Mieux comprendre les certificats SSL

THAWTE EST LUN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

sommaire
MIEUX COMPRENDRE LES CERTIFICATS SSL...........................................1 SSL et certificats SSL : dfinition................................................................1 Les fonctionnalits SSL................................................................................1 Cryptage....................................................................................................1 Intgrit......................................................................................................1 Authentification...........................................................................................2 Non-rpudiation.........................................................................................2 Champs dapplication du SSL......................................................................2 SSL ct utilisateur.......................................................................................2 Certificats SSL et certificats SSL EV...........................................................4 Fonctionnement du protocole SSL..............................................................5 Cls publiques et prives ..........................................................................5 Cration dune session SSL.......................................................................6 Les solutions SSL signes Thawte..............................................................7 Le sceau de confiance Thawte...................................................................7 Test dun certificat SSL sur votre serveur Web...........................................7 Liens utiles.....................................................................................................7 La socit Thawte..........................................................................................8 Nous contacter..............................................................................................8

mieux comprendre les certificats SSL

Les certificats SSL (Secure Socket Layer) sont couramment utiliss pour scuriser et authentifier les communications sur Internet et au sein des intranets dentreprise. Thawte saffirme comme lun des principaux fournisseurs de ces certificats SSL dans le monde. Lutilisation de certificats Thawte SSL sur vos serveurs Web dentreprise vous permet de reicueillir en toute scurit des informations sensibles transmises en ligne afin de garantir vos clients et utilisateurs la protection de leurs communications. Dans ce guide dinitiation la scurit SSL, nous aborderons les principes de base du fonctionnement du protocole SSL. Nous y voquerons les diverses applications des certificats SSL et vous livrerons les conseils dun dploiement en bonne et due forme, avant de conclure sur les moyens votre disposition pour tester des certificats SSL sur votre serveur Web.

SSL et certificats SSL : dfinition

Dvelopp par Netscape en 1995, le protocole SSL sest rapidement impos comme le mode de scurisation privilgi des transmissions de donnes sur Internet. Intgr aux principaux navigateurs et serveurs Web, SSL utilise des techniques de cryptage qui sappuient sur un systme de cl publique/prive initialement dvelopp par RSA. Ltablissement dune connexion SSL ncessite linstallation dun certificat numrique sur le serveur Web. Ce certificat utilise alors les cls publiques et prives pour le cryptage, et identifie le serveur de manire unique et dfinitive. Les certificats numriques sapparentent une forme de carte didentit lectronique qui permet au client dauthentifier le serveur avant ltablissement dun canal de communication crypt. Gnralement, les certificats numriques sont dlivrs par un organisme de confiance indpendant condition sine qua non leur validit et leur acceptation grande chelle. Lorganisme metteur de certificats est appel Autorit de certification (AC), dont Thawte constitue un exemple lchelle mondiale.

Les fonctionnalits SSL

On associe gnralement SSL au cryptage. Or un certificat SSL remplit quatre fonctions bien distinctes, toutes indispensables la protection de la confidentialit et de la scurit des clients et utilisateurs : cryptage, intgrit, authentification et non-rpudiation. CRYPTAGE Le cryptage utilise des algorithmes mathmatiques pour transformer les donnes et les rendre exclusivement lisibles par les parties concernes. Dans le cadre dune transaction scurise par SSL, les cls prives et publiques fournies avec le certificat numrique du serveur jouent un rle dterminant dans la scurisation des donnes envoyes et reues par le navigateur Web. INTGRIT En cryptant les donnes pour les rendre exclusivement lisibles par les parties concernes, les certificats SSL assurent galement leur intgrit. En dautres termes, ces donnes ne pouvant tre lues par aucun tiers, leur modification en cours de transit savre par consquent impossible. Si les donnes cryptes taient modifies, elles seraient de fait rendues inutilisables ce qui ne saurait chapper aux parties concernes. La moindre tentative dinterfrence est donc automatiquement repre.
1

