Le protocole SSL

Les petites aventures du cadenas vert

Mind And Go, Pascal DERNONCOURT
Odoo image et bloc de texte

"C'est quoi ce cadenas vert dans ma barre de navigation, et quand il n'est pas vert, est-ce dangereux ?"


Voici l'interrogation qu'un de mes clients se posait récemment. Pour certains, cela est évident. Je me propose d'apporter quelques explications pour les autres.



      Pour sécuriser la communication entre votre ordinateur et le serveur d'un site Web via Internet, en février 1995 fut mis en place le protocole SSL (Secure Socket Layer, ou Sécurité de la Couche de Transport en français). Effectivement, quand vous vous connectiez sur un site Web, rien ne garantissait que vous étiez bien connecté au bon serveur. De plus, les informations échangées pouvaient être "hackées," piratées. 



                      Ainsi, le protocole SSL s'appuie sur trois grands principes :

                      • la vérification par une autorité tiers indépendante que vous êtes connecté au bon serveur 

                      • la mise en place d'un canal de communication réservé (appelé "tunnel")

                      • le cryptage des données transmises.

                      Texte Odoo et bloc d'image


                                  Un tunnel est mis en place ; chacun accuse, réceptionne des données et vérifie que celles-ci viennent du bon interlocuteur grâce à une procédure de cryptage des données instaurées entre les deux machines qui se sont mises d'accord sur le procédé et les clefs de codage. Pour imager cette démarche, ce serait comme deux ordinateurs connectés par un véritable câble ! Ainsi, la communication est sécurisée.


                                  Odoo image et bloc de texte

                                  Afin de vérifier que vous êtes bien connecté à nos serveurs Mind And Go, nous avons choisi la solution proposée par la communauté/référence Let's Encrypt. Les noms de domaines (il s'agit de l'URL que vous renseignez dans la barre de votre navigateur) sont enregistrés chez OVH et certifiés par Let's Encrypt.

                                  Lorsqu'une connexion est établie entre un navigateur (votre ordinateur), et le service Web de notre serveur, la validité de nos certificats est vérifiée auprès de Let's Encrypt par votre navigateur.


                                  Votre connexion est sécurisée et si tout se passe bien, vous pouvez voir un petit cadenas vert. Cependant, il est possible que cela ne se passe pas comme prévu. Dans certains cas, et depuis peu, votre navigateur (Google Chrome, Firefox, Explorer...), s'apercevant que la connexion n'est pas sécurisée, peut de lui même vous interdire l'accès au site. Vous pouvez demander une exception afin de forcer la connexion. Si vous créez cette exception, vous pourrez vous connecter au site Web sans garantie de sécurité. 




                                  Autre cas, si votre navigateur détecte des liens dans la page internet non sécurisée, il vous indique que votre connexion n'est pas sécurisée. 
                                  Vous êtes sur le bon serveur avec une connexion cryptée, mais des informations ne sont pas sécurisées. Il vous est possible en cliquant sur le cadenas de contrôler la sécurité. Vous pouvez par exemple également voir le nom du site (ici Mind And Go en exemple), qui se charge de le vérifier (avec Let's Encrypt), ainsi que la date d'expiration.

                                  Texte Odoo et bloc d'image


                                  Suite à la révélation de faille de sécurité vers courant 2017, la procédure de vérification des domaines a évolué. Nous avons mis à jour en début d'année 2018 tous nos certificats afin que vous ne rencontriez pas de blocage, ni de perturbation.