• # Confusion entre authentification et chiffrement

    Posté par . En réponse au message Certificats SSL en centré utilisateur ?. Évalué à 1.

    Il ne faut pas confondre deux (il y en a bien d'autres) aspects de la certification X.509 : l'authentification et le chiffrement.

    L'authentification te garantie l'identité de l'émetteur du certificat, soit grâce à une chaîne de certification, soit, dans le cas d'un certificat auto-signé par un accès précédent au certificat (physiquement, en général).

    Le chiffrement permet, comme son nom l'indique, de chiffrer les données échangés entre le client et le serveur.

    L'authentification peut aussi bien s'effectuer du côté du serveur, que du côté du client, que des deux côtés. Le plus souvent sur le Web, elle s'effectue du côté du serveur.

    Par exemple, lorsque tu vas sur le site Web www.hsbc.fr en HTTPS, VeriSign, autorité de certification à laquelle tu fais généralement confiance (par l'intermédiaire de ton navigateur) te permet de valider l'authenticité du domaine, c'est à dire que www.hsbc.fr appartient bien à la société HSBC.

    Si tu ne faisais pas confiance à VeriSign et que tu n'aurais jamais vu le certificat de www.hsbc.fr auparavant, tu ne pourrais pas authentifier ce site Web. Cependant, cela ne t'empêcherait pas de chiffrer la communication entre ton ordinateur et ce site Web.

    Même si tu ne peux pas authentifier www.hsbc.fr, le chiffrement t'assure tout de même que seul toi et www.hsbc.fr (qui peut être absolument n'importe qui, comme par exemple quelqu'un usurpant le domaine), a eu accès aux données.