SSL Europa - 8 chemin des escargots - 18200 Orval - France T: +33 (0)9 88 99 54 09

Avis d’expert

Comment choisir son certificat SSL ?

Date : jeudi 13 mars 2014

Table des matières 1) Qu’est-ce que le SSL ?...................................................................................................................... 3

Autorité de Certification ...................................................................................................................... 4

2) Usages et mise en œuvre ................................................................................................................ 5

3) Les différents types de certificat ..................................................................................................... 5

Les types de validation ........................................................................................................................ 5

Les certificats RGS* ............................................................................................................................. 6

Les certificats « Wildcard » et les SAN ................................................................................................ 6

Les certificats SSL Unified Communication ......................................................................................... 6

Les durées de validité .......................................................................................................................... 6

Les tailles de clés ................................................................................................................................. 7

Les certificats multi-domaines ............................................................................................................ 7

Les certificats auto-signés ................................................................................................................... 7

4) Comment choisir son certificat SSL ................................................................................................. 7

Sceau dynamique ................................................................................................................................ 8

5) Que trouve-t-on sous le capot ? (Pour les experts)......................................................................... 9

La cryptographie asymétrique ............................................................................................................. 9

Authentification du site web ............................................................................................................... 9

Chiffrement des échanges de données ............................................................................................... 9

6) En conclusion ................................................................................................................................. 10

1) Qu’est-ce que le SSL ?

Lorsque vous accédez à un site web, les données circulent en clair sur l’Internet et peuvent être interceptées.

Pour que les échanges entre le navigateur Internet et le site web soient cryptés, la norme utilisée par les éditeurs de navigateurs Internet et de serveurs web est le Secured Socket Layer (SSL) aussi appelée aujourd’hui Transport Layer Security (TLS). En installant un certificat électronique SSL sur le serveur web vous faites basculer le protocole http en https, la version sécurisée, et les échanges sont cryptés. Dans le métier nous disons chiffrés. Un cadenas apparait sur le navigateur ou sur la barre d’adresse et l’adresse devient https://www.siteweb.fr par exemple. Attention, un cadenas affiché sur une page web n’a aucune valeur.

Ainsi si vous demandez des informations confidentielles ou même un Login / mot de passe sur un site web, vous avez tout intérêt à utiliser un certificat SSL.

De même si vous possédez un site web, assurez-vous que la version https://www.siteweb.fr ne présente pas de certificat invalide comme c’est souvent le cas.

Autorité de Certification

Le certificat électronique garanti aussi que le propriétaire du nom de domaine est bien identifié. Pour ceci si vous cliquez sur le cadenas vous visualisez l’Autorité de Certification qui a délivré le certificat ainsi que des informations sur le propriétaire du certificat.

Les Autorités de Certification (AC) signent un contrat avec les éditeurs de navigateurs Internet et s’engagent à suivre des procédures très strictes de vérification avant de délivrer un certificat SSL. Cette Autorité de Certification est également auditée tous les ans.

Le navigateur Internet fait confiance à l’Autorité de Certification qui délivre après les vérifications requises le certificat électronique SSL à des organisations pour des noms de domaines du type www.organisation.fr . L’AC est le Tiers de Confiance.

Les Autorités de Certification sont rassemblées dans la Certification Authorities (CA) and Browser Forum ou CAB Forum https://www.cabforum.org/forum.html.

2) Usages et mise en œuvre

Les certificats SSL peuvent être utilisés pour des serveurs web, mais également pour chiffrer des VPN ou des messageries électroniques.

Pour obtenir un certificat SSL, vous devez tout d’abord créer la clé privée et la clé publique sur le serveur. Vous installez alors la clé privée sur le serveur et envoyez la clé publique à l’Autorité de Certification que vous avez choisie. Cette Autorité de Certification effectuera les vérifications d’usage, qui peuvent inclure un KBis, un appel via le standard trouvé via les pages jaunes à la personne qui se trouve sur le KBis, etc. en fonction du type de certificat. Les vérifications peuvent prendre plusieurs jours aussi il convient de s’y prendre à l’avance.

3) Les différents types de certificat

Il existe plusieurs types de certificats en fonction du niveau de vérification effectué par l’Autorité de Certification (AC), de la durée de validité,

Les types de validation

Les certificats Domain Validated (DV) pour lesquels l’AC vérifie que le nom de domaine appartient bien à son propriétaire. C’est le plus bas niveau de sécurité. Il peut être utilisé pour un Intranet par exemple. Il est délivré très rapidement.