AUTHENTIFICATION Lmission dun certificat numrique par une autorit de certification permet essentiellement de valider lidentit de lorganisme ou de la personne lorigine de la demande de certificat. Les certificats SSL sont associs un nom de domaine Internet. La vrification par lAC de lidentit du propritaire du domaine en question permet aux utilisateurs de savoir dans un premier temps qui ils ont affaire. Ainsi, lorsque vous vous connectez sur un site scuris par SSL comme Amazon.fr, le certificat identifie le propritaire comme tant la socit Amazon, Inc. Vous avez ainsi lassurance dtre sur le vritable site exploit par Amazon. NON-RPUDIATION La non-rpudiation se caractrise par lassociation de fonctions de cryptage, de protection de lintgrit et dauthentification. En clair, aucune partie prenante une transaction scurise ne peut lgitimement affirmer que ses changes/communications provenaient dune autre personne ou entit. Cette caractristique supprime toute possibilit pour lune des parties de rpudier ou de se rtracter par rapport des informations communiques en ligne.

Champs dapplication du SSL

Le protocole SSL peut tre utilis de diverses faons et des fins diffrentes : Communications de navigateur serveur : la plupart du temps le SSL sert scuriser les communications entre un serveur Web et un navigateur, notamment dans le cadre de transmissions dinformations sensibles (achats en ligne, dossiers mdicaux ou transactions bancaires). La technologie SSL permet de confirmer lutilisateur lidentit du destinataire de ses informations personnelles, tout en assurant que seule cette entit autorise y aura accs. Communications de serveur serveur : le protocole SSL peut galement tre utilis pour scuriser les communications entre deux serveurs, telles que les transactions entre deux entreprises. Dans ce scnario, les deux serveurs possdent gnralement un certificat qui leur permet de sauthentifier mutuellement et de scuriser leurs communications bilatrales. Respect des obligations rglementaires : de nombreuses rglementations juridiques et sectorielles exigent des niveaux dauthentification et de confidentialit que les certificats SSL permettent dobtenir. Le standard PCI DSS (Payment Card Industry Data Security Standard ) exige par exemple lutilisation de technologies dauthentification et de cryptage pour tout paiement en ligne.

SSL ct utilisateur
Lors de sa visite sur un site Web scuris par un certificat SSL, lutilisateur voit safficher dans son navigateur Web plusieurs indices visuels attestant de lactivation du protocole SSL. Par exemple, ladresse dans la barre dadresse du navigateur commencera par https:// pour les connexions scurises par SSL, et par http:// pour les connexions non scurises. La plupart des navigateurs affichent galement un cadenas (voir figure 1), dont lemplacement et laspect varient dun navigateur un autre.

Figure 1 : cadenas affich par un navigateur Web

Sur certains navigateurs, lutilisateur peut galement cliquer sur le cadenas pour consulter des informations complmentaires sur le certificat. Ainsi, Firefox affiche une bote de dialogue semblable celle reproduite la figure 2, avec diverses informations sur le certificat, son propritaire et lautorit mettrice.

Figure 2 : renseignements sur un certificat, y compris son propritaire et lautorit mettrice.

Pour obtenir dautres informations comme la date dexpiration, les empreintes de vrification etc., il suffit de cliquer sur Afficher le certificat (figure 3).

Figure 3 : renseignements complmentaires sur un certificat.

Plusieurs lments dinformations essentiels sont proposs : Nom du domaine pour lequel le certificat est dlivr. Le certificat nest valide que sil est utilis avec ce domaine. Toute demande associe un autre nom de domaine fait lobjet dun refus systmatique par le navigateur. Propritaire du certificat : les utilisateurs peuvent ainsi voir le nom de lentit dtentrice du site. Priode de validit du certificat : correspond la date de dbut et de fin de validit du certificat. linstar dautres formes didentification, les certificats numriques ont une date dexpiration et doivent tre renouvels. Objectif : permettre lAC de vrifier nouveau lidentit du propritaire du certificat.

