Aller au contenu

HTTPS

Rôle

L'HyperText Transfer Protocol Secure (HTTPS: « protocole de transfert hypertextuel sécurisé ») est la combinaison du HTTP avec une couche de chiffrement.

HTTPS permet au visiteur de vérifier l'identité du site web auquel il accède, grâce à un certificat d'authentification émis par une autorité tierce, réputée fiable (et faisant généralement partie de la liste blanche des navigateurs internet). Il garantit théoriquement la confidentialité et l'intégrité des données envoyées par l'utilisateur (notamment des informations entrées dans les formulaires) et reçues du serveur. Il peut permettre de valider l'identité du visiteur si celui-ci utilise également un certificat d'authentification client.

HTTPS est généralement utilisé pour les transactions financières en ligne: commerce électronique, banque en ligne, courtage en ligne, etc.
Il est aussi utilisé pour la consultation de données privées, comme les courriers électroniques, par exemple.

Par défaut, les serveurs HTTPS sont connectés au port TCP 443.

Exercice

Connectez-vous au site la banque postale.

Vérifiez que le port d'écoute est 443.

Solution

Avec F12, on consulte le détail de la connexion.

L'adresse est 83.206.67.137:443.

La partie :443 signifie que la machine se trouvant à l'adresse IP 83.206.67.137 écoute sur le port 443.

Principe

Le protocole est identique au protocole web HTTP, mais avec un ingrédient supplémentaire dit TLS qui fonctionne à peu près comme suit:

  • le client — par exemple le navigateur Web — contacte un serveur — par exemple Wikipédia — et demande une connexion sécurisée, en lui présentant un certain nombre de méthodes de chiffrement de la connexion;
  • le serveur répond en confirmant pouvoir dialoguer de manière sécurisée et en choisissant dans cette liste une méthode de chiffrement et surtout, en produisant un certificat garantissant qu'il est bien le serveur en question et pas un serveur pirate déguisé.
    Ces certificats électroniques sont délivrés par une autorité tierce dans laquelle tout le monde a confiance (un peu l'équivalent d'un notaire dans la vie courante).
  • Le certificat contient aussi une clef publique qui permet de crypter un message pour le rendre uniquement déchiffrable par le serveur qui a émis cette clef (grâce à une clé privée, que seul le serveur détient); cela permet au client d'envoyer de manière secrète une clef de chiffrement symétrique qui permettra le chiffrement des échanges entre le serveur et le client.

En bref : serveur et client se sont reconnus, ont choisi une manière de chiffrer la communication et se sont passés de manière chiffrée une clef de chiffrement symétrique pour dialoguer de manière secrète.

Principe de l'http secure

SSL

L'HTTPS s'appuie sur SSL. Vous pouvez parcourir cette page pour savoir de quoi il retourne.