Les certificats Organisation Validated (OV) pour lesquels l’AC vérifie en plus l’existence de l’organisation à qui appartient le nom de domaine. C’est le plus utilisé aujourd’hui. Il peut être utilisé pour un site web non commercial.

Les certificats Extended Validation (EV) pour lesquels l’AC vérifie en plus l’existence physique, légale et opérationnelle de l’organisation. C’est le plus haut niveau de sécurité. Il est de plus en plus utilisé. Il possède l’avantage d’afficher une barre verte dans le navigateur afin de rassurer les clients. Les sites e-commerce utilisent aujourd’hui ces certificats.

Les certificats RGS* L’état français a défini une norme dite Référentiel Général de Sécurité (RGS) et a défini des procédures de validation pour les certificats SSL pour les organisations publiques. Ce sont les certificats à utiliser par les organisations publiques. Ils sont proches des certificats EV.

Les certificats « Wildcard » et les SAN Les certificats sont valides pour un ou plusieurs noms de domaines / sous-domaine comme par exemple www.entreprise.fr , extranet.entreprise.fr , www.ecommerce.com , etc. Dans les fait on dit que le certificat SSL est valide pour un nom de domaine principal comme www.entreprise.com plus pour des Subject Alternative Name (SAN) tels que extranet.entreprise.fr , www.ecommerce.com , etc.

Dans certains cas, les organisations souhaitent avoir un certificat valide pour un nom de domaine tel que entreprise.fr ainsi que tous ses sous-domaines tels que extranet.entreprise.fr , intranet.entreprise.fr , ecommerce.entreprise.fr , etc. On dit alors que le certificat est valide pour *.entreprise.fr. Cela permet d’ajouter par la suite des noms de sous-domaines sans avoir à recréer un nouveau certificat SSL.

Les certificats wildcard ne sont pas ce qui se fait de plus sécurisé, car il est toujours préférable de bien nommer les noms de domaines et sous-domaines pour lesquels les certificats sont valident, mais ils peuvent parfois être bien pratiques.

Les certificats wildcard sont disponibles en OV et en DV mais pas en EV, ni en RGS*.

Les certificats SSL Unified Communication Ces certificats sont identiques aux DV, OV et EV standards. Cette appellation commerciale Unified Communication indique simplement que ces certificats ont été testés pour des messageries électroniques et que les documentations associées sont fournies.

Les durées de validité Les certificats SSL ont comme une carte bleue, une durée de validité. Le nom de domaine, peut changer de main, l’organisation évoluer, etc. A noter que si vous arrêtez d’utiliser un nom de domaine ou le cédez, vous vous devez contractuellement de révoquer le certificat.

Les durées de validité sont de 1 an, 2 ans et 3 ans, excepté pour les certificats EV et RGS* pour lesquels la durée de validité est de limitée à 1 an ou 2 ans. Certains fournisseurs de certificats SSL proposent des certificats au-delà de 3 ans, mais ces durées sont très rarement demandées, pour des raisons de sécurité comme de coûts.

Les tailles de clés Les tailles de clé des certificats SSL étaient autrefois de 1024 bits. Aujourd’hui il est possible d’attaquer avec succès, en y mettant des moyens considérables certes, des clés de 1024 bits. Les clés des certificats SSL sont donc de 2048 bits. Des tailles de clés au-delà sont inutiles. Certains navigateurs ne valident plus les tailles de clés en 1024bits. Nous vous recommandons également de choisir des algorithmes de cryptage de 256 bits ou SHA2.

Les certificats multi-domaines Certaines entreprises proposent des certificats très peu chers ou parfois gratuits packagés avec d’autres offres. Il convient de faire très attention. Ce sont souvent des certificats multi-domaines de différents clients, comme une carte d’identité valable pour plusieurs personnes. Sur le plan de la sécurité et de l’image c’est une pratique à proscrire.

Les certificats auto-signés Les certificats auto-signés peuvent être générés par soi-même en utilisant par exemple des commandes OpenSSL. Ces certificats ne sont pas validés par un AC et ne sont donc pas reconnus par les navigateurs Internet générant ainsi une erreur. Même pour un Intranet il convient donc d’utiliser un certificat SSL délivré par une AC. Pour ce dernier cas un DV est suffisant.