Certificats SSL et certificats SSL Extended Validation (EV)

Le maintien du processus rigoureux de vrification des identits pralable lmission de certificats SSL reprsente un cot consquent pour les autorits de certification. lorigine, le prix des premiers certificats SSL refltait donc la qualit de ce processus de vrification. Or, sous la pression du march, les AC ont commenc proposer des certificats plus abordables avec validation de domaine uniquement . Dpourvus de toute vrification pousse de lidentit de la socit propritaire du domaine, ces certificats bas prix ne vrifient que le nom de domaine pour lequel ils sont mis. Moins coteux, ils offrent invitablement moins de garanties lutilisateur final. Ces certificats conviennent gnralement des usages faible niveau de scurit qui ne ncessitent pas la validation dtaille dun certificat SSL classique. Cette segmentation a toutefois fini par entraner une certaine confusion entre les diffrents types de certificats SSL. Les utilisateurs ont donc exig la mise en place de moyens de distinction entre certificats conomiques et certificats renforcs soumis une vrification plus pousse des identits. Le CA Browser Forum un regroupement professionnel indpendant na pas tard rpondre cette demande avec une srie de principes directeurs pour llaboration dun certificat validation renforce ou certificat Extended Validation (EV). Un certificat EV est un certificat SSL pour lequel lautorit de certification mettrice valide lidentit du demandeur du certificat travers un processus encore plus dtaill et rigoureux. Les AC doivent galement soumettre leurs procdures de validation un audit indpendant pour conserver leurs droits dmission de certificats EV. Rsultat: les certificats EV ne sont gnralement proposs que par des autorits de certification de premier plan comme Thawte. La prsence de certificats EV sur les sites Web est signale visuellement de diffrentes manires par les navigateurs Web, qui proposent galement des informations didentit plus compltes et plus facilement accessibles (voir figure 4).

Figure 4 : indices visuels indiquant la prsence dun certificat EV. 4

Ces indices visuels spcifiques (comme la barre de navigation verte) renforcent la distinction entre certificats ultra fiables pour les applications haute scurit, et les autres. Les utilisateurs ont ainsi tous les lments en main pour sassurer avec certitude de lidentit de lentit avec laquelle ils communiquent (voir figure 5).

Figure 5 : accs aux informations dun certificat EV.

Fonctionnement du protocole SSL

Le protocole SSL est relativement simple... malgr la complexit de ses algorithmes. CLS PUBLIQUES ET PRIVES Le protocole SSL utilise des cls de cryptage publiques et prives. Lors de lmission dun certificat numrique pour un serveur Web, ce certificat contient deux cls : lune, dtenue de manire prive par le serveur Web ( cl prive ), et lautre, rendue publique toute personne en faisant la demande ( cl publique ). Ces deux cls sont asymtriques : Les donnes cryptes par la cl prive ne peuvent tre dcryptes que par la cl publique Les donnes cryptes par la cl publique ne peuvent tre dcryptes que par la cl prive Ainsi, pour garantir la confidentialit des changes, le navigateur Web sadresse la cl publique du serveur. Le navigateur lutilise ensuite pour crypter les informations transmettre informations qui pourront ensuite tre dcryptes par le serveur Web laide de sa propre cl prive. Dans la pratique, le processus de cryptage fait parfois intervenir des cls de session alatoires, valables pour une courte dure entre le navigateur et le serveur. Ces cls de session sont utilises car bien souvent, le navigateur ne possde pas son propre certificat numrique et sa propre paire de cls.

CRATION DUNE SESSION SSL Le dbut dune session SSL est marqu par lenvoi dune requte par le navigateur au serveur Web laide du protocole https:// (voir figure 6).

Figure 6 : cration dune session SSL.

Le serveur Web rpond avec son identifiant numrique qui comprend sa cl de cryptage publique. Le navigateur vrifie lidentifiant numrique, en consultant par exemple lautorit de certification pour une vrification en ligne, et en contrlant galement les dates de validit et dautres informations relatives au certificat lui-mme. Une fois ces vrifications termines, le navigateur gnre une cl de session quil crypte laide de la cl publique du serveur, avant de renvoyer lensemble au serveur. Le serveur dcrypte alors la cl de session laide de sa cl de cryptage prive quil est le seul possder. La cl de session nappartient quau navigateur et au serveur qui peuvent alors utiliser cette cl commune pour crypter leurs changes. Gnralement, les serveurs rejettent les cls de session aprs quelques minutes dinactivit.

