Certificat SSL : sécurisez vos échanges de données

Un certificat SSL est un fichier liant des clés de cryptographie à un fichier de données contenant les informations d’une organisation, son nom, son lieu ou encore son nom de domaine. Le plus communément, il est installé sur un serveur web et représenté par un cadenas présent à côté de l’adresse du site que vous consultez. 

Il existe trois grandes catégories de certificats SSL :

• Les certificats de validation de domaine (DV) : ils sont souvent associés à une utilisation de sites web personnels. Pour les obtenir, vous devez simplement prouver que vous êtes le titulaire du domaine.
• Les certificats de validation d’organisation (OV) : utilisés par les entreprises afin de certifier qu’un site internet leur appartient. Vous devez démontrer que vous êtes titulaire du compte et propriétaire de la société, en fournissant un extrait Kbis par exemple.
• Les certificats de validation étendue (EV) : ce type de certificat est surtout utilisé par les grands groupes, notamment dans le e-commerce et les services financiers. Ils servent à prouver la domiciliation de leur entreprise.

Illustrons cela avec Alice et Bob :

Alice souhaite envoyer un message à Bob sans qu’aucune autre personne ne puisse le lire. Pour cela, Alice chiffre son message grâce à la clé publique de Bob.

Il s’agit d’une cryptographie asymétrique, car le chiffrement et le déchiffrement s’effectuent à partir de deux clés distinctes.

• La « clé publique », disponible pour tout le monde, servant au chiffrement.
• La « clé privée », connue uniquement du serveur web utilisée pour réaliser le déchiffrement.

Implémentation

Afin de mettre en place ce fonctionnement, un serveur Web fonctionnel est nécessaire sur lequel nous concevons la clé de chiffrement privée. Elle doit ensuite être stockée dans un endroit sécurisé et inaccessible depuis Internet. Ensuite, nous générons une demande de certificat pour notre site internet, CSR (Certificate Signing Request), en prouvant notre identité.

Exemple :

Nous voulons un certificat pour www.toto.fr. Mon entreprise s’appelle Toto, elle est domiciliée en France, dans le Loiret, Région Centre. La clé publique de votre certificat y sera également présente.

Notre demande est envoyée à un organisme de confiance générant les certificats. Il en existe plusieurs tels que GlobalSign, Digicert ou encore OVH. Ces organismes se chargent de vérifier vos droits de réalisation de demande.

Lorsqu’elle est validée, nous obtenons un document signé prouvant que notre certificat et la clé publique sont conformes avec le nom de domaine www.toto.fr

Il ne reste plus qu’à l’installer sur notre site web. Chaque fois qu’un visiteur se rend sur notre site, il demande le certificat SSL. Ainsi, son navigateur sait qu’il peut utiliser la clé publique présentée afin de chiffrer les données qu’il souhaite faire transiter. Une fois les données chiffrées, seul votre serveur peut les décoder.

Avantages

Utiliser un certificat SSL permet de garantir la sécurité des données entre les visiteurs et le serveur. Il sécurise les données pour beaucoup de transactions telles que les informations de connexion, les transactions bancaires, le trafic intranet au sein des entreprises ou encore les messageries et applications web. Il assure la confidentialité des informations échangées et évitent toute fraude ou espionnage.

Il permet d’améliorer le référencement car il est un gage de sécurité. De nombreux moteurs de recherche comme Google attribuent un meilleur classement aux sites sécurisés. Cela évite aux sites d’être signalés et renforce la confiance des clients, un enjeu primordial lorsque des échanges de données sensibles ont lieu, tout particulièrement sur des sites e-commerce ou du secteur financier.

Il est donc un gage d’image et demeure aujourd’hui indispensable dans une période où le nombre de fraudes ne cessent de croître.

En cas de doute, d’autres réflexes sont à adopter tels que :

• Utiliser « Whois », il vous permet de tout savoir d’un site internet
• Vérifier les mentions légales
• Lire les conditions générales de vente (CGV) et les conditions générales d’utilisation (CGU)

Au sein de ma mission, je gère plus de 200 certificats en accompagnant notre client sur les choix et les démarches nécessaires à ses demandes. J’assure également le suivi de ces certificats en surveillant les dates d’échéance de chacun d’entre eux afin d’anticiper leur renouvellement. C’est un engagement nécessaire à la bonne sécurisation des SI du client.

L’implémentation d’un certificat SSL est assez simple, bien que chaque cas demeure tout de même particulier. Une opération peut devenir délicate suivant un certain nombre d’éléments tels que le système d’exploitation du serveur (Linux, Windows, AIX…), le type de serveur Web utilisé (Apache, Tomcat, IIS, …) ou encore les systèmes de protection périmétrique (Firewall, Proxy, Firewall applicatif, IDS, …).

Il est important d’apporter une aide technique et décisionnelle auprès des différentes équipes, techniques, projet, ou encore managériales, afin d’assurer la légalité de l’entreprise, gage de sécurité et de bonne image auprès des clients. 

L’écoute, le conseil et le soutien apportés aux différents intervenants sont essentiels. Ils contribuent à faire prendre conscience de l’importance d’intégrer la composante sécurité le plus tôt possible dans leurs projets. Ces bons réflexes permettent d’anticiper les budgets, les temps de livraison et donc d’optimiser le développement des projets.

Soyez donc pro-actifs auprès des autres services, sensibilisez-les aux réglementations et rassurez-les en écoutant leur besoin et en les accompagnant dans leurs démarches.

Thierry, 
Expert sécurité