Le paysage numérique en constante évolution exige une communication en ligne et une protection des données sécurisées. Les protocoles SSL/TLS et les certificats numériques qui les utilisent sont une technologie qui a joué un rôle essentiel dans la protection de nos transactions et de nos échanges d’informations en ligne. Au cours des deux dernières décennies, les certificats SSL ont évolué et se sont adaptés à la complexité croissante de la cybersécurité, devenant un élément essentiel de la sécurité en ligne.
Introduits au milieu des années 1990, les certificats SSL ont révolutionné la manière dont nous transmettons les informations sur l’internet. Conçus à l’origine pour sécuriser la transmission de données sensibles, telles que les détails des cartes de crédit et les mots de passe, ils sont devenus un outil essentiel pour établir la confiance, la confidentialité et le cryptage dans les interactions en ligne. Cet article explore l’histoire des certificats SSL, en retraçant leur évolution depuis les premiers jours jusqu’à leurs incarnations modernes. Il examine également les étapes clés qui ont façonné leur développement.
Table des matières
- Histoire de SSL et TLS – Une promenade dans le passé
- L’évolution des certificats SSL à la fin des années 90
- L’évolution des certificats SSL au début du 21e siècle
- L’évolution des certificats SSL au cours de la dernière décennie
- Quel est l’avenir des certificats SSL ?
Histoire de SSL et TLS – Une promenade dans le passé
Lorsque John Wainwright, informaticien installé dans la Silicon Valley, a commandé le tout premier livre sur Amazon, il n’aurait jamais imaginé qu’un bâtiment porterait son nom. Mais c’est exactement la valeur que le plus grand détaillant de la planète accorde à son tout premier client non-salarié.
Après avoir fait un bond gigantesque par rapport à la fin des années 90, lorsque la vente au détail en ligne en était encore à ses balbutiements, Amazon vend aujourd’hui des millions de livres chaque année. Mais ce que Wainwright a fait il y a 25 ans n’aurait pas été possible sans une autre technologie en arrière-plan. Une technologie si fondamentale pour l’évolution de l’internet et les transactions en ligne qu’aucun site web ne peut plus s’en passer. Il s’agit des protocoles cryptographiques et des certificats SSL/TLS – les éléments de sécurité du web qui ont rendu possible la révolution de l’internet.
À l’époque où les premiers navigateurs ont popularisé le World Wide Web, le besoin de paiements sécurisés était une préoccupation pressante. Quelque part au siège de Netscape, l’une des plus grandes sociétés de services informatiques de l’époque, Taher Egmal, cryptographe égyptien et scientifique en chef de Netscape, rédigeait le tout premier protocole internet Secure Sockets Layer (SSL).
L’évolution des certificats SSL à la fin des années 90
Sans la possibilité de le tester dans le monde réel, SSL 1.0 a été un véritable accident de voiture. Criblée de failles cryptographiques et de vulnérabilités en matière de sécurité, la première version n’a jamais été mise en service. Netscape a continué à développer le protocole SSL et, en février 1995, a publié SSL 2.0. Il a été livré avec le navigateur Navigator de Netscape et n’a été utilisé que pendant un an, jusqu’à ce que des pirates informatiques et des experts en sécurité l’exposent à nouveau.
Dans le même temps, Microsoft a décidé de réviser le protocole SSL 2 en y ajoutant ses propres éléments et a publié la première version du protocole PCT (Private Communication Technology). Cependant, il n’a jamais pris d’ampleur et n’a été pris en charge que par IE et IIS.
Netscape s’est empressé de développer SSL 3.0, qui a finalement apporté un peu de stabilité et de répit au Web. Ce n’est qu’en 1999 qu’un protocole TLS (Transport Layer Security) 1.0, apparemment tout nouveau, a vu le jour. En réalité, TLS était presque identique à SSL 3.0 et constituait davantage un compromis entre les concurrents féroces que sont Netscape et Microsoft, plutôt qu’une déviation par rapport à SSL 3.0.
Comme le rappelle Tim Dierks, l’auteur de l’implémentation de référence de SSL 3.0, Netscape et Microsoft ont négocié un accord selon lequel ils soutiendraient tous deux l’IETF (Internet Engineering Task Force) dans la reprise du protocole et sa normalisation dans le cadre d’un processus ouvert.
