Ce document détailles les differents types de certificats SSL permettant de sécuriser un site web.

Il ne détailles pas les diferentes manières de les obtenir.

Les certificats SSL

Qu'est ce que SSL ?

SSL est une technologie permettant une communication sécurisée entre un navigateur et un serveur web.

Cette technologie est utilisée par des millions de sites web pour diminuer le risque de vol d'informations (ex: identifiants, mots de passe, numéro de cartes de crédit) par une tierce personne mal intentionnée.

La technologie SSL permet entre autre le passage du protocole HTTP vers le protocole HTTPS.

Il existe plusieurs types de certificats disponible, chacun dépendant de deux facteurs principaux : Le nombre de domaines à protéger et le degré de sécurité à apporter.

La technologie SSL peut être aussi utilisée pour sécuriser la connexion à un serveur de messagerie, ou un accès à un service FTP, par exemple.

Le protocole SSL à été remplacé par le protocole TLS. Les serveurs utilisant TLS comme protocole de sécurisation peuvent rétrograder leur niveau de sécurité et utiliser SSL2 ou SSL3.0 comme protocole de sécurisation.Ceci fait que les certificats SSL sont toujours utilisable sans soucis majeur pour la sécurité des informations.

A quoi sert un certificat SSL ?

Les certificats SSL servent à identifier de manière formelle le serveur web, la société qui détiens le certificat, à crypter la communication et à assurer l'intégrité des données transmises lors de la communication entre un navigateur et un serveur web.

On peut se servir de SSL (ou TLS) pour protéger touts les protocoles tels que IMAP (IMAPS), POP (POPS)...

Ceci est du au principe de l'encapsulation

Qu'est ce qu une autorité de certification ?

Une autorité de certification est un tiers de confiance permettant d'authentifier l'identité des correspondants. Une autorité de certification délivres les certificats et donnes les moyens de vérifier la validité des certificats qu'elle a fourni.

Les différents types de certificats

Différents types de certificats existent. On peut les classer selon deux critères :

  • Le nombre de domaines et de sous domaines protégés. on distingue 3 types de certificats :
    • Les certificats simple (single): Ceux ci ne peuvent être utilisés que sur un domaine unique.
    • Les certificats joker (wildcard): Ceux ci couvrent un domaine et ses sous domaines.
    • Les certificats multi domaines: Le même certificats peut être utilisé pour de multiples domaines et machines.
  • Le niveau de certification offert.
    • La validation du domaine (domain validation): Ce niveau est le plus simple et le plus bas niveau de vérification du propriétaire du domaine.
    • La validation de l'organisation (organisation validation): En plus de l'authentification de base, certains détails du propriétaire (nom, adresse) sont aussi authentifiés.
    • La validation étendue (extended validation): Ce niveau est le plus haut degré de sécurité car toutes les informations sont vérifiées scrupuleusement avant la délivrance du certificat. En plus des informations de base, l'existence légale, physique et opérationnelle du demandeur sont aussi vérifiées.

Les certificats auto-signés

Ce type de certificat est surtout utilisé pour sécuriser les intranet d'entreprise ou des serveurs personnels

Ce type de certificat génères une exception de sécurité, ce qui les rend incompatible pour protéger un site web public.

Comment reconnaitre le type de certificat SSL utilisé par un site ?

Pour savoir quel est le type de certificat utilisé par un site web, il suffit de regarder la barre d'adresse:

 Si le site utilise un certificat validant le domaine, alors seul le cadenas vert apparaît avant l'adresse du site.

Si le site utilise un certificat validant l'organisation ou à validation étendue, alors le nom de l'entité ayant demandé le certificat apparaît devant le cadenas vert dans la barre d'adresse.