Secure Sockets Layer (SSL) est un protocole développé par Netscape pour fournir une connexion sécurisée entre deux ou plusieurs appareils via Internet. SSL utilise un système cryptographique qui utilise deux clés pour crypter les données, une clé publique connue de tous et une clé privée ou secrète connue uniquement du destinataire du message. La plupart des navigateurs Web prennent en charge SSL et de nombreux sites Web utilisent le protocole pour obtenir des informations confidentielles sur les utilisateurs, y compris les numéros de carte de crédit. Par convention, les URL qui nécessitent une connexion SSL commencent par https au lieu de http.
Cela ne veut pas dire que SSL et S-HTTP sont des protocoles identiques, mais seulement que les deux sont étroitement liés et facilement reconnus par l'étiquette https. Alors que SSL crée une connexion sécurisée entre un client et un serveur sur lequel toute quantité de données peut être envoyée en toute sécurité, S-HTTP est conçu pour transmettre des messages individuels en toute sécurité. SSL et S-HTTP peuvent donc être considérés comme des technologies complémentaires plutôt que concurrentes. Les deux protocoles ont été approuvés par l'Internet Engineering Task Force (IETF) en tant que normes.
Comment fonctionne SSL?
SSL fonctionne en implémentant une négociation en trois étapes qui est superposée à une connexion TCP:
- Lorsqu'un navigateur Web tente de se connecter à un site Web à l'aide de SSL, le navigateur demande d'abord au serveur Web de s'identifier. Cela invite le serveur Web à envoyer au navigateur une copie du certificat SSL.
- Le navigateur vérifie si le certificat SSL est approuvé et si tel est le cas, le navigateur envoie un message de vérification au serveur Web.
- Le serveur répond ensuite au navigateur avec un accusé de réception signé numériquement pour démarrer une session cryptée SSL. Cela permet aux données cryptées d'être partagées entre le navigateur et le serveur, comme identifié par l'étiquette https au lieu de http.
SSL contre TSL
Secure Sockets Layer (SSL) est le prédécesseur de Transport Layer Security (TLS). En 2014, la version 3.0 de SSL était considérée comme vulnérable en raison des attaques POODLE (Padding Oracle On Downgraded Legacy Encryption), qui permettaient de voler des cookies HTTP sécurisés ou du contenu d'en-tête d'autorisation HTTP à des communications rétrogradées. Aujourd'hui, SSL 3.0 est considéré comme obsolète et a été remplacé par Transport Layer Security (TLS), mais il est encore largement déployé. TLS affine le processus d'établissement de liaison de SSL et améliore certaines des vulnérabilités de sécurité pour créer un protocole plus fiable. Les certificats TSL sont parfois appelés à tort certificats SSL, mais le protocole SSL a rarement été utilisé depuis qu'il a été officiellement abandonné en 2015.