En ce qui concerne la technologie numérique, il n'est plus question de records à la Olympia selon la devise "plus vite, plus haut, plus loin". Les performances des terminaux, les taux de transfert toujours plus rapides ou la variété des applications pratiques sont une chose. Par ailleurs, lorsque nous surfons sur Internet, utilisons les médias sociaux et d'autres services, nous révélons des faits sur nous-mêmes pratiquement à chaque seconde, qui ne devraient pas tomber entre les mains de tout le monde. Il s'agit notamment des adresses, des comptes bancaires, des numéros de cartes de crédit et d'autres données sensibles.
Le mot clé de l'heure est plutôt : sécurité. Ou : Comment puis-je garantir activement et passivement que les données que je divulgue via Internet et que je diffuse dans le monde entier sont protégées contre tout accès abusif par des tiers ? C'est là que des fonctions telles que SSL et TLS, des méthodes de cryptage conçues pour garantir que je puisse voyager en toute sécurité dans le monde numérique, s'avèrent utiles.
Comment fonctionne un certificat SSL
SSL (Secure Sockets Layer) est un protocole d'authentification et de cryptage des connexions sur l'internet. La procédure SSL originale est désormais obsolète et a été remplacée par la TLS (Transport Layer Security). Cependant, le terme SSL est resté dans le langage courant jusqu'à aujourd'hui.
Pour expliquer son fonctionnement, prenons comme exemple la commande d'un client dans un boutique en ligne. Une connexion SSL cryptée est toujours établie par le client (ici le client). Il y a d'abord ce que l'on appelle un handshake, au cours duquel un paramètre de cryptage est généré pour la session. Le serveur de la boutique en ligne répond ensuite en envoyant sa clé publique au client avec son certificat SSL. Chez ce dernier, le Certificat à l'aide d'une liste de CA connues - Certificate ou Certification Authority = Autorité de certification pour les certificats numériques - est authentifié. Si l'AC n'est pas connue, la plupart des navigateurs ouvrent une fenêtre qui donne à l'utilisateur la possibilité d'accepter ou de refuser le certificat sous sa propre responsabilité.
Le client génère alors une clé symétrique, qui est cryptée avec la clé publique du serveur et la renvoie. Ensuite, le client et le serveur connaissent le code de cryptage des données de l'utilisateur, et la connexion sécurisée est établie.
Différences entre les certificats SSL communs
Il existe plusieurs variantes de certificats SSL, qui dépendent des besoins du demandeur et dont le prix varie également. Les facteurs sont par exemple la puissance de cryptage (les valeurs par défaut sont 128 bits ou 256 bits), le type de validation ainsi que la compatibilité ou l'acceptation du navigateur.
Certificats validés par domaine (Domain Validation)
Les certificats validés par domaine ont la plus large diffusion. En utilisant le trafic de courrier électronique réglementé, l'autorité de certification vérifie si le demandeur d'un certificat SSL est réellement le propriétaire du domaine. Après confirmation, le certificat est délivré dans un délai très court. Cette variante est surtout utilisée pour les petits sites web, les blogs, les forums, les serveurs de messagerie et les applications intranet et constitue l'alternative la moins chère.
Certificats validés par l'organisation (Validation de l'organisation)
Le processus est un peu plus compliqué avec un certificat validé par l'organisation. Ici, non seulement le domaine est contrôlé, mais aussi l'identité est vérifiée. L'opérateur du site web - généralement une société - doit prouver à l'aide de certains documents qu'il est réellement le propriétaire du domaine. Le contrôle de l'identité du certificat varie d'un fournisseur à l'autre. Normalement, un extrait du registre du commerce est requis, une comparaison avec les données bancaires est effectuée et un contact téléphonique est établi entre le demandeur et le fournisseur. Les certificats validés par l'organisation sont adaptés aux sites web des entreprises, aux boutiques en ligne et aux webmails.
validation élargie
Une troisième version est la Validation étendue. Les sites web ainsi certifiés sont reconnaissables à la police verte de la ligne d'adresse du navigateur. Ce retour d'information visuel indique que la connexion est particulièrement fiable. Ceux qui traitent leurs opérations de paiement par le biais de la banque en ligne sont familiers avec les banques et les caisses d'épargne. Dans ce cas, l'autorité de certification procède de la même manière que pour les certificats validés par l'organisation, mais elle vérifie en outre si le demandeur est réellement un employé de l'entreprise concernée et s'il est autorisé à acquérir un certificat de validation étendue.
Les certificats EV sont généralement cryptés en 256 bits et sont acceptés par tous les navigateurs. En plus de la police verte déjà mentionnée, la ligne d'adresse indique également le nom et le siège de la société.
Quel est l'organisme de certification approprié ?
Il existe un grand nombre d'autorités de certification (AC) dans différents pays, il est donc facile pour un client potentiel de perdre la trace. Souvent, il n'est pas possible de savoir quelle entreprise ou quelle agence gouvernementale est derrière eux. Les critiques parlent maintenant d'une "loterie de certification", qui offre peu de transparence et de fiabilité. En tout état de cause, la Bundesdruckerei et sa filiale D-Trust sont entièrement aux mains des Allemands. De nombreuses autres agences travaillent avec des certificats intermédiaires américains, mais depuis l'affaire avec les services secrets NSA, au plus tard, il faut se demander si ses propres données sont vraiment protégées par ces certificats.
Google préfère les pages avec un cryptage SSL
En 2014, Google a annoncé que le moteur de recherche dispose désormais d'un algorithme qui accorde aux pages certifiées SSL un traitement préférentiel et leur donne un meilleur classement que les pages sans certificat. Parmi les connaisseurs de l'époque, cette mesure était considérée comme carrément sensationnelle, car Google garde généralement le silence complet sur la nature et le mode de fonctionnement de ses algorithmes. Cependant, la société a entrepris d'améliorer de plus en plus la sécurité sur Internet. C'est probablement la raison de cette déclaration publique.
Un regard sur l'avenir du cryptage
Le projet "Let's Encrypt", mené par le groupe de recherche californien sur la sécurité de l'Internet (ISRG), est un projet d'avenir en matière de cryptage. Cela devrait permettre à l'avenir à chaque opérateur de site web de fournir à son domaine un certificat SSL de manière simple et totalement gratuite, qui est considéré et accepté comme fiable par les navigateurs courants. Les connexions HTTPS cryptées pourraient donc bientôt devenir la norme du web et offrir plus de sécurité et de protection des données. Les membres de l'ISRG sont la Mozilla Foundation, Cisco, Akamai et l'Electronic Frontier Foundation.
