HTTPS et SSL/TLS

HTTPS est une version sécurisée du HTTP, qui utilise des protocoles de chiffrement …​

pour protéger les données échangées entre un client (navigateur) et un serveur web.

Il repose sur SSL/TLS pour chiffrer les communications, assurant que les données transmises ne peuvent pas être lues ou modifiées par des attaquants.

SSL (aujourd’hui considéré obsolète) et TLS (la version moderne) sont des protocoles cryptographiques qui assurent des communications sécurisées.

TLS est souvent désigné par erreur sous le nom de SSL.

Assure la confidentialité des données transmises, en les rendant inaccessibles aux tiers.

Vérifie l’identité du serveur (et parfois du client) via des certificats numériques.

Garantit que les données ne sont pas altérées en cours de transmission grâce à des mécanismes de vérification (comme les hash ou les MAC).

Lors de l’établissement d’une connexion HTTPS, un processus appelé handshake SSL/TLS est initié :

Le client envoie une requête au serveur. Cette requête inclut une liste des algorithmes de chiffrement et des versions TLS/SSL qu’il supporte.

Le serveur répond avec un certificat. Ce certificat contient une clé publique et des informations pour identifier le serveur.

Le client vérifie le certificat (via une Autorité de Certification - CA) pour s’assurer que le serveur est légitime.

Les clés sont échangées. Le client et le serveur utilisent le certificat pour créer une clé de session unique pour chiffrer les données échangées pendant la session.

Le chiffrement des données commence. Les données sont maintenant chiffrées avec la clé de session.

Les certificats utilisés dans SSL/TLS sont émis par des Autorités de Certification (CA) reconnues, qui vérifient l’identité des propriétaires des sites web.

Les certificats garantissent que les utilisateurs communiquent avec le bon serveur.

Utilisé pour échanger les clés en toute sécurité. Le serveur utilise une clé publique …​

pour crypter les informations, et seul le détenteur de la clé privée correspondante (le serveur) peut les décrypter.

Une fois la clé de session échangée, elle est utilisée pour le chiffrement des données tout au long de la session.

Les versions TLS ont évolué pour corriger des faiblesses :

Obsolètes, considérés comme vulnérables.

Standard jusqu’à récemment, encore largement utilisé.

La version la plus récente, avec des améliorations de sécurité et de performance (réduction du nombre de tours pour l’établissement d’une connexion).

L’attaquant s’interpose entre le client et le serveur pour intercepter ou altérer les communications.

Vulnérabilités des anciennes versions de SSL/TLS qui ont été corrigées dans les versions plus récentes.