Les certificats numériques permettent de garantir aux internautes qui viennent sur un site que celui-ci est sécurisé un minimum contre les menaces, fraudes et usurpations d’identité.
Un certificat numérique garantit à l’internaute 3 choses: identification, sécurité de la transaction ou visite et confidentialité.
Par abus de langage, on confond souvent (et les hébergeurs poussent à confondre) 2 notions: certificat numérique et SSL.
En toute rigueur, SSL (ou Secure Sockets Layers, couche de sockets sécurisée) est standard de sécurisation des transactions effectuées via Internet. Ce standard a été mis au point par Netscape, Mastercard, Bank of America, MCI et Silicon Graphics. Il établit un canal de communication sécurisé (chiffré) entre 2 ordinateurs (un client et un serveur) après une étape d’authentification.
Le SSL, couche supplémentaire à l’échange de données, est indépendant du protocole utilisé sur Internet donc fonctionne aussi bien avec HTTP (le web) que pour du FTP, POP ou IMAP.
SSL est devenu un standard général. Concrètement, quand l’échange de données se fait AVEC une couche SSL, l’internaute voit un petit cadenas dans la barre de navigation (et le “préfixe” https avant l’adresse web) ou sur le logiciel ftp, etc..
Les hébergeurs fournissent des “certificats numériques SSL” pour permettre à ceux qui ont des sites chez eux de sécuriser des transactions ou des espaces privés.
Si on prend le cas d’Amen, 3 certificats SSL sont proposés: SSL 123, SSL Web Server , SSL Web Server Wildcard.
Amen se fournit chez Thawte ( https://www.thawte.fr/index.html).
Une fois qu’on a acheté une des solutions SSL, l’hébergeur l’active dans un délai qui varie d’1 jour à quelques jours (car l’hébergeur n’est ici qu’un revendeur -dans notre exemple Amen revend les solutions de Thawte).
On installe ensuite le certificat sur le site web et concrètement, dans les parties où on l’active, l’ordinateur de l’internaute distant ET le site qu’on gère vont pouvoir communiquer de façon unique et sécurisée.
L’ordinateur de l’internaute va savoir qu’il ne s’adresse et qu’il n’envoie des données qu’au site où il est connecté et le site va savoir qu’il ne dialogue et envoie des infos qu’à l’internaute déclaré.