Protocole HTTPS☘
L'HyperText Transfer Protocol Secure (HTTPS : « protocole de transfert hypertextuel sécurisé ») est la combinaison du protocole HTTP avec une couche de chiffrement.
Le protocole HTTPS permet au visiteur de vérifier l'identité du site web auquel il accède, grâce à un certificat d'authentification émis par une autorité tierce, réputée fiable (et faisant généralement partie de la liste blanche des navigateurs internet). Il garantit théoriquement la confidentialité et l'intégrité des données :
- envoyées par l'utilisateur (notamment des informations entrées dans les formulaires)
- reçues par le serveur.
Exemples
-
Le protocole sécurisé HTTPS peut permettre de valider l'identité du visiteur si celui-ci utilise également un certificat d'authentification client.
-
Ce protocole est aussi généralement utilisé pour les transactions financières en ligne :
- commerce électronique ;
- banque en ligne ;
- courtage en ligne ;
- etc...
- commerce électronique ;
-
Il est aussi utilisé pour la consultation de données privées, comme les courriers électroniques par exemple.
Par défaut, les serveurs HTTPS sont connectés au port TCP 443.
Exemple☘
Connectez-vous au site la banque postale.
Vérifiez que le port d'écoute est 443.
Une réponse
Avec [F12], on consulte le détail de la connexion (cliquer sur n'importe quelle requête GET puis déployez la petite flèche à côté du GET) :
L'adresse IP du serveur est 83.206.67.137:443
.
La partie :443
signifie que la machine se trouvant à l'adresse IP
83.206.67.137
écoute sur le port 443.
Principe du protocole HTTPS☘
Le protocole HTTPS est identique au protocole web HTTP en lui ajoutant un ingrédient supplémentaire, dit TLS, qui fonctionne à peu près comme suit :
- le client (par exemple le navigateur Web) contacte un serveur (par exemple Wikipédia) et demande une connexion sécurisée, en lui présentant un certain nombre de méthodes de chiffrement de la connexion ;
- le serveur répond :
- en confirmant pouvoir dialoguer de manière sécurisée
- en choisissant dans cette liste une méthode de chiffrement
- et surtout en produisant un certificat garantissant qu'il est bien le serveur en question et pas un serveur pirate déguisé.
Ces certificats électroniques sont délivrés par une autorité tierce dans
laquelle tout le monde a confiance (un peu l'équivalent d'un notaire dans la
vie courante).
Le certificat contient aussi une clef publique qui permet de crypter un
message pour le rendre uniquement déchiffrable par le serveur qui a émis cette
clef (grâce à une clef privée, que seul le serveur détient). Cela permet
au client d'envoyer de manière secrète une clef de chiffrement symétrique qui
permettra le chiffrement des échanges entre le serveur et le client.
En bref
Serveur et client se sont reconnus, ils ont choisi une manière de chiffrer la communication et se sont passés de manière chiffrée une clef de chiffrement symétrique pour dialoguer de manière secrète.
SSL☘
Le protocole HTTPS s'appuie sur le système SSL. Vous pouvez parcourir cette page pour savoir de quoi il retourne.
Information
La notion de chiffrement sera approfondie en classe de Terminale.