...

SSL (Secure Socket Layer) est la spécification d'une technologie, par l'application de laquelle le transfert de Données est sécurisé sur Internet. Les données à transmettre sont cryptées sur la base du protocole HTTPS et donc protégées contre l'espionnage par des tiers. Le cryptage est complété par l'exigence d'authentification des participants à la communication. Le terme SSL a maintenant été remplacé par TLS (Transport Layer Security). Seul le nom a changé. La technologie sous-jacente est restée la même et certains logiciels et bibliothèques portent encore le nom SSL pour des raisons historiques, bien qu'ils soient basés sur le TLS, qui a été développé depuis.

Du SSL au TLS - similitudes et différences

La technologie largement mise en œuvre, généralement connue sous l'abréviation SSL, est aujourd'hui poursuivie et développée sous le nom de TLS. Les concepts de base de la technologie n'ont pas changé. Il s'agit toujours de l'utilisation du HTTPS comme protocole de cryptage hybride, dont la dernière version en tant que protocole SSL était la Vers. 3.0. Il a ensuite été développé et normalisé en tant que protocole TLS, à partir de la version 1.0. Dans le langage courant, les deux termes sont souvent utilisés comme synonymes, bien qu'il faille noter le numéro du verset. Par exemple, SSL 1.0 ne correspond pas à TSL 1.0. Dans la présente présentation, l'abréviation SSL est utilisée car elle est la plus familière et il est encore courant de parler de SSL aujourd'hui, même lorsqu'il s'agit de la technologie TLS. Les concepts de base sont présentés, qui sont identiques pour le SSL et le TSL. Cependant, pour des utilisations spécifiques, il existe différentes implémentations avec des noms différents, comme OpenSSL, GnuTLS et LibreSSL.

Cryptographie et vérification d'identité - le principe fonctionnel du SSL

Le principe fonctionnel de la couche de sockets sécurisés ou de la couche de transport sécurisée est en deux parties. Outre le cryptage des données, il repose également sur l'utilisation de l'authentification. L'utilisation du protocole SSL est très répandue et souvent utilisée pour la récupération sécurisée de données confidentielles et la transmission sécurisée de données confidentielles à un serveur HTTP (serveur web). L'authenticité du serveur composé est vérifiée par un Certificat est garantie et la connexion entre le serveur et le client est cryptée. Le protocole SSL étant extrêmement populaire aujourd'hui, il est presque devenu une norme pour compléter les protocoles d'application avec lesquels une connexion sécurisée ne peut être réalisée par le seul cryptage.

Certificats SSLCertification et authentification

La certification et l'authentification avant le début d'une transmission de données via une connexion SSL sont divisées en plusieurs étapes de traitement :

- La certification de la clé publique a lieu une fois
Sur demande, le serveur reçoit une certification d'une autorité de certification et de validation.

- Authentification du serveur
La connexion entre le client et le serveur est établie par une requête SSL du client et le serveur s'authentifie avec son certificat.

- Validation du certificat transmis
Le client fait vérifier le certificat reçu du serveur par l'autorité de certification et de validation.

- transmission de données cryptées
Si l'identité du serveur est clairement identifiable sur la base du certificat validé, la transmission des données cryptées commence.

Cryptage et décryptage

Le cryptage et le décryptage du protocole SSL sont basés sur une paire de clés numériques composée d'une clé publique et d'une clé privée. Les deux clés sont différentes. L'expéditeur (client) reçoit la clé publique du destinataire (serveur) après que ce dernier se soit authentifié avec son certificat. Cette procédure est appelée "cryptage asymétrique" ou "procédure à clé publique". L'expéditeur utilise ensuite la clé publique pour crypter les données qu'il envoie au destinataire. Après le cryptage, les données ne peuvent plus être décryptées avec la clé publique, mais uniquement avec la clé privée correspondante du serveur, qui doit donc la garder secrète dans tous les cas.

Les certificats

SSL et TLS fonctionnent tous deux avec des certificats dits PKIX, ce qui signifie "Public Key Infrastructure according to X.509v3". Il existe trois types de certificats, pour lesquels l'effort de vérification lors de la certification est différent et donc un niveau d'authenticité sûr différent est garanti :

- Le certificat validé par le domaine (DV-SSL) est le certificat le moins cher. Le domaine n'est validé que par Courrier électronique validé et le certificat est généralement délivré après quelques minutes.

- Le certificat de validation de l'organisation (OV-SSL) augmente la fiabilité du domaine en vérifiant entièrement la société/opérateur.

- Le certificat de validation étendue (SSL EV) est basé sur le plus haut niveau de validation et est courant dans le secteur bancaire, entre autres.

Les limites du SSL/TLS

Seule la transmission des données est sécurisée par le protocole SSL. Ce qui arrive au destinataire dépasse le champ d'application du protocole SSL.

Derniers articles