Ce qu'est SSL et quel type de certificat vous convient

Cet article est parrainé par GoGetSSL. Merci de soutenir les partenaires qui ont rendu le point de point possible.

L'incidence de la cybercriminalité a fortement augmenté au cours de la dernière décennie. De nombreuses organisations d'entreprise bien connues et agences gouvernementales qui n'ont pas encore mis en œuvre des mesures de cybersécurité adéquates ont subi des pertes. Google a commencé à prendre une position difficile sur les sites qui n'utilisent pas HTTPS. Si un visiteur est sur le point de soumettre des informations via une connexion dangereuse, un avertissement sera émis.

Cet article vous guidera sur la façon de protéger les clients et les entreprises contre les violations de la confidentialité et le vol de données. Vous apprendrez à utiliser la technologie SSL pour protéger votre site Web et vos applications contre la fuite de données sensibles aux écoutes.

Cet article n'expliquera pas comment installer SSL, car il s'agit d'un sujet avancé. Vous pouvez trouver plus d'informations sur le processus d'installation ici.

points clés

• SSL (Secure Sockets Layer) est un protocole de chiffrement conçu pour protéger les communications sur les réseaux informatiques. Il est particulièrement important pour protéger les informations sensibles transmises sur Internet, telles que les informations d'identification de connexion et les détails de la carte de crédit.
• Les certificats SSL sont délivrés par l'autorité de certificat (CA) pour vérifier l'identité du site Web et permettre une communication sécurisée et cryptée. Ces certificats contiennent généralement le nom du sujet, la clé publique, la signature numérique, l'émetteur et la date valide.
• Il existe différents types de certificats SSL pour répondre à différents besoins, y compris les certificats SSL de validation de domaine, les certificats publiques IP SAN SSL, Wildcard SSL et les certificats SSL multi-domaines. Le choix d'un certificat dépend de facteurs tels que le nombre de domaines et de sous-domaines que vous souhaitez protéger et si vous souhaitez protéger une adresse IP publique.
• L'identifiant d'entité juridique (LEI) est un code unique utilisé pour identifier toute entreprise mondiale impliquée dans les transactions financières. Il peut être utilisé pour simplifier et accélérer le processus de vérification commerciale pour les certificats SSL.

Explication simple de SSL

Imaginez que vous êtes dans une chambre d'hôtel, en utilisant votre ordinateur portable pour vous connecter au WiFi de l'hôtel. Vous serez bientôt connecté au portail en ligne de la banque. Pendant ce temps, un pirate malveillant a intelligemment réservé la chambre à côté de vous et a installé une station simple pour écouter tout le trafic réseau dans le bâtiment de l'hôtel. Tout le trafic utilisant le protocole HTTP peut être affiché en texte brut par des pirates.

Supposons que le site Web de la banque utilise uniquement HTTP, puis les détails du formulaire tels que le nom d'utilisateur et le mot de passe seront vus par le pirate une fois que vous appuyez sur le bouton Soumettre. Alors, comment protégeons-nous ces données? La réponse est évidemment le cryptage. Le cryptage des données implique de convertir des données de texte brut en quelque chose qui semble brouillé, c'est-à-dire des données cryptées. Pour chiffrer les données de texte brut, vous avez besoin de ce qu'on appelle un algorithme de chiffrement et une clé de mot de passe.

Supposons que vous souhaitiez crypter les données suivantes:

<code>Come on over for hot dogs and soda!</code>

La forme cryptée est la suivante:

<code>Come on over for hot dogs and soda!</code>

En utilisant la puissance de calcul actuelle, le décryptage des messages ci-dessus sans clé de mot de passe peut prendre plus qu'une durée de vie. À moins qu'ils aient une clé de mot de passe pour le crypter, personne ne peut le lire. Ce type de chiffrement est appelé cryptage symétrique. Maintenant que nous avons compris comment protéger les données, nous avons besoin d'un moyen sécurisé de transférer en toute sécurité la touche de mot de passe au destinataire du message. Nous pouvons le faire en utilisant un système de chiffrement asymétrique appelé cryptage de clés publics.

