La représentation la plus commune de SSL : un cadenas

Il est communément admis que SSL (qu’on devrait plutôt appeler aujourd’hui TLS) permet d’assurer la confidentialité des échanges, en chiffrant les échanges. Mais est-ce sa seule fonction ?

TLS ne se limite pas à assurer la confidentialité des échanges, c’est simplement la fonction la plus mise en avant par les sites de commerce en ligne, et à présent par l’ensemble des sites web depuis les révélations faites par Edward Snowden concernant les écoutes effectuées par la NSA et les services secrets britanniques.

TLS répond par l’intermédiaire de ses fonctions principales à 3 besoins différents. D’autres fonctions existent, mais leur utilisation reste plutôt confidentielle.

Confidentialité

Le premier besoin est la confidentialité des échanges : le chiffrement des échanges permet de s’assurer qu’un tiers ne pourra pas consulter (facilement) le contenu des données échangées.

Authentification

Le second besoin est celui d’authentifier le serveur, c’est-à-dire de s’assurer qu’on communique bien avec le bon serveur. La mise en place des autorités de certifications qui doivent respecter un cahier des charges pour délivrer un certificat uniquement au propriétaire d’un domaine. Les certificats SSL dit « auto-signés » font l’impasse sur cette fonctionnalité de TLS, car ils ne sont pas émis par une autorité de certification et ne seront pas reconnus.

Intégrité

Le troisième besoin est celui d’être certain que le message n’a pas été modifié pendant la transmission. C’est une partie de la méthode de chiffrement qui prend en charge cette fonction. Cette fonction permet de s’assurer qu’un tiers n’a pas modifié le message échangé entre le client et le serveur.