ssl-tls-transfert-securise

Le SSL (Secure Sockets Layer) est un protocole destiné à sécuriser les échanges sur internet. On parle aussi de TLS (Transport Layer Security) qui permet de crypter n’importe quelle transmission utilisant TCP/IP. Il est très répandu et réputé sûr. Le SSL/TLS peut utiliser différents systèmes de chiffrement (cryptage symétrique ou asymétrique… ). Le choix doit être cohérent d’un bout à l’autre de la chaîne.

En quoi consiste le SSL ?

Nous l’utilisons en particulier lors d’une connexion HTTPS (http sécurisé en SSL/TLS – port 443), dont le protocole est inclus dans les navigateurs. Ainsi l’échange vers un site contenant des données confidentielles (banque, administration, réseaux sociaux…) est protégé par le cryptage au cours de la transmission. En résumé, le SSL est la norme qui définit comment seront cryptées les connexions via HTTPS (https est donc la combinaison du http avec une couche de chiffrement SSL ou TLS). Le site lui-même doit inclure un certificat pour sécuriser la connexion. Le certificat sert également à authentifier le site (et éventuellement le client) et ainsi éviter le phishing.
Nous pouvons aussi avoir recours à ce protocole pour les connexions FTPS (FTP sécurisé en SSL/TSL – port 990) avec un client FTP, en spécifiant le protocole SSL/TLS. Il est assez rarement utilisé mais toutefois en progression.

…ou avec le SSH

Le protocole SSH (Secure Shell – port 22) est utilisé lorsque l’on se connecte avec un client SSH comme Putty par exemple. Il est installé par défaut dans tous les serveurs. Le SFTP utilise aussi le protocole SSH (à activer dans le client FTP) pour sécuriser le transfert de données.

Un encouragement aux pratiques sécurisées

Google indique dans son blog destiné aux webmasters qu’il favorise désormais une politique de chiffrement et impose une connexion sécurisée pour les services Recherche, Gmail et Google Drive. Il met aussi à disposition des développeurs et webmasters, des ressources permettant d’aider à la sécurisation des sites : plus d’infos
Les sites sécurisés via SSL bénéficient donc, d’un avantage pour leur référencement dans les pages de résultats de recherche. Par ailleurs, en allant sur le site https://www.ssllabs.com/ssltest/ vous pourrez vérifier si votre site est bien sécurisé.

Un certificat SSL pour s’identifier et sécuriser les données

Comme le ferait une pièce d’identité, un certificat permet de garantir l’identité des deux intervenants dans une communication. Un certificat installé sur un serveur garanti l’authenticité de celui-ci.

Il permet aussi de crypter les données entre le serveur et le navigateur via une connexion https. La force du cryptage est définie par la taille du certificat (actuellement le standard est 2048 bits). On peut vérifier le certificat en cliquant dans le cadenas qui s’affiche devant https. Il est possible de forcer l’accès à un site en redirigeant systématiquement l’URL vers l’accès sécurisé.

Différentes sortes de certificats

Les certificats peuvent garantir la sécurité à différents niveaux, leur coût augmentant en fonction des garanties promises. Le tout premier niveau garanti uniquement un cryptage des données issues du domaine protégé. Le deuxième ajoute une identification de l’entreprise éditrice. Le troisième affiche en plus le certificat en vert afin d’identifier les sites originaux par rapport aux sites de phishing.
Enfin il existe des certificats multi-domaines qui protègent plusieurs domaines sur un serveur, ainsi que des certificats Wildcard qui protègent aussi les sous-domaines du site.

Comment installer un certificat sur un hébergement PHPNET ?

Vous pouvez également consulter notre tutoriel sur la mise en place d’un certificat SSL