SSL : qu’est-ce que c’est et comment cela fonctionne-t-il ?
Une connexion sécurisée entre le navigateur de votre visiteur et le serveur sur lequel votre site web se trouve est une nécessité, pour plus de raisons que vous pourriez l’imaginer. Mais qu’est-ce que SSL et comment cela fonctionne-t-il ? Nous allons vous initier au monde des handshakes et des certificats…
Un récent sondage a révélé que beaucoup d’entreprises Internet ne sont pas suffisamment informées au sujet de l’utilité de SSL (Secure Sockets Layer). Elles pensent en effet qu’une telle protection supplémentaire n’est nécessaire que lors de la session de paiement, qui est de toute manière automatiquement prise en charge par le service de paiement, comme p. ex. Ogone. Afin d’éviter ce malentendu, nous allons publier une série d’articles dont le but sera de lever le voile sur ce protocole de sécurité, afin que vous aussi puissiez comprendre ce que SSL est capable de faire dans la pratique et pourquoi il est si important que vous y accordiez de l’importance.
Vous avez un site web. Et vous aimeriez faire des affaires via Internet. Dans ce cas, il va falloir que vous inspiriez confiance à vos clients, de manière à ce qu’ils sachent que les informations qu’ils vous transmettent sont en de bonnes mains. En effet, lors d’une session web ordinaire, les données sont envoyées comme du simple texte lors de l’échange de données entre le navigateur de l’utilisateur et le serveur sur lequel le site web est hébergé. Dans le cas de simples informations que n’importe qui peut retrouver sur Internet, ce ne serait vraiment pas une catastrophe si cette communication devait être interceptée. Mais le danger pointe le bout de son nez lorsqu’un internaute transmet des informations personnelles, comme p. ex. son nom d’utilisateur et son mot de passe pour accéder à votre site web, les données de sa carte de crédit, etc. Si ces données sont elles aussi transmises en tant que du simple texte et qu’un hacker les intercepte, les conséquences peuvent être lourdes.
Vous pouvez éviter cela en utilisant SSL (secure sockets layer), qui permet de chiffrer la communication entre le navigateur de votre client et votre site web. Ainsi, même si un hacker devait réussir à intercepter la communication, il ne pourrait rien faire avec ces données du fait qu’il ne possède pas la clé permettant de les déchiffrer.
Vous pouvez créer cette couche de sécurité spéciale en commençant par demander un Certificat SSL. Vous pouvez considérer ce dernier comme la carte d’identité en ligne de votre site web, qui garantit au client que le propriétaire de votre site web est bel et bien celui qu’il prétend être. Un tel certificat est délivré par une autorité de certification telle que Verisign, Comodo ou Tawthe. La plupart des entreprises introduisent leur demande via une société d’hébergement comme Combell. Non seulement parce qu’elle est à même de fournir une assistance dans le cadre de la procédure de demande, mais aussi parce qu’en tant que grossiste, elle peut offrir des ristournes spéciales sur les certificats.
Après avoir vérifié vos références et votre intégrité, vous recevrez le certificat SSL qu’il vous faudra ensuite installer sur votre serveur. Dans un prochain article, nous vous fournirons des explications détaillées sur la manière dont cela se passe dans la pratique.
Un tel certificat SSL ne sert pas qu’à confirmer votre identité : il s’agit de la base du chiffrement des données lors de la communication entre le navigateur de votre client et votre site web. Concrètement, lors d’une visite sur votre site web, le navigateur du client vérifiera le certificat SSL auprès d’une autorité de certification. Là, il obtiendra la confirmation que le certificat est valide, après quoi le processus de « handshake » peut démarrer. Durant ce processus, le navigateur et votre serveur se mettent d’accord sur le type de chiffrement qu’ils vont utiliser. S’étendre sur le sujet du chiffrement, qui inclut les clés publiques, privées et de sessions, aboutirait à des explications beaucoup trop techniques. Ceux qui veulent jouer aux agents secrets et tout savoir sur ces techniques de chiffrement peuvent se rendre sur Wikipedia.
Vous et votre utilisateur devez juste savoir qu’après le handshake, la sécurisation SSL est activée. Cela se voit clairement au symbole spécial qui apparaît dans le navigateur du client : un petit cadenas en haut ou en bas de page, ou une barre d’adresses verte. De plus, le client peut voir que l’adresse web n’est désormais plus « http:// », mais bien « https:// ». L’utilisateur peut d’ailleurs aussi vérifier ce qui se trouve dans le certificat ; avec Firefox, par exemple, il doit cliquer sur le petit cadenas qui se trouve dans la barre d’adresses, ce qui lui permet d’obtenir un bref résumé du certificat. Via l’option « Plus d’informations », il peut demander les détails du certificat.
Le processus de handshake se fait en un rien de temps et le client ne remarquera jamais rien des tâches compliquées que les ordinateurs exécutent en arrière-plan dans son navigateur. Le plus important est que la communication entre votre visiteur et votre site web est désormais sécurisée, ce qui permet à l’internaute de pouvoir transmettre ses données personnelles, les données de sa carte de crédit et d’autres données sensibles en toute confiance via le web vers votre site web. Toute transaction réussie repose sur la confiance.
Souhaitez-vous découvrir en images la manière dont SSL fonctionne ? Dans ce cas, n’hésitez pas à regarder cette amusante vidéo YouTube.
Souhaitez-vous commander un certificat SSL ou avez-vous besoin de plus d'informations? Découvrez plus sur notre site web.