“Dans le cadre de ce marchandage, nous avons dû apporter quelques modifications à SSL 3.0 (pour ne pas donner l’impression que l’IETF ne faisait qu’entériner le protocole de Netscape), et nous avons dû renommer le protocole (pour la même raison). C’est ainsi qu’est né TLS 1.0 (qui était en réalité SSL 3.1). Et bien sûr, aujourd’hui, rétrospectivement, tout cela semble stupide”.
Il a fallu trois ans au groupe IETF pour publier TLS 1.0. La confusion SSL/TLS persiste encore aujourd’hui.
L’évolution des certificats SSL au début du 21e siècle
À l’aube du nouveau millénaire, les certificats SSL étaient aussi rares que des arbres dans un désert. Les autorités de certification facturaient des centaines de dollars pour la validation commerciale, la seule option disponible à l’époque. C’était un investissement considérable pour les entreprises de commerce électronique qui s’aventuraient dans les eaux inconnues du monde en ligne.
La nécessité d’une validation plus rapide et plus facile était évidente. En 2002, GeoTrust est devenue la première autorité de certification à distribuer des certificats de validation de domaine, une initiative qui allait changer à jamais le paysage SSL. Plus rapides et moins chers, ces certificats pouvaient crypter n’importe quel type de site web et sont finalement devenus la force motrice de la révolution HTTPS.
Cinq ans plus tard, en 2007, une autre innovation a changé la donne dans l’industrie du SSL. L’arrivée des certificats Extended Validation a permis aux entreprises de fournir aux internautes une assurance raisonnable que le site web auquel ils accèdent est bien contrôlé par une entité légale. La désormais célèbre barre d’adresse verte EV a permis aux entreprises de mieux s’identifier auprès de leurs clients et a rendu plus difficiles les attaques par hameçonnage utilisant des certificats SSL.
Entre-temps, l’IETF a publié TLS 1.1 en 2006 pour répondre à l’attaque BEAST, puis TLS 1.2 en 2008, dont la principale nouveauté est le chiffrement authentifié (AEAD). Bien qu’il s’agisse d’une avancée significative dans le domaine de la cryptographie en ligne, il faudra des années pour que les principaux navigateurs et serveurs l’intègrent. Chrome a ajouté la prise en charge de TLS 1.2 en août 2013. À cette époque, l’IEFT avait déjà commencé à rédiger le protocole TLS 1.3.
Le web évoluant rapidement et le nombre de cyberattaques suivant son rythme, la nécessité d’un cryptage à grande échelle semblait être l’étape logique vers un internet plus sûr. C’est le cas de Google, sans doute le plus grand défenseur de la transition vers le HTTPS.
L’évolution des certificats SSL au cours de la dernière décennie
En 2014, l’histoire du protocole SSL a pris un nouveau tournant lorsque Google a annoncé qu’il donnerait un coup de pouce en matière de référencement à tous les sites web sécurisés. Et comme tout le monde était obsédé par le référencement à l’époque, les sites web qui, autrement, n’auraient pas pu s’approcher d’un certificat SSL, sont passés de HTTP à HTTPS pour gagner le moindre avantage sur la concurrence. Cette décision a donné le coup d’envoi de l’ascension du HTTPS et d’une nouvelle ère pour l’écosystème SSL/TLS.
Peu après l’incitation de Google, Cloudflare, le populaire service de réseau de diffusion de contenu, a distribué des certificats gratuits à ses plus de deux millions d’utilisateurs.
L’année 2015 a vu trois développements majeurs dans le monde SSL/TLS. Tout d’abord, la validité des certificats délivrés après le 1er avril a été ramenée de cinq à trois ans. Cette durée de vie plus courte a été décrite en 2012, dans les premières exigences de base pour l’émission et la gestion de certificats de confiance.
Let’s Encrypt arrive, SSL est dépassé
Quelques mois plus tard, en novembre, l’autorité de certification open-source Let’s Encrypt a mis à la disposition de tous des certificats SSL à validation de domaine gratuits et une émission automatisée. Soutenu par des entreprises telles que Google, Facebook et Mozilla, Let’s Encrypt est rapidement devenu un choix populaire pour les sites web de base, les blogs et les portfolios en ligne.
