Hyper Text Transfer Protocol Secure (HTTPS) est la version sécurisée de HTTP. HTTPS est utilisé pour la communication confidentielle sur Internet, par exemple pour les transactions en ligne et les échanges de messages sur les réseaux sociaux.
HTTPS est un protocole Internet qui est établi via une session du protocole de transfert SSL/TLS. Des navigateurs Web tels que Internet Explorer, Firefox et Chrome affichent l'icône du cadenas dans la barre d'adresse pour indiquer qu'une connexion HTTPS est active.
SSL (Secure Sockets Layer) / TLS (Transport Layer Security) est une technologie standard pour sécuriser la connexion HTTP. Elle utilise des algorithmes de chiffrement pour empêcher que des information puissent être lues et modifiées par des personnes ou des systèmes non autorisés. Les algorithmes d’authentification de SSL/TLS permettent d'assurer l'identité du point de terminaison. TLS est une version actualisée, plus sécurisée de SSL. De nos jours, TLS est le principal moyen de sécuriser le trafic sur Internet. Néanmoins, le terme SSL est toujours utilisé pour décrire la technologie de sécurité des sessions HTTPS.
Dans ce manuel, nous utilisons SSL/TLS pour se référer à la technologie SSL.
Pour établir une connexion HTTPS entre un client et un serveur, le certificat d’identité du serveur au moins est requis pour l’authentification.
La session du protocole de transfert SSL/TLS est la première étape pour lancer une connexion HTTPS. Pendant le protocole de transfert SSL/TLS, le serveur et le client effectuent des procédures d’authentification et de négociation. Ils négocient concernant la version TLS, l'algorithme d'échange de clés et l'algorithme de chiffrement de l'échange d'informations. Le jeu d’algorithmes de chiffrement est aussi appelé une suite de cryptage.
Exemple :
Vous trouverez ci-dessous un schéma qui décrit les principales étapes du protocole de transfert SSL/TLS entre un serveur web et un navigateur.
Protocole de transfert SSL/TLSLe navigateur demande une connexion HTTPS.
Le serveur web envoie une copie de son certificat d’identité incorporé avec sa clé publique.
Le navigateur vérifie le certificat d’identité et la clé publique.
Le navigateur et le serveur Web conviennent d'une clé de cryptage partagée.
Le navigateur et le serveur Web utilisent la même clé partagée pour chiffrer le texte brut en texte chiffré et décrypter le texte chiffré en texte brut.
REMARQUE
Pour garantir la sécurité de la connexion, une nouvelle clé partagée est négociée et créée à chaque nouvelle session.