Le cryptage des clés publics utilise une paire de clés de mot de passe liées mathématiquement:

• Clé publique: peut être partagé en toute sécurité avec quiconque
• Clé privée: il ne doit pas être transmis, il doit être maintenu confidentiel.

Lorsqu'une clé est utilisée pour le cryptage, une autre clé est utilisée pour le déchiffrement. La même clé ne peut pas être utilisée pour décrypter le contenu qu'il crypte. Voici une description de son fonctionnement:

Cependant, nous ne pouvons faire confiance à aucune clé publique qui nous est envoyée, car ils peuvent être générés par n'importe qui. Pour assurer l'authenticité des clés publiques, ils doivent être emballés dans des certificats SSL. Il s'agit d'un fichier numérique signé contenant les informations suivantes:

Nom tubject: Nom de l'organisation, de l'organisation ou de la machine
clé publique
Signature numérique (empreinte digitale du certificat)
émetteur (l'entité qui a signé le certificat)
Date d'expiration (date de début et date d'expiration)

Je n'ai énuméré que les éléments requis. Les certificats SSL contiennent généralement plus d'informations. Voici un vrai exemple:

Comme vous pouvez le voir, le certificat ci-dessus est signé (voir la section miniature). Les signatures numériques ne sont que des hachages de fichiers cryptés. Expliquons d'abord ce qu'est le hachage. Supposons que vous ayez un document avec 100 mots et que vous l'exécutez dans un programme de hachage. Vous obtiendrez le hachage suivant:

<code>wUwDPglyJu9LOnkBAf4vxSpQgQZltcz7LWwEquhdm5kSQIkQlZtfxtSTsmaw
q6gVH8SimlC3W6TDOhhL2FdgvdIC7sDv7G1Z7pCNzFLp0lgB9ACm8r5RZOBi
N5ske9cBVjlVfgmQ9VpFzSwzLLODhCU7/2THg2iDrW3NGQZfz3SSWviwCe7G
mNIvp5jEkGPCGcla4Fgdp/xuyewPk6NDlBewftLtHJVf
=PAb3</code>

Si vous changez quelque chose dans le document, même si vous ajoutez une période, une nouvelle valeur de hachage est générée lorsque vous exécutez à nouveau la fonction de hachage:

<code>46798b5cfca45c46a84b7419f8b74735</code>

Le hachage envoyé ne correspond pas au hachage généré, ce qui signifie que le fichier a été modifié. Il s'agit de la première ligne de défense pour s'assurer que le certificat SSL n'a pas été modifié. Cependant, nous devons vérifier que la valeur de hachage envoyée est créée par l'émetteur du certificat. Cela se fait en chiffrant la valeur de hachage à l'aide de la clé privée de l'émetteur. Lorsque nous effectuons un hachage local sur le certificat, puis décryptez la signature du certificat pour obtenir la valeur de hachage envoyée, nous pouvons comparer les deux. Si cela correspond, cela signifie:

Le certificat n'a pas été modifié par d'autres
Nous avons des preuves que le certificat provient de l'émetteur parce que nous avons réussi à déchiffrer la signature en utilisant sa clé publique
Nous pouvons faire confiance à l'authenticité de la clé publique attachée au certificat SSL.

Maintenant, vous vous demandez peut-être où nous obtenons la clé publique de l'émetteur et pourquoi nous devrions lui faire confiance. La clé publique de l'émetteur est préinstallée dans notre système d'exploitation et notre navigateur. L'émetteur est une autorité de certificat de confiance (CA) qui signe des certificats conformément au guide officiel du forum CA / Browser et aux recommandations NIST. Par exemple, voici une liste de certains émetteurs / CAS de confiance que vous trouverez sur votre système d'exploitation Microsoft. Même les smartphones et les tablettes, les systèmes d'exploitation et les navigateurs ont des listes similaires préinstallées.

Selon une enquête menée par W3Techs en mai 2018, les autorités suivantes représentent environ 90% des certificats valides délivrés dans le monde:

• IDENDRURT
• comodo
• Digicert (acquis par Symantec)
• godaddy
• GlobalSign

Maintenant que vous avez appris sur le chiffrement et la technologie SSL, il est préférable de consulter comment vous connecter en toute sécurité au portail bancaire à l'aide de HTTPS sans que votre trafic lise les pirates de pirates.

