/TLS OV offre un chiffrement solide pour protéger la confidentialité des clients lorsqu'ils naviguent sur le web.
Certificats de validation de domaine
Les certificats de validation de domaine (SSL/TLS DV) sont des certificats numériques dont la validation est la plus faible. Ils sont aussi ceux pour lesquels la demande est la moins coûteuse. Contrairement aux certificats SSL EV et aux certificats SSL/TLS OV, les demandeurs de certificat DV sont soumis à un processus de vérification moins strict. Le demandeur prouve la propriété du domaine en répondant à un e-mail de vérification ou à un appel téléphonique.
Un certificat DV ne contient pas d'informations complètes sur l'organisation ou l'activité du demandeur. Par conséquent, il ne fournit pas une assurance élevée aux utilisateurs. Les certificats DV conviennent aux sites web d'information, tels que les blogs. Ils ne sont pas idéaux pour les passerelles de paiement, les entreprises de soins de santé ou d'autres sites web traitant des données sensibles.
Certificats SSL/TLS à domaine unique
Un certificat SSL/TLS à domaine unique est un certificat SSL/TLS qui ne protège qu'un seul domaine ou sous-domaine. Un domaine est l'URL ou l'adresse principale d'un site web, par exemple amazon.com. Un sous-domaine est une adresse web avec une extension de texte qui précède le domaine principal, par exemple aws.amazon.com.
Par exemple, vous pouvez utiliser un certificat SSL/TLS à domaine unique pour http://exemple.com. Cependant, vous ne pouvez pas utiliser simultanément le certificat pour http://exemple.com et sous.exemple.com.
Certificats SSL/TLS avec caractères génériques
Un certificat SSL/TLS avec caractères génériques est un certificat SSL/TLS qui protège un domaine et tous ses sous-domaines. Par exemple, vous pouvez utiliser un certificat SSL/TLS avec caractères génériques pour protéger http://exemple.com, blog.exemple.com et boutique.exemple.com.
Certificats SSL/TLS multi-domaines
Les certificats multi-domaines sont également appelés certificats de communications unifiées. Un certificat SSL/TLS multi-domaines offre une protection SSL/TLS pour plusieurs noms de domaine hébergés sur le même serveur ou sur des serveurs différents appartenant au même propriétaire. Par exemple, vous achetez un certificat multi-domaines pour http://exemple1.com, domaine2.co.uk, boutique.entreprise3.com et message.chat.au.
Qu'est-ce qu'AWS Certificate Manager ?
AWS Certificate Manager (ACM) est un service qui vous permet de mettre en service, de gérer et de déployer facilement des certificats SSL/TLS privés afin de les utiliser avec les services AWS et vos ressources internes connectées. Il supprime le processus manuel chronophage d'achat, de chargement et de renouvellement des certificats SSL/TLS. À la place, vous pouvez rapidement demander un certificat, le déployer sur des ressources AWS intégrées à ACM, telles que Elastic Load Balancing, les distributions Amazon CloudFront et les API sur Amazon API Gateway, puis laisser AWS Certificate Manager gérer le renouvellement du certificat. Il vous permet également de créer des certificats privés pour vos ressources internes et de gérer le cycle de vie des certificats de façon centrale.
Les entreprises utilisent ACM pour simplifier la demande, le déploiement et le renouvellement des certificats SSL/TLS. Au lieu du processus classique de génération et de soumission d'une demande de signature de certificat (CSR) à une autorité de certification, vous pouvez créer un certificat SSL/TLS géré par ACM en quelques clics.
Commencez à utiliser AWS Certificate Manager en créant un compte AWS dès aujourd'hui.
Prochaines étapes de la certification SSL avec AWS
Commencez à créer avec le cloud hybride AWS dans la console de gestion AWS.