Certificats SSL (Secure Socket Layer)
En permettant aux utilisateurs et aux serveurs Web de s'identifier mutuellement avant d'établir une
connexion, les certificats SSL améliorent la sécurisation des communications. Ces certificats
contiennent des informations définissant les identités des systèmes sur un réseau, dans le cadre d'un
processus dit "d'authentification". Bien que l'authentification s'apparente aux processus d'identification
classiques, elle est renforcée par l'utilisation de ces certificats. Ceux-ci contiennent également des valeurs
cryptées, ou clés, qui sont utilisées lors de l'établissement d'une connexion SSL entre le client et le
serveur. Les informations envoyées via cette connexion, par exemple un numéro de carte de crédit, sont
cryptées de sorte qu'elles ne peuvent pas être interceptées ni utilisées par des personnes non autorisées.
Le protocole SSL utilise deux types de certificats possédant chacun son propre format et sa propre
fonction :
•
Certificats des clients : contiennent des informations personnelles sur les clients demandant l'accès
à votre site. Ils permettent d'identifier ces clients avant de leur donner accès.
•
Certificats des serveurs : contiennent des informations sur le serveur. Ils permettent au client
d'identifier le serveur avant de partager des informations sensibles.
Certificats des serveurs
Pour activer les fonctions de sécurité SSL 3.0 du serveur Web, vous devez obtenir et installer un certificat
de serveur valide. Les certificats de ce type sont composés d'identifications numériques qui contiennent
des informations sur votre serveur Web et sur l'organisme accréditant la fiabilité de son contenu. Ils
permettent aux utilisateurs d'authentifier le serveur, de vérifier la validité du contenu Web et d'établir
une connexion sécurisée. Ils contiennent également une clé publique permettant d'établir une
connexion client/serveur sécurisée.
La validité d'un certificat de serveur dans le cadre d'une identification dépend de la confiance que
l'utilisateur accorde aux informations qu'il contient. Par exemple, un utilisateur qui se connecte au site
Web de votre entreprise peut hésiter à fournir les informations concernant sa carte de crédit, même s'il a
pris connaissance du certificat de votre serveur. Cette situation survient en particulier si l'entreprise est
récente et peu connue.
Pour cette raison, les certificats sont parfois émis et approuvés par une organisation tierce reconnue par
les deux parties, appelée "autorité de certification". Celle-ci est notamment chargée de confirmer
l'identité des clients demandant un certificat afin d'assurer la validité des informations d'identification
contenues dans ce dernier.
Selon les relations entretenues par votre entreprise avec les utilisateurs du site Web, vous pouvez
également émettre vos propres certificats de serveur. Prenons l'exemple d'une grande entreprise
possédant un intranet dédié à la gestion de la paie et des avantages des employés. La direction peut
décider de mettre en place un serveur de certificats et de prendre en charge la validation des informations
d'identification et l'émission des certificats de serveur.
230
Consignes de sécurité