OpenSSL : quand et comment ?
La technologie SSL – Secure Socket Layer – représente une arme redoutable pour toutes les entreprises qui souhaitent assurer la sécurité de leurs systèmes. En intégrant la cryptographie de données au protocole, elle s’impose comme la référence absolue en matière de sécurisation des communications par Internet.
Vos différentes recherches à travers les méandres de la sécurité en ligne vous ont certainement conduit un jour vers la célèbre bibliothèque libre de sécurisation des communications : OpenSSL (OpenSecure Socket Layer). Il se peut même que votre entreprise l'utilise – sans toutefois que vous en connaissiez réellement les mécanismes. Steve Marquess, de la OpenSSL Software Foundation, est d’ailleurs le premier à reconnaître sa complexité. En ce sens, il me confessait récemment : « Il est très difficile de décrire [un tel système de] cryptographie de manière succincte aux non-initiés ». Tous ceux qui ont un jour tenté d'approfondir le sujet vous le diront ! Après tout, nul besoin de connaître tous les rouages d’un outil pour pouvoir l’utiliser correctement. Pour autant, il pourrait vous être très utile de mieux savoir quand y avoir recours.
Qu’est-ce donc exactement que l'OpenSSL ? En substance, OpenSSL désigne une implémentation open source des certificats SSL et TLS (Transport Layer Security) – un utilitaire gratuit, compris dans la plupart des déploiements MacOS X, Linux, BSD et Unix. Une copie binaire est également disponible en téléchargement pour les environnements Windows.
Quelle est sa vocation exacte ? OpenSSL contient tout ce dont vous avez besoin pour créer votre propre autorité de certification privée. Écrite en langage C, la bibliothèque principale implémente les fonctions basiques de cryptographie et fournit diverses fonctionnalités utilitaires. Au menu : valeurs de hachage, cryptage et décryptage de fichiers, certificats et signatures numériques, et nombres aléatoires. Il s’agit également d’un outil de ligne de commande. Il peut donc effectuer les mêmes activités que l’API (interface de programmation applicative), avec en prime la possibilité de tester les serveurs et clients SSL.
Toutefois, les solutions open source manquent d'une véritable crédibilité et souffrent d'un déficit d’image auprès des utilisateurs finaux. Si bien que la question se pose : OpenSSL fait-il le poids face aux certificats émis par des autorités de certification (AC) reconnues ? Pour les applications commerciales et financières, la réponse est clairement « non ». Certes, l’utilisation de l’OpenSSL prend (surtout du point de vue financier) tout son sens lorsque vous souhaitez créer et gérer votre propre certificat auto-signé pour un réseau interne. En revanche, si vous cherchez à instaurer une externe relation de confiance et à rassurer vos clients ou utilisateurs quant à votre dispositif de sécurité, il vous faudra prendre d’autres dispositions et surtout une certification reconnue.
Éditeur de solutions réputées dans le monde entier, Symantec a fait de la confiance son cœur de métier. Ses produits de sécurisation des sites Web intègrent une technologie SSL (et SSL EV) leader, ainsi que des fonctionnalités de gestion des certificats, de détection des vulnérabilités et d’analyse anti-malware. Avec Symantec, non seulement vous bénéficiez de nos savoir-faire en matière de sécurité, mais vous profitez également des faire-savoir que sont le sceau Norton Secured et la fonction Symantec Seal-in-Search. Résultat : vos clients se sentent en sécurité tout au long de leur expérience en ligne – des moteurs de recherche à l’acte d’achat, en passant par la navigation sur votre site.
Dans le monde de l’entreprise, il est d’usage de ne travailler qu’avec des personnes en qui vous avez totalement confiance. Dans l’univers de la sécurité en ligne, où les enjeux sont colossaux, ce précepte tient lieu de règle d’or.