1. Votre navigateur pour ordinateur portable demande d'abord son certificat SSL du serveur de la banque.
2. Le serveur l'envoie. Le navigateur vérifie ensuite si le certificat est vrai en fonction de la liste CA de confiance. Il vérifie également que le certificat n'a pas expiré et n'a pas été révoqué.
3. Si toutes les vérifications passent, le navigateur générera une nouvelle clé de mot de passe (également connue sous le nom de clé de session). Utilisez la clé publique trouvée sur le certificat SSL, cryptez-le et envoyez-le au serveur.
4. Le serveur utilise sa clé privée pour décrypter la clé de session.
5. À partir de maintenant, toutes les communications de va-et-vient seront cryptées à l'aide d'une clé de session. Le cryptage symétrique est plus rapide que le cryptage asymétrique.

Cela signifie que les données de formulaire envoyées à partir de l'ordinateur portable et des données HTML du serveur seront cryptées à l'aide d'une clé de mot de passe qui n'est pas accessible au pirate. Ce que vous voyez dans le journal de circulation capturé ne sera que des lettres et des chiffres brouillées. Vos informations sont désormais protégées de l'œil de l'espionnage.

Maintenant que vous comprenez comment SSL fonctionne en général, passons à la section suivante pour en savoir plus sur les différents types de certificats SSL que nous pouvons utiliser.

type ssl

Vérification du domaine Certificat SSL

La vérification du domaine est le type de certificat SSL le plus abordable et le plus commun qui peut être délivré à n'importe qui pour protéger les sites Web du domaine public. Afin d'acheter ce type de certificat SSL, vous devez prouver que vous êtes le propriétaire du domaine que vous souhaitez protéger. C'est pourquoi cela s'appelle la validation du domaine. Cela se fait d'une ou plusieurs manières suivantes:

• Créer un enregistrement DNS TXT
• Répondre aux contacts des e-mails envoyés à l'enregistrement du domaine pour les e-mails enregistrés
• Répondre à un e-mail envoyé à un contact administratif bien connu dans votre domaine (tel que admin@domain.com)
• Publier des nombres aléatoires fournis par le système d'émission de certificat automatique

En septembre 2019, Google Chrome est actuellement le navigateur Web le plus populaire, représentant environ 70% de la part de marché mondiale du navigateur de bureau. Google a récemment renforcé sa position sur les propriétaires de sites en appliquant les protocoles de sécurité pour garantir la protection des utilisateurs finaux. Les sites Web non protégés seront marqués comme dangereux. Si les utilisateurs essaient de soumettre des formulaires à des sites non protégés, ils seront également fortement conseillé de ne pas le faire. Si le certificat SSL du site Web expire ou est invalide, le site Web sera temporairement bloqué.

Si vous ne voulez pas perdre de trafic précieux car votre site Web n'est pas protégé, vous devez vous assurer d'obtenir au moins un certificat SSL vérifié au domaine. Il ne faut que 5 à 8 minutes pour obtenir un certificat.

public ip san ssl

Les certificats SSL sont souvent utilisés pour protéger les noms de domaine entièrement qualifiés, tels que www.domain.com. Si vous souhaitez protéger une adresse IP publique, vous devez obtenir un certificat public IP SAN SSL. SAN représente le nom alternatif principal, qui est un champ sur le champ de certificat qui peut être utilisé pour enregistrer l'adresse IP.

Wildcard SSL

Le certificat SSL normal n'est disponible que pour un seul domaine, tel que www.domain.com. Si vous souhaitez protéger le sous-domaine, vous devez acheter un nouveau certificat SSL pour cela. Au lieu d'acheter un nouveau certificat SSL pour chaque sous-domaine que vous gérez, vous pouvez simplement acheter un certificat SSL générique, qui fonctionnera pour votre sous-domaine, c'est-à-dire * .domain.com. Il est plus rentable que d'acheter plusieurs certificats SSL. L'utilisation d'un certificat SSL est également plus facile à gérer.

