Introduction à SSL

SSL, Secure Socket Layer, est un protocole essentiel pour les applications de commerce électronique. Si vous souhaitez accepter les cartes de crédit en ligne et vous assurer que les informations ne peuvent pas être lues ou altérées, vous devez vous assurer qu'elles sont envoyées via une connexion SSL cryptée et envoyées uniquement à un serveur disposant d'un certificat SSL autorisé et de confiance. Une fois que vous avez compris le fonctionnement du processus d'autorisation, de négociation et de cryptage SSL, vous connaissez le niveau de sécurité que vous offrez à vos clients et à vos employés et vous pouvez sélectionner le fournisseur de certificat SSL et le logiciel de cryptage répondant à vos besoins.

Certification SSL du navigateur

Lorsque vous vous connectez à un site qui effectue le paiement via une carte de crédit, vérifiez toujours si une icône représentant un verrou vert est contenue dans la barre d'adresse URL du navigateur. L'icône verte indique que le navigateur que vous utilisez a détecté que la page Web est certifiée SSL pour les communications sécurisées au niveau du socket. Par exemple, si vous vous connectez à la page de connexion de PayPal, une petite icône verte apparaît dans la barre d'adresse URL de votre navigateur. Cliquez sur l'icône de verrouillage pour afficher le menu des autorisations et des connexions pour Paypal. Le menu de connexions fournit un ensemble d'informations détaillées sur les certificats SSL et SSL, notamment le fournisseur de certificats SSL de PayPal (Verisign), l'emplacement du bureau de la société (San Jose) et le niveau de cryptage utilisé (128 bits).

Cryptage et décryptage

Les données reçues ou envoyées depuis votre site Web via une connexion SSL sont cryptées. Lorsqu'un client et un serveur sont connectés via une connexion SSL, seuls le client et le serveur ont la capacité de chiffrer ou de déchiffrer les messages l'un de l'autre. Le niveau de sécurité du chiffrement et du déchiffrement est exponentiellement proportionnel à la longueur de la clé de chiffrement partagée par les deux. Les clés de cryptage 128 bits sont le plus souvent utilisées aux États-Unis car elles sont extrêmement difficiles à déchiffrer. Bien que vous soyez libre de communiquer avec le cryptage 128 bits aux États-Unis, vous ne pouvez utiliser rien de plus puissant que le cryptage 40 bits pour communiquer avec ceux situés en dehors des États-Unis. Bien que le cryptage 40 bits convienne à de nombreuses activités, les experts en sécurité et en cryptage disposant des équipements adéquats sont connus pour casser les clés 40 bits.

Processus SSL

Avant qu'une couche de socket sécurisée ne commence, plusieurs échanges d'informations ont lieu entre les deux parties qui communiquent. La première étape est l'authentification du serveur qui détient le certificat. Le navigateur client lit le certificat et vérifie que le certificat a été émis par un fournisseur de certificat approuvé et que l'adresse IP du certificat du serveur correspond à l'adresse IP réelle du serveur. Une fois confirmés, le client et le serveur échangent leurs clés. À partir de ces clés, le client et le serveur configurent des algorithmes de chiffrement et de déchiffrement identiques qui leur permettent de déchiffrer les messages les uns des autres. Comprendre le processus exact d'échange de clés nécessite de comprendre les fonctions mathématiques impliquées dans la génération de clés. Le processus, expliqué dans "La science du cryptage: nombres premiers et arithmétique Mod N", nécessite essentiellement qu'une partie choisisse deux nombres premiers, les multiplie, puis envoie le résultat à l'autre partie. Les deux nombres premiers sont une clé privée et le résultat de la multiplication est la clé publique.

Protocole SSL

Le protocole SSL ne doit pas nécessairement être compris pour mettre en œuvre une connexion sécurisée à la couche de socket. Comprendre le protocole, bien que souvent préférable pour ceux qui comprennent la technologie de communication de données informatiques, peut être utile pour résoudre les erreurs de transmission réseau et les violations de sécurité pouvant survenir lors d'une transmission SSL. Le protocole SSL définit l’autorisation précise, la négociation, ainsi que la procédure d’échange de clés. Le protocole SSL définit également le format de la transmission afin que les paquets perdus ou altérés au cours de la transmission puissent être détectés, ce qui permet de notifier l'utilisateur et de renvoyer la transmission.