Qu'est-ce que SSL et pourquoi devriez-vous vous en soucier?

Table des matières:

Anonim

Dans un rapport précédent sur le passage de HTTP à HTTPS, il a brièvement abordé SSL (Single Socket Layer). En bref, SSL et son successeur, TLS (Transport Layer Security), sont nécessaires pour fonctionner en ligne de manière sécurisée.

Dans cet article, examinons de plus près la réponse à la question «Qu'est-ce que le protocole SSL?» Et comment le protocole SSL / TLS protège vos informations sensibles.

Pourquoi devriez-vous vous soucier de SSL / TLS?

Avant d’entrer dans «Comment», cependant, jetons un coup d’œil à «Pourquoi», vous souhaitez d’abord utiliser SSL / TLS.

$config[code] not found

Ces jours-ci, la sécurité des données est d'or. Toute personne à qui on a volé son identité peut vous le dire. La clé de la sécurité de vos informations est de les ranger dans un endroit sûr où personne ne peut les voir.

Malheureusement, ce n’est pas possible en ligne. Lorsque vous transférez des informations en ligne, il existe toujours À un moment donné du processus, vous et votre client perdez le contrôle des données.

Vous voyez, alors que votre client peut sécuriser le périphérique sur lequel votre navigateur est exécuté et que vous pouvez sécuriser votre serveur Web, les tuyaux du monde en ligne sont hors de votre portée.

Qu'il s'agisse d'un câblodistributeur, d'un opérateur téléphonique ou d'un câble sous-marin exploité par le gouvernement, les données de vos clients passent par les mains de quelqu'un d'autre en ligne et c'est pourquoi elles doivent être cryptées à l'aide de SSL / TLS.

Voici quelques exemples des types d’informations que vous pouvez utiliser avec SSL / TLS pour sécuriser en ligne:

  • Transactions par carte de crédit
  • Connexion au site
  • Faire circuler des informations privées et personnelles
  • Sécuriser votre email de snoopers.

Oui, si vous faites des affaires en ligne, SSL / TLS est essentiel à votre succès continu. Pourquoi? Parce que:

  • Vos clients ont besoin de se sentir en sécurité lorsqu'ils traitent avec vous en ligne ou ne font pas affaire avec vous; et
  • Vous avez la responsabilité envers vos clients de protéger les informations sensibles qu’ils ont choisi de partager avec vous.

Voyons ensuite comment fonctionne SSL / TLS.

Les clés publique, publique et de session sont la clé, euh…

Lorsque vous utilisez SSL / TLS pour transmettre vos données sensibles en ligne, votre navigateur et le serveur Web sécurisé auquel il se connecte utilisent deux clés distinctes pour configurer une connexion sécurisée: une clé publique et une clé privée. Une fois la connexion établie, un troisième type de clé, la clé de session, est utilisé pour chiffrer et déchiffrer les informations échangées.

$config[code] not found

Voici comment ça fonctionne:

  1. Lorsque vous vous connectez à un serveur sécurisé (par exemple, amazon.com), le processus de "négociation" commence:
    1. Tout d’abord, le serveur transmettra à votre navigateur le certificat SSL / TLS ainsi que la clé publique;
    2. Votre navigateur vérifie ensuite le certificat du serveur pour voir s’il peut l’approuver en utilisant des facteurs tels que le fait que le certificat a été émis par une source fiable et si le certificat n’a pas expiré.
    3. Si vous pouvez faire confiance à SSL / TLS, votre navigateur enverra un accusé de réception au serveur pour l'informer qu'il est prêt à partir. Ce message sera chiffré à l’aide de la clé publique du serveur et ne pourra être déchiffré qu’à l’aide de la clé privée du serveur. La clé publique de votre navigateur est incluse dans cet accusé de réception.
      1. Si le serveur ne peut pas être approuvé, un avertissement s’affiche dans votre navigateur. Vous pouvez toujours ignorer l'avertissement, mais ce n'est pas sage.
    4. Le serveur crée ensuite la clé de session. Avant de l'envoyer à votre navigateur, il crypte le message à l'aide de votre clé publique afin que seul votre navigateur, à l'aide de sa clé privée, puisse le décrypter.
  2. Maintenant que la poignée de main est finie et que les deux participants ont reçu la clé de session de manière sécurisée, votre navigateur et le serveur partagent une connexion sécurisée. Votre navigateur et le serveur utilisent tous deux la clé de session pour chiffrer et déchiffrer les données sensibles lorsqu’elles sont renvoyées en ligne.
    1. Une fois la session terminée, la clé de session est supprimée. Même si vous vous connectez une heure plus tard, vous devrez exécuter ce processus depuis le début, ce qui donnera une nouvelle clé de session.