La même année, le protocole SSL a été déprécié par l’IETF, mais il a fallu attendre des années avant que les serveurs plus anciens ne le désactivent complètement.
En 2016, le cryptage HTTPS a atteint la barre des 50 % sur le web. Bien qu’il s’agisse d’une grande réussite à l’époque, le travail n’était qu’à moitié fait. L’objectif final de Google était de sécuriser l’ensemble du Web. Pour ce faire, il faudrait quelque chose de plus radical qu’un petit coup de pouce en matière de référencement. Et, comme toujours, les brillants esprits de la Silicon Valley ont trouvé une solution simple et efficace.
Les navigateurs commencent à bloquer le contenu HTTP
Avec la sortie de Chrome 68 en 2018, le navigateur a commencé à signaler tous les sites HTTPS non chiffrés comme n’étant pas sécurisés. Mozilla lui a emboîté le pas et, soudain, les certificats SSL sont passés d’une simple incitation au référencement à une nécessité absolue pour tous les types de sites web. Les propriétaires se sont empressés de sécuriser leurs sites et d’éviter le sinistre avertissement, et le cryptage HTTPS a grimpé en flèche pour atteindre 80 % sur l’ensemble de l’internet.
Les certificats SSL sont devenus la nouvelle norme. Un élément indispensable à la construction et à la sécurité d’un site web. À partir de là, l’évolution du protocole HTTPS prend une nouvelle direction. Dans sa prochaine version, Chrome 69 supprimera le badge de sécurité des sites web HTTPS, ne laissant que le cadenas comme seul indicateur.
Cela a confirmé le changement majeur dans l’approche de Google à l’égard des sites web cryptés. Si par le passé, elle offrait des récompenses pour encourager la migration vers HTTPS. Aujourd’hui, elle a pris le chemin inverse et a commencé à pénaliser les sites non cryptés. La barre verte de la validation étendue a survécu, mais elle n’a pas tardé à s’éteindre.
Date de publication de TLS 1.3
Au milieu de ces changements critiques, l’IETF a publié le protocole TLS 1.3, attendu depuis longtemps. Il a fallu cinq ans pour la mettre au point, et elle est arrivée dix ans après la version précédente de TLS 1.2, mais l’attente en valait la peine. Publiée en août 2018, la version 1.3 de TLS a supprimé un certain nombre d’anciens algorithmes de chiffrement et a réduit de moitié la vitesse de la poignée de main TLS. Comme pour les versions précédentes, son adoption sera lente.
L’année 2018, déjà bien remplie, a été marquée par une nouvelle évolution cruciale dans le paysage SSL. La validité du SSL, en constante évolution, a été à nouveau réduite, cette fois pour deux ans seulement. La nouvelle restriction permettait aux certificats SSL d’expirer et d’être réémis plus fréquemment, ce qui permettait aux autorités de certification de mieux contrôler l’environnement SSL/TLS dans son ensemble.
Après la longue promenade dans le passé, nous sommes enfin parvenus à notre époque actuelle. Dans le monde en ligne, le cryptage HTTPS a dépassé le chiffre de 95 %. L’objectif de Google de sécuriser l’ensemble de l’internet est désormais une réalité.
Changements HTTPS après 2020
Les navigateurs continuent de normaliser la connexion HTTPS, la rendant plus neutre. Dans leur dernière initiative, Chrome et Firefox ont supprimé l’indicateur Extended Validation de leur barre d’adresse et l’ont repositionné dans le panneau d’information sur les certificats. Google a mené des recherches internes et externes et a découvert que l’indicateur EV ne transmettait pas efficacement les informations relatives à l’identité et à la sécurité d’un site web. En outre, il prend trop de place et peut présenter des noms d’entreprises qui prêtent à confusion. Néanmoins, la suppression de l’indicateur EV n’est pas la fin des certificats Extended Validation. Leur principal avantage reste la vérification approfondie de l’identité de l’entreprise.
