1. Le SSL avant tout ça veut dire quoi ?

SSL c’est pour Secure Socket Layer. C’est en gros « Protocole de sécurisation d’échange » si je devais traduire la chose. C’est la sécurité « d’échange » la plus rependue entre deux entités.

C’est un système qui permet d’échanger des informations entre 2 ordinateurs de façon sûre. Quand je dis entre deux ordinateurs, c’est aussi valable entre un ordinateur et un serveur. Pour les néophytes, un serveur c’est comme un gros ordinateur ou est stocké un tas de fichiers et à qu’on va interroger pour obtenir un certain nombre d’informations.

Le SSL assure trois choses principales : La confidentialité, il est impossible d’espionner des informations échangées entre deux systèmes. L’intégrité, il est impossible de « truquer » des informations échangées entre deux systèmes. L’authentification, il assure la véracité du programme, de la personne, de l’entreprise avec laquelle un système communique.

Il existe d’autre manières de sécuriser de l’information, mais le SSL est le plus courant, le plus standardisé et il est open source.

Pour faire simple, le SSL sécurise deux système qui discutent entre eux. C’est comme si dans un groupe de 10 personnes deux personnes voulait discuter sans que les autres comprennent leurs discutions (car elle est confidentielle), alors ils parleront un langue étrangère pour se parler sans que les autres ne puissent comprendre, il se créeront aussi un certains nombre de signaux pour vérifier qu’ils parlent bien entre eux et pas avec une autre personne. Dans la théorie c’est plus compliqué que ça, mais si vous voulez juste savoir ce qu’est le SSL, ça vous suffira !

2. Le SSL ça fonctionne comment ?

Je ne veux pas rentrer dans la technique, déjà parce que je ne suis pas un pro du SSL et l’important est de savoir ce que c’est et savoir le mettre en place.

  • SSL Handshake protocol: avant de communiquer, les 2 programmes SSL négocient des clés et des protocoles de chiffrement communs.
  • SSL Record protocol: Une fois négociés, ils chiffrent toutes les informations échangées et effectuent divers contrôles.

Au moment du protocole dit HANDSHAKE, les deux machine voulant communiquer entre elles vont vérifier avec quelle version de SSL elles vont travailler. Elle vont s’interroger aussi sur la méthode à utiliser (symétrique et asymétrique) et de signature que chacune des machine connaît (avec longueurs de clés), elles génèrent des certificats. Et un tas d’autres informations font être échangées !

Ensuite la communication s’effectue, c’est le moment du protocole RECORD. La machine qui expédie de l’information va découper les informations en « paquets », va compresser les données, elle les chiffrent et les envoient.

Puis la machine qui reçoit les données va les déchiffrer, vérifie la signature, vérifie le certificat reçu pour voir si elle correspond à celle de l’expéditeur, décompresse les données et rassemble les paquets.

Le certificat correspond à une sorte de « carte d’identité », si je m’appelle Pierre et j’envoie des éléments à Paul. Paul voit mon certificat nommée Pierre, c’est ok, il ouvre. Si il ne voit pas de nom ou si il en voit un autre, il n’ouvre pas. Pareil pour Pierre, il va envoyer à Paul et uniquement si c’est Paul.

 

Le schéma est simplifié mais en gros c’est ça !

3. Comment savoir si un site utilise le SSL ?

Le SSL est symbolisé par deux choses. Une adresse en https, par exemple https://monsite.fr et un petit cadenas. Si il y a présence de ces deux élément, la communication entre votre navigateur et le serveur est sécurisé.

 

 

4. Alors si je vois le cadenas, c’est bon ? Mes infos sont 100% sécurisées ?

Malheureusement non ! Sur le web, rien n’est jamais sécurisé à 100%. Le https vous assure la sécurité des données pendant le transport ! Et uniquement le transport ! Entre l’utilisateur (navigateur) et le serveur.

Prenons l’exemple des camions BRINKS, les fourgons blindés (souvent aussi blindés d’argent !). La société BRINKS vous garantit un transport sécurisé entre une entité et une autres. Par exemple entre une grande surface et la banque. Mais rien ne prouve que le banquier est un truand !
Il en va de même pour l’expéditeur, rien ne peux prouver la légalités des informations transmises.

Du coup lorsque vous envoyez de l’information au travers d’un site, le transport des données sur la toile est sécurisé. Après ce que le serveur en fait, seul le responsable du serveur en est vraiment responsable ! C’est la même chose pour les informations que vous envoyez, rien ne prouve la légalité et la véracité des informations que vous transmettez.

5. La part du SSL dans le SEO.

Google a annoncé fin 2014 qu’il favoriserait le positionnement des sites utilisant SSL dans les classements de son moteur de recherche.

Voici ce que google a annoncé :

« La sécurité est l’une de nos priorités majeures. Nous investissons beaucoup afin de garantir que nos services s’accompagnent de systèmes de sécurité de pointe. »
« Au-delà de ce que nous offrons à nos utilisateurs, nous cherchons à rendre Internet plus sûr de manière générale. »
« Nous voulons aller plus loin encore. Lors de la conférence Google I/O il y a quelques mois, nous avons appelé à généraliser le HTTPS sur le Web. »
« Nous avons également constaté que de plus en plus de webmasters adoptaient le protocole HTTPS (également appelé HTTP sur TLS, ou Transport Layer Security) sur leur site Web, ce qui est encourageant. »
« Nous avons pu observer des résultats positifs, et c’est pourquoi nous commençons à utiliser le protocole HTTPS en tant que facteur de positionnement. »

Le message de Google « SSL et SEO » est plutôt explicite alors pourquoi attendre ?

De plus sachez que pour la plupart des hébergeurs, le SSL est gratuit depuis quelques mois maintenant (par exemple pour OVH). Après si un prestataire décide de faire payer la mise en place d’un certificat SSL sur un site, il est dans ses droits, le SSL est mis à dispositions par les hébergeurs mais la mise en place du SSL sur un site n’est pas automatique, il nécessite un certain nombre de manipulations et de pré requis.

6. Conclusion :

  • Le SSL est un protocole qui permet d’échanger de l’information entre deux systèmes, généralement d’un navigateur vers un serveur.
  • Le SSL est un protocole parmi tant d’autres, mais c’est le plus courant car il est open source, proposé par la plupart des hébergeurs, fiable et standardisé.
  • Le SSL se caractérise visuellement par une adresse en https et un petit pictogramme de cadenas en haut de votre navigateur.
  • Google privilégie le positionnement des sites en fonction du SSL.
  • Le SSL sécurise la communication, le « transport » mais pas ce que le serveur en fait. De même pour l’expéditeur, les informations envoyées ne sont pas forcement de bonnes informations.

Dans le prochain article je vous montrerais comment mettre le SSL en place sur WordPress.