Questions de taille

Les trois types de clés sont constitués de longues chaînes de chiffres. Plus la chaîne est longue, plus le cryptage est sécurisé. En revanche, une chaîne plus longue prend plus de temps pour chiffrer et déchiffrer les données et alourdir davantage les ressources du serveur et de votre navigateur.

C'est pourquoi les clés de session existent. Une clé de session est beaucoup plus courte que les clés publique et privée. Le résultat: un cryptage et un décryptage beaucoup plus rapides, mais moins de sécurité.

Attendez - moins de sécurité? N'est-ce pas si grave? Pas vraiment.

Les clés de session n'existent que peu de temps avant d'être supprimées. Et bien qu’elles ne soient pas aussi longues que les deux autres types de clés, elles sont suffisamment sécurisées pour empêcher le piratage pendant la courte période pendant laquelle la connexion entre votre navigateur et le serveur sécurisé existe.

Algorithmes de chiffrement

Les clés publique et privée sont créées à l'aide de l'un des trois algorithmes de cryptage.

Nous n’allons pas nous enfoncer trop profondément ici, vous avez littéralement besoin d’un diplôme en mathématiques (peut-être plusieurs) pour comprendre complètement les algorithmes de chiffrement. Toutefois, il est utile de connaître les bases lorsque vient le temps de choisir le type utilisé par votre propre site Web.

Les trois principaux algorithmes sont les suivants:

  • RSA - du nom de ses créateurs (Ron Rivest, Adi Shamir et Leonard UNEdlema), RSA existe depuis 1977. RSA crée des clés en utilisant deux nombres premiers aléatoires dans une série de calculs. Apprendre encore plus…
  • Algorithme de signature numérique (DSA) - créé par la National Security Agency (NSA), DSA crée des clés à l'aide d'un processus en deux étapes qui utilise une «fonction de hachage crptographique» dans une série de calculs. Apprendre encore plus…
  • Cryptographie à courbe elliptique (EEC) - EEC crée des clés en utilisant «la structure algébrique des courbes elliptiques» dans une série complexe de calculs. Apprendre encore plus…
$config[code] not found

Quel algorithme de chiffrement devriez-vous choisir?

Mis à part les mathématiques, quel est le meilleur algorithme de chiffrement à utiliser?

Actuellement, ECC semble être en tête. Grâce au calcul, les clés créées avec l'algorithme ECC sont plus courtes tout en restant aussi sécurisées que les clés beaucoup plus longues. Oui, ECC enfreint la règle de «taille, ça compte», ce qui la rend idéale pour une connexion sécurisée sur des appareils moins puissants, tels que votre téléphone portable ou votre tablette.

La meilleure approche peut être une approche hybride, où votre serveur peut accepter les trois types d’algorithmes afin de pouvoir gérer tout ce qui est projeté. Les deux inconvénients de cette approche peuvent être:

  1. Le serveur utilise davantage de ressources pour gérer RSA, DSA et ECC, par opposition à ECC uniquement; et
  2. Votre fournisseur de certificat SSL / TLS peut vous facturer davantage. Regardez autour de vous, cependant, il existe des fournisseurs très fiables qui ne facturent pas de supplément pour utiliser les trois.

Pourquoi TLS est-il toujours appelé SSL?

Comme nous l'avons mentionné en haut de cet article, TLS est le successeur de SSL. Alors que SSL est toujours utilisé, TLS est une solution plus raffinée et corrige de nombreuses failles de sécurité affectant SSL.

La plupart des sociétés d'hébergement et des fournisseurs de certificats SSL / TLS utilisent toujours le terme «certificat SSL» au lieu de «certificat TLS».

Soyons clairs, les meilleurs fournisseurs d’hébergement et de certificats utilisent effectivement des certificats TLS - ils ne voulaient tout simplement pas changer le nom’car cela dérouterait leurs clients.

Conclusion

Le protocole SSL (Single Socket Layer) et son successeur, TLS (Transport Layer Security), sont nécessaires pour fonctionner en ligne de manière sécurisée. En utilisant de longues chaînes de chiffres appelés «clés», SSL / TLS permet des connexions où les informations de votre client et de votre client sont cryptées avant leur envoi et déchiffrées à leur arrivée.

Conclusion: si vous exercez des activités en ligne, le protocole SSL / TLS est essentiel à votre succès continu, car il renforce la confiance tout en vous protégeant, ainsi que vos clients.

Photo de sécurité via Shutterstock

More in Qu'est-ce que 5 Comments ▼