Dans le même temps, la validité de SSL a continué à diminuer. Cette fois, c’était au tour d’Apple de raccourcir à l’unanimité le cycle des certificats à un an seulement pour son navigateur Safari. Le nouveau changement prend effet à partir du 1er septembre. Safari étant le deuxième navigateur le plus populaire sur le web, ses concurrents ont suivi la décision d’Apple. La validité d’un an réduit encore la fenêtre d’exposition aux cyber-attaques en générant régulièrement de nouvelles clés. Tous ces changements ont à nouveau mis en évidence la nature changeante de l’histoire de SSL.
Quel est l’avenir des certificats SSL ?
Le chiffrement universel s’accompagne d’une responsabilité accrue en matière de protection des données sensibles des utilisateurs contre les cyberattaques persistantes. Bien que les failles des anciens protocoles aient été éliminées dans les versions ultérieures, le risque de nouvelles menaces pour la sécurité restera élevé tant que l’internet évoluera.
De nombreux experts FinTech ont suggéré que la blockchain pourrait remplacer le SSL. En termes simples, une blockchain est une structure de base de données qui stocke des informations dans des lots appelés blocs, liés de manière séquentielle pour former une chaîne de blocs. Chaque chaîne est un grand livre public où les transactions sont enregistrées et confirmées de manière anonyme. L’un des exemples les plus célèbres de blockchain est la crypto-monnaie Bitcoin. Mais comment la blockchain peut-elle améliorer le cryptage du web ?
Tout d’abord, il peut être utilisé par des parties individuelles pour générer des clés cryptographiques uniques permettant de vérifier des informations et d’assurer une communication sécurisée. Plusieurs certificats SSL basés sur la blockchain existent déjà sur le marché. Ces certificats éliminent les autorités de certification (facteur humain) des transactions numériques, garantissant ainsi une authentification plus forte.
L’un de ces systèmes est Remme. Le protocole d’infrastructure à clé publique distribuée attribue des certificats SSL à des appareils individuels tels que des smartphones ou des PC et stocke les informations relatives aux certificats dans une base de données sécurisée, compatible avec la blockchain.
Bien que la blockchain soit présentée comme le meilleur remplacement du SSL, le fait de retirer les autorités de certification de l’équation pourrait produire l’effet inverse. La technologie en est encore à ses débuts, et tant que les développeurs n’auront pas prouvé son efficacité et sa stabilité en matière de confiance décentralisée, les autorités de certification, très réglementées, continueront à vérifier la légitimité des propriétaires de certificats.
Comme le dit le vieil adage, si ce n’est pas cassé, ne le réparez pas. Cela ne veut pas dire que les autorités de certification n’ont pas eu leur part de problèmes et d’épreuves, mais leurs progrès ininterrompus ont transformé l’industrie SSL en un endroit beaucoup plus sûr. Aujourd’hui, les principales autorités de certification proposent un large éventail d’options de gestion et d’automatisation des certificats, aidant les entreprises à gérer efficacement des milliers de cycles de certificats.
Les navigateurs et les autorités de certification sont tellement convaincus de la sécurité du protocole SSL que Google a l’intention de supprimer l’icône du cadenas, dernier indicateur d’un site web sécurisé. Jusqu’à présent, toutes les intentions de Google se sont concrétisées. La fin du cadenas SSL marquera la révolution HTTPS comme une réussite et un chapitre important de la jeune histoire de l’internet.
Résultat final
Près de trois décennies se sont écoulées depuis l’arrivée du premier protocole SSL. L’internet dans son ensemble a beaucoup évolué depuis les premiers jours des navigateurs, au point de constituer un environnement complètement différent. Le cryptage du web est désormais omniprésent. Les anciens protocoles SSL et TLS sont obsolètes et font place à la version la plus récente, TLS 1.3.
L’histoire de SSL nous a appris l’importance du cryptage, de l’authentification, de l’adaptabilité, des normes industrielles, de la convivialité, de l’accessibilité et de la nature permanente de la sécurité. Ces enseignements fournissent des indications précieuses dans la mesure où nous nous efforçons de créer un monde numérique plus sûr et plus sécurisé pour les particuliers, les entreprises et les organisations du monde entier.
Economisez 10% sur les certificats SSL en commandant aujourd’hui!
Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10