4) Comment choisir son certificat SSL

Vous devez tout d’abord choisir les types de certificats SSL dont vous avez besoin. Les AC qui délivrent des certificats proposent aussi souvent des offres pour lesquels l’organisation et des noms de domaines sont préalablement validés, et pour lesquels vous possédez une interface graphique vous permettant de vous auto-délivrer des certificats dans cette liste blanche de certificats préalablement validés.

Quand vous achetez un certificat SSL vous devez choisir les types de certificats dont vous avez besoin en fonction des usages et contacter un revendeur de certificats SSL.

La qualité du service pour vous assister dans l’extraction des clés et l’installation des certificats, le conseil sur les certificats à choisir, la qualité des vérifications effectuées et l’aide qui vous est apportée s’avèrent très important.

Les prix varient pour un certificat d’un an en fonction du type entre 100 et 700€. Les tarifs par année sont digressifs en fonction des années. Les prix sont également dégressifs en fonction du volume de certificats acquis.

Comme pour le Cloud vous pouvez être sensible à l’endroit où se trouve l’AC et où sont stockées les informations relatives à votre organisation. Choisissez une AC en qui vous avez confiance.

La durée d’émission se fera en une journée à trois jours en fonction du type de certificat, et ceci à partir du moment où vous avez rassemblé les documents nécessaires aux vérifications.

Sceau dynamique Certaines AC proposent en plus un sceau dynamique : « Secured by Keynectis » par exemple. Quand l’utilisateur clique sur ce logo apposé sur votre page web, des informations relatives au certificat s’affichent dans une nouvelle fenêtre en https à l’adresse du nom de domaine de Keynectis.com ou par exemple. C’est souvent un petit plus pour encore rassurer les Internautes.

5) Que trouve-t-on sous le capot ? (Pour les experts) La cryptographie asymétrique Sous le capot nous trouvons la cryptographie asymétrique. La cryptographie symétrique part du principe que la clé de chiffrement est la même que la clé de déchiffrement. L’opération d’encodage est en quelque sorte « l’inverse » de l’opération de décodage. En connaissant le principe d’encodage il est aisé de déduire comme décoder.

La cryptographie asymétrique est-elle un mécanisme mathématique inventé en 1975 par Whitfield Diffie et Martin Hellman qui permet d’encoder d’une façon et de décoder d’une autre. Il est absolument impossible de déduire le mécanisme de déchiffrement à partir du mécanisme de chiffrement. Le chiffrement est une fonction mathématique complexe à laquelle on passe un paramètre : la clé de chiffrement. Pour déchiffrer il faut utiliser la fonction mathématique mais avec une autre clé, la clé de déchiffrement.

Authentification du site web Le certificat SSL du serveur web possède deux clés. Une clé dite publique et une clé dite privée. La clé publique est communiquée à tous et la clé privée est confidentielle et gardée uniquement par le serveur web pour un nom de domaine. Le navigateur Internet utilise la clé publique de chiffrement pour encoder un message aléatoire – aussi dit aléa. Seul le serveur web peut décoder et retourner ce message car il est le seul à posséder la clé privée de déchiffrement. Le navigateur Internet identifie ainsi formellement que le site web est bien celui qu’il dit être.

Chiffrement des échanges de données Le navigateur Internet et le serveur web négocient le plus haut niveau de chiffrement qu’ils supportent tous les deux. Le navigateur Internet envoi alors une clé de chiffrement symétrique confidentielle du niveau négocié – aussi dite clé de session - en utilisant pour la chiffrée la clé publique asymétrique du serveur web. Seul le serveur web peut déchiffrer cette clé symétrique de session. Le navigateur web et le serveur web peuvent ainsi communiquer de façon chiffrée et confidentielle en utilisant la clé de session.

6) En conclusion

Il existe de nombreux types de certificats parmi lesquels choisir judicieusement. Les fournisseurs de certificats peuvent vous accompagner dans le choix et l’installation de ces certificats. Le nombre de certificats utilisés sur l’Internet a atteint selon Netcraft 2 885 224 certificats valides en février 2014 avec une croissance moyenne de 12000 par mois. Cette tendance s’accélère.

Le certificat SSL est devenu aujourd’hui une technologie incontournable pour protéger ses sites web.

SSL Europa

8 chemin des Escargots - 18200 Orval France

www.ssl-europa.com