Les solutions SSL signes de Thawte

Thawte propose plusieurs types de certificats SSL. Chacun de ces produits est conu pour des besoins bien cibls : Le certificat SSL EV pour serveur Web est un certificat validation tendue (Extended Validation) dot dun algorithme de cryptage fort (256 bits). Ce type de certificat implique des procdures de vrification didentit trs dtailles pour garantir un niveau de confiance maximal sur les sites et applications Web haute scurit. Le SGC SuperCert est un certificat SSL haut de gamme avec cryptage SSL jusqu 256 bits et authentification complte. Ces certificats rglent automatiquement le niveau de cryptage 128 bits sur certains navigateurs Web plus anciens. Le certificat SSL pour serveur Web est un certificat SSL standard avec authentification et cryptage jusqu 256 bits. Le certificat SSL123 est un certificat validant uniquement le nom de domaine. mis en quelques minutes seulement, ce type de certificat offre un niveau de cryptage jusqu 256 bits. Les certificats SSL Wildcard peuvent tre utiliss pour scuriser plusieurs sous-domaines appartenant un domaine unique entirement valid, laide dun seul certificat. Ces certificats offrent un niveau de cryptage jusqu 256 bits. Pour plus dinformations sur ces produits, et nos autres certificats, nhsitez pas interroger les conseillers commerciaux Thawte. LE SCEAU DE CONFIANCE THAWTE Tous nos clients de certificats SSL pour serveur Web, certificats SGC SuperCert et certificats SSL EV pour serveur Web peuvent afficher le sceau de confiance Thawte sur leur site Web (voir figure 7). Ce sceau est une image scurise gnre par Thawte qui atteste du niveau de confiance dont bnficie votre site. Disponible en plusieurs langues et formats, il sintgre harmonieusement au design de votre site.

Figure 7 : le sceau de confiance Thawte.

Test dun certificat SSL sur votre serveur Web

Pour vous faire une meilleure ide de nos produits, nous vous invitons tester et valuer par vous-mme un certificat SSL. Il vous suffit pour cela de tlcharger notre version dvaluation dun certificat Thawte SSL. Valides pendant 21 jours, ces certificats vous permettent de vous familiariser avec le processus dinstallation et les questions de compatibilit avec le logiciel de votre serveur Web. Pour demander votre version dvaluation gratuite de notre certificat SSL, rendez-vous sur : https://ssl-certificate-center.thawte.com/process/retail/thawte_trial_initial?application_locale=THAWTE_US

Liens utiles
Nous vous invitons consulter nos liens utiles : Renseignements complmentaires sur les certificats Thawte SSL pour serveur Web disponibles sur : http://www.thawte.fr/ssl/web-server-ssl-certificates/index.html Base de connaissances Thawte recensant des exemples des principaux problmes et solutions inhrents aux certificats SSL : https://search.thawte.fr Pour vos achats de certificats Thawte SSL en ligne : http://www.thawte.fr/ssl/index.html

La socit Thawte
Thawte est une autorit de certification habilite mettre des certificats SSL et des certificats numriques code signing aux entreprises et particuliers travers le monde. Thawte procde plusieurs niveaux de vrification et dauthentification en fonction du type de certificat requis. Rputs pour leur interoprabilit avec les principaux serveurs Web, navigateurs et autres applications Web, les certificats numriques Thawte garantissent et amliorent lintgrit de vos transactions et communications en ligne.

Nous contacter
Pour tout complment dinformation ou pour vous entretenir avec un conseiller commercial Thawte, nhsitez pas nous contacter : Adresse lectronique : sales@thawte.com France : +33 157 32 42 68 Amrique du Nord : +1 888 484 2983 International : +27 21 819 2800 Fax : +27 21 819 2960 Chat en direct : https://www.thawte.fr/chat/chat_retail_new.html

2011 Thawte, Inc. Tous droits rservs. Thawte, le logo thawte et toute autre marque commerciale, marque de service et motif sont des marques, dposes ou non, de Thawte, Inc. et de ses filiales aux tats-Unis et dans dautres pays. Toutes les autres marques cites appartiennent leurs dtenteurs respectifs. 27-01-2011 AL100685