Les informations sensibles transmises via un réseau non sécurisé, tel qu'Internet, peuvent être interceptées par une personne malveillante. Pour cette raison, si vous prévoyez de donner aux utilisateurs l'accès à des sites Web traitant des informations financières ou personnelles sensibles, vous devez protéger vos liaisons réseau par cryptage.
Le cryptage est le processus de brouillage des informations par l'application d'une fonction mathématique de sorte qu'il soit extrêmement difficile à toute autre personne que le destinataire de récupérer les informations d'origine. Au coeur de ce processus se trouve une valeur mathématique, appelée clé, utilisée par la fonction pour brouiller les informations de manière unique et complexe.
Votre serveur Web utilise essentiellement le même processus de cryptage pour la sécurisation des liaisons de communication avec les utilisateurs. Après l'établissement d'une liaison sécurisée, une clé de session spéciale est utilisée par votre serveur Web et le navigateur de l'utilisateur pour crypter et décrypter les informations. Par exemple, lorsqu'un utilisateur authentifié tente de télécharger un fichier à partir d'un site Web nécessitant un canal sécurisé, votre serveur Web utilise une clé de session pour crypter le fichier et les en-têtes HTTP associés. Après réception du fichier crypté, le navigateur Web utilise ensuite une copie de la même clé de session pour récupérer le fichier.
Cette méthode de cryptage présente un inconvénient inhérent : au cours du processus de création d'une liaison sécurisée, une copie de la clé de session peut être transmise via un réseau non sécurisé. Cela signifie qu'il suffit à une personne malintentionnée souhaitant compromettre la liaison d'intercepter et de voler la clé de session. Pour se protéger contre cette éventualité, votre serveur Web implémente toutefois une méthode de cryptage complémentaire.
Le dispositif de sécurité SSL (Secure Sockets Layer) de votre navigateur Web utilise une technique connue sous le nom de cryptage par clé publique pour protéger la clé de session d'une éventuelle interception au cours de la transmission. Le cryptage par clé publique, qui implique l'utilisation de deux clés complémentaires, une clé privée et une clé publique, fonctionne de la façon suivante :
Notez que la clé privée joue un rôle important pour garantir que votre liaison de communication reste sûre. Il est souhaitable de prendre toute précaution pour protéger la clé privée contre la perte ou le vol. Vous pouvez créer une copie de sauvegarde de votre certificat en le copiant sur une disquette et en conservant cette dernière en lieu sûr. Si vous suspectez que votre clé privée a été compromise, informez-en votre autorité de certification, utilisez l'Assistant Certificat de serveur Web pour créer une nouvelle demande de certificat, puis obtenir un nouveau certificat de serveur. Pour plus d'informations, consultez Utilisation des nouveaux Assistants de gestion des tâches relatives à la sécurité.
La complexité d'une clé de session est proportionnelle au nombre de bits binaires constituant le fichier de la clé de session. Cela signifie que les clés de session possédant un plus grand nombre de bits présentent un degré de sécurité plus élevé, et sont donc considérablement plus difficiles à décoder de force.
Lorsqu'un utilisateur tente d'établir un canal de communication sécurisé avec votre serveur Web, le navigateur de l'utilisateur doit négocier le niveau de cryptage, ou niveau de la clé de session, le plus élevé possible pouvant être utilisé pour sécuriser les communications sur ce canal. Cela signifie que votre serveur Web et le navigateur de l'utilisateur doivent être équipés de fonctionnalités de cryptage et de décryptage de clé de session compatibles. Par exemple, lorsque vous configurez votre serveur Web pour imposer une clé de session avec un niveau de cryptage minimum (par défaut) de 40 bits, un utilisateur tentant de sécuriser une communication doit posséder un navigateur Web capable de traiter des informations avec une clé de session à 40 bits.