Présentation du protocole SSL
Toute communication envoyée sur un réseau d'ordinateurs peut être interceptée, déchiffrée ou modifiée. Pour sécuriser les communications sur un réseau, l'utilisation de SSL (Secure Sockets Layer) est recommandée. SSL est une norme de technologie de sécurité qui permet d'établir une liaison cryptée entre un serveur Web et un client Web (par exemple un navigateur Internet). SSL facilite la sécurisation des communications sur le réseau en identifiant et en authentifiant le serveur, ainsi que la confidentialité et l'intégrité des données transmises. Etant donné que le protocole SSL empêche l'écoute ou la falsification des informations envoyées sur le réseau, il doit être utilisé avec un mécanisme de connexion ou d'authentification et sur tout réseau sur lequel transite des informations confidentielles ou propriétaires.
Certificats SSL
Pour qu'il soit possible de créer une connexion SSL entre un client et un serveur Web, ce dernier a besoin d'un certificat SSL, c'est-à-dire un fichier numérique contenant des informations sur son identité. Ce certificat contient également la technique de chiffrement à utiliser lors de l'établissement d'un canal sécurisé entre le server Web et le client. Il doit être créé par le propriétaire du site Web et signé numériquement.
Certificats auto-signés
On désigne sous le nom de certificat auto-signé un certificat SSL signé uniquement par le propriétaire du site Web. Ce type de certificat est généralement utilisé sur les sites Web accessibles aux seuls utilisateurs du réseau interne (LAN) de l'organisation. Puisque la vérification de l'identité du site Web n'est pas nécessaire, l'utilisation d'un certificat auto-signé garantit des communications réseau sécurisées au sein de l'organisation.
Remarque :Tout client Web, tel qu'un navigateur Web, qui se connecte à un site Web à l'aide d'un certificat SSL auto-signé affiche un avertissement indiquant que la fiabilité du site en question n'a pas pu être vérifiée. Pour plus d'informations sur la suppression des avertissements des certificats auto-signés, reportez-vous à la rubrique Suppression d'avertissements à partir de certificats auto-signés.
Certificats signés par une autorité de certification
Un certificat SSL peut non seulement être signé par le propriétaire du site Web, mais aussi par une autorité de certification indépendante. Il s'agit généralement d'un tiers de confiance qui peut attester de l'authenticité d'un site Web. Si un site Web est digne de confiance, l'autorité de certification ajoute sa propre signature numérique au certificat SSL auto-signé. Les clients Web ont ainsi la garantie que l'identité du site Web a été vérifiée.
En cas d'utilisation d'un certificat SSL émis par une autorité de certification connue, une communication sécurisée entre le serveur et le client Web est établie automatiquement sans qu'aucune action spéciale ne soit requise de la part de l'utilisateur. Aucun message d'avertissement n'est affiché dans le navigateur Web, étant donne que le site Web a été vérifié par l'autorité de certification. Lors de la configuration du protocole SSL pour un site Web, il est d'usage d'employer un certificat SSL auto-signé dans l'environnement de test et un certificat signé par une autorité compétente lors du passage en production.