Souvent lorsque l'on parle de "connexions sécurisées" sur un site WEB, c'est ce fameux HTTPs dont il est question.
Vous pouvez aussi lire la page du site : Les sites HTTPs.
Principe et pourquoi le HTTPs ?
Lorsque vous surfez, la plupart des sites ont des adresses débutant par http:// - par exemple :
Code : Tout sélectionner
https://www.malekal.com
http://www.google.frEn HTTP, les données qui transitent entre votre navigateur WEB et le serveur transitent en clair.
Potentiellement donc, elles peuvent être interceptées et lues par un tiers.
Ceci permet par exemple le vol d'informations (mot de passe, bancaires, etc) ou vol de sessions.
C'est aussi pour cela, que l'utilisation d'intermédiaires (proxy, VPN etc) n'est pas forcément une bonne idée - j'en parlais là : http://forum.malekal.com/cookies-vols-s ... 43115.html
Afin de palier à ceci, notamment au départ, pour les paiements en ligne, pour que vos informations bancaires ne puissent être interceptées, le HTTPs a été implémenté - HTTPs étant donc du HTTP "sécurisé".
Les adresses commencent donc par http://
Ceci est maintenant étendu a beaucoup de services, notamment les mails (pour réduire le vol de sessions ou la lecture des mails par un tiers), les réseaux sociaux etc.
Connexions HTTPs sur malekal.com :
Selon le niveau de certificat utilisé (voir plus bas), l'affichage peut être différent avec une barre verte.
Le HTTPs permet donc de sécuriser la connexion entre le client et le serveur en :
- chiffrant les données qui transitent entre votre navigateur WEB et le serveur WEB.
- Vérifiant l'identité du serveur WEB que vous visitez, en principe, vous êtes assurez d'être sûr d'être sur le site sur lequel vous pensez être et ne pas avoir été redirigé, par un malware par exemple, vers un faux serveur auquel vous pourriez y saisir des mots de passe etc.
Notamment par exemple sur malekal.com où les publicités externes ne sont pas en HTTPs, on peut avoir un triangle jaune sur le bouclier sur Firefox et le message informant que du contenu non HTTPs tente d'être affichées.
De ce fait, sur un site ayant du contenu 100% HTTPs, si ce dernier se fait hacker et que du code vers une adresse externe non HTTP tente d'être chargé, le visiteur sera informé par cette alerte que quelque chose ne tourne par rond.
Fonctionnement du HTTPs
Le protocole HTTPs utilise le protocole TLS/SSL qui peut aussi être utilisé par d'autres protocoles pour sécuriser le transfert de données : FTP => FTPs, POP3 => POP3s etc.
Voici le principe de fonctionnement (en version simple), lorsqu'un site veut pouvoir délivrer du contenu HTTPs, il achète un certificat auprès d'une autorité de certification (CA).
Il existe 3 types de certificats selon le niveau de vérification effectuée par le CA :
Les certificats DV (Domain validation)
Le certificat délivré prouve seulement que le visiteur visite bien le site sur lequel, il pense être.
Le certificat étant rattaché au serveur WEB.
N'importe qui peut obtenir ce type de certificat.
Seul un bouclier est affiché pour ce type de certificat par les navigateurs :
Aucune information sur l'organisation n'est enregistrée dans ce type de certificat :
Les certificats OV (Validation par Organisation)
L'autorité de certification vérifie que l'organisation est bien détentrice du domaine en question.
Visuellement sur la barre d'adresse, on ne voit aucune différence avec un certificat de type DV.
Dans les informations du certificat, l'organisation est affiché.
Les certificats EV (Validation Etendue)
C'est le type de certificat le plus difficile à obtenir.
Des vérifications étendue sont effectuées par le CA sur l'organisation détentrice du certificat
En autre :
- La vérification de l'existence légale, physique et opérationnelle de l'organisation
- La vérification de l'exactitude des informations transmises sur l'organisation (adresse, n° de téléphone)
- La vérification du droit exclusif d'utilisation du nom de domaine par l'organisation en question
D'autres part, le CA est soumis à des vérifications et tous ne peuvent pas délivrer ces certificats.
Visuellement une barre verte est affichée ou un cadenas vert avec le nom de l’organisation.
Bien entendu, le prix du certificat diffère selon son type, par exemple, vous pouvez voir les prix chez Gandi : https://www.gandi.net/ssl
On peut y voir une petite partie business là dedans...
Fonctionnement du HTTPs
Lorsque vous vous connectez à un site sécurisé, ce dernier vous envoie son certificat.
Le certificat va être vérifié par une PKI (Public Key Infrastructure / Infrastructures à clefs publiques), cette dernière va vérifier la validé du certificat mais authentifier l’émetteur (soit le domaine, soit organisation et domaine selon le type de certificat).
Ce certificat contient une clef publique qui va être utilisée pour chiffrer une clef secrète créée par le navigateur WEB et envoyer au serveur WEB qui sera le seule à pouvoir obtenir la clef en déchiffrant à partir de sa clef privée.
Le client et le serveur utilisent la clé secrète pour générer des clés de session qui seront les clés symétriques utilisées pour le chiffrement, déchiffrement des données et l'intégrité.
La liste des PKI est disponible sur votre navigateur, par exemple, sur Firefox, dans le menu Outils / Avancés.
Cliquez sur l'onglet Avancés puis Afficher les certificats.
Enfin, onglet Autorités.
Conclusion
Le HTTPs est donc un protocole qui permet de sécuriser la connexion entre le navigateur WEB (client) et le serveur WEB.
Il permet aussi de vérifier l'identité du site en étant sûr que vous êtes bien sur le site sur lequel vous pensez être.
Cependant, en aucun cas, il ne permet de conclure que le site ou l'organisation derrière ce site en question est fiable.