Cependant, si le sous-domaine est compromis, cela signifie que tous les sous-domaines utilisant le même certificat sont compromis. Vous devez le révoquer et demander un nouveau certificat. Si vous ne voulez pas rencontrer de tels problèmes, vous pouvez également en acheter un séparément.

Certificat SSL multi-domaine

Comme son nom l'indique, vous pouvez acheter un certificat SSL multi-domaines, qui peut protéger jusqu'à 250 domaines et sous-domaines. Ce type de certificat est particulièrement utile pour protéger des centaines de serveurs de communication de bureau qui peuvent s'étendre sur différentes zones géographiques. Même si le trafic est limité au réseau de l'entreprise, il est préférable d'utiliser SSL pour la protection, car les employés voyous peuvent facilement surveiller et enregistrer le trafic de chacun.

Vérification commerciale facile avec le code LEI

Depuis 2019, les organisations peuvent être vérifiées dans le monde entier à l'aide des codes LEI (Entité juridique). Cela simplifie et accélère considérablement le processus de vérification. Les entreprises peuvent obtenir des codes LEI par le biais de l'Agence officielle d'enregistrement GLEIF.

L'identifiant d'entité juridique (LEI) est un code unique utilisé pour identifier toute entreprise mondiale impliquée dans les transactions financières. Ce processus est effectué conformément à l'ISO de la norme internationale 17442. L'objectif est d'aider à surveiller et à mesurer les risques systémiques et à soutenir efficacement et à peu de frais la conformité aux exigences de déclaration réglementaire.

Résumé

J'espère que vous avez maintenant suffisamment d'informations pour décider quel certificat SSL acheter. Veuillez noter que le certificat SSL est valide pour seulement deux ans. Il s'agit d'une fonctionnalité de sécurité qui garantit que les informations sur le certificat restent à jour. Il garantit également que les clés manquantes ne sont pas utilisées pour pénétrer le trafic. Les certificats SSL gratuits sont généralement valables pendant 90 jours. Si vous souhaitez vous assurer de ne pas oublier d'acheter un renouvellement, vous pouvez obtenir un plan d'abonnement de 3 ans ou 4 ans. Veuillez noter que le taux de limite de deux ans s'applique. Vous recevrez un contact à la fin de la date d'expiration pour remplacer le certificat par un nouveau. L'avantage de choisir un plan d'abonnement plus long est que vous pouvez économiser de l'argent par rapport aux achats annuels.

SSL FAQ

Qu'est-ce que SSL? SSL (Secure Sockets Layer) est un protocole de chiffrement conçu pour fournir une communication sécurisée sur un réseau informatique. Il est généralement utilisé pour protéger le transfert de données entre le navigateur de l'utilisateur et le serveur de sites Web.

Pourquoi SSL est-il important? SSL est important pour protéger les informations sensibles transmises sur Internet, telles que les informations d'identification de connexion, les détails de la carte de crédit et d'autres données personnelles. Il chiffre les données pour empêcher un accès et une écoute non autorisés.

Qu'est-ce qu'un certificat SSL? Un certificat SSL est un certificat numérique qui est utilisé pour vérifier l'identité d'un site Web et permettre une communication sécurisée et cryptée. Il est délivré par une autorité de certificat (CA) et contient des informations sur le titulaire du certificat.

Comment obtenir un certificat SSL pour mon site Web? Pour obtenir un certificat SSL, vous pouvez en acheter un auprès d'une autorité de certificat (CA), ou utiliser un certificat fourni par un CA de confiance, comme Let's Encrypt. Après avoir obtenu le certificat, vous devez l'installer sur votre serveur Web.

Qu'est-ce que HTTPS? HTTPS (Hypertext Transfer Protocol Security) est une version sécurisée de HTTP. Il utilise le protocole SSL / TLS pour chiffrer les données transmises entre le navigateur de l'utilisateur et le serveur de sites Web. Sites Web utilisant HTTPS affiche des symboles de verrouillage dans la barre d'adresse.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!