Le fonctionnement du Web

HTTP est un protocole "en clair", c'est à dire que les requêtes et réponses qui sont échangées ne sont pas chiffrées. N'importe qui sur le réseau peut ainsi lire les données échangées. Cela inclut par exemple le mot de passe lorsque l'on se connecte à un compte en ligne, ou par exemple les relevés bancaires que l'on consulte sur le site de sa banque.

HTTPS est la version chiffrée de HTTP qui permet de résoudre ce problème. C'est un protocole qui vient s'ajouter par dessus HTTP pour s'assurer que seul le client et le serveur pourront avoir accès aux données échangées.

À chaque initialisation de connexion, avant d'envoyer la première requête HTTP, le client va ouvrir une communication TLS (on parle de session TLS) avec le serveur. Dans cette phase préalable, le navigateur et le serveur vont définir les algorithmes et clefs de chiffrement à utiliser et le serveur va envoyer un certificat.

Le certificat est à la base du fonctionnement de HTTPS, il permet de certifier au client web que le serveur qui répond à la requête est bien le serveur souhaité. Par exemple si on se rend sur le site de sa banque (disons www.mabanque.fr), on veut s'assurer que c'est bien le serveur de www.mabanque.fr qui va nous répondre, et pas un serveur qui chercherait à usurper son identité. Pour cela le serveur va devoir présenter un certificat au client, permettant d'attester que l'on communique bien avec le serveur de www.mabanque.fr.

Le fonctionnement est le même pour les navigateurs et les certificats. Chaque navigateur ne fera confiance, de base, qu'à une poignée de certificats (quelques dizaines). Ce sont généralement les certificats de très grandes entreprises, d'états, ou d'entreprises spécialisées dans la création de certificat. Pour intégrer cette liste de certificat "de confiance", les entités ont eu a passer des examens approfondis pour valider que le navigateur peut leur accorder confiance.

Les certificats fonctionnent ensuite comme une sorte de "preuve de confiance". Une personne qui possède un certificat peut créer un autre certificat pour une autre personne, et "lier" les certificats (on dit que le premier certificat sert à signer le second) entre eux.

Ainsi, lorsqu'un serveur présente un certificat qui ne fait pas partie de la liste connue (ce qui est généralement le cas), le navigateur va vérifier si il peut établir une chaîne de confiance entre le certificat reçu et un des certificats de confiance. Imaginons que le navigateur fasse confiance en un certificat de l'entreprise A. Ensuite l'entreprise A a créé un certificat pour l'entreprise B, qui est un hébergeur de site Web, en laquelle elle a confiance, et elle a signé le certificat de B avec son certificat. Enfin, l'hébergeur B va créer des certificats pour tout ses clients qui ont un site web, et signer les nouveaux certificats. Le navigateur aura confiance dans ces certificats grâce à la chaîne de confiance établi entre le certificat reçu et le certificat de l'entreprise A, en passant par celui de l'entreprise B.

Introduisons maintenant rapidement les termes techniques utilisés dans ce contexte.

• Une entreprise (ou toute autre entité en fait) qui produit des certificats pour d'autres entités s'appelle une Autorité de Certification (que l'on abrège AC, ou plus couramment CA en anglais).

• Lorsqu'une autorité de certification émet un certificat pour un tiers, on dit qu'elle signe le certificat, ce qui créé un lien dans la chaîne de confiance.

• La chaîne de liens entre des certificats s'appelle la chaîne de confiance, le terme anglais trust chain étant le plus souvent utilisé.

• Le certificat étant "en haut" de la hiérarchie dans une chaine de confiance se nomme le certificat racine (ou root certificate). On parle aussi d'autorité de certification racine (root CA).

• HTTPS est une extension de HTTP qui permet de garantir la confidentialité des échanges entre le client et le serveur.

• Les certificats sont à la base du fonctionnement de HTTPS, et leur utilisation se base sur une chaîne de confiance.