Certificats HTTPS et SSL: sécurisez votre site Web (et pourquoi vous devriez le faire)

fonction de sécurité de connexion

Quel que soit le type d'activité ou de service en ligne que vous exécutez, vous devez vous assurer que les données privées sont sécurisées avec les certificats HTTPS et SSL. Voici notre guide complet.

En ce qui concerne l'envoi d'informations personnellesSur Internet, qu'il s'agisse d'informations de contact, d'informations d'identification de connexion, d'informations de compte, d'informations de localisation ou de tout autre élément susceptible d'être utilisé de manière abusive, le public est globalement paranoïaque à propos des pirates informatiques et des voleurs d'identité. Et à juste titre. La crainte que vos informations soient volées, altérées ou détournées est loin d’être irrationnelle. Les manchettes sur les fuites et les atteintes à la sécurité des dernières décennies le prouvent. Malgré cette peur, les internautes continuent à se connecter pour effectuer leurs opérations bancaires, leurs achats, leur journalisation, leurs rencontres, leurs rencontres et leurs autres activités personnelles et professionnelles sur le Web. Et il y a une petite chose qui leur donne la confiance de le faire. Je vais vous le montrer:

image

Bien que tous ne comprennent pas comment cela fonctionne,ce petit cadenas dans la barre d'adresse indique aux utilisateurs Web qu'ils disposent d'une connexion de confiance avec un site Web légitime. Si les visiteurs ne voient pas cela dans la barre d’adresses lorsqu’ils ouvrent votre site Web, vous ne pourrez pas et ne devriez pas obtenir d’affaires.

Pour obtenir ce petit cadenas de barre d'adresse pour votre site Web, vous avez besoin d'un certificat SSL. Comment en obtenez-vous un? Continuez à lire pour le découvrir.

Aperçu de l'article:

  • Qu'est-ce que SSL / TLS?
  • Comment utiliser HTTPS?
  • Qu'est-ce qu'un certificat SSL et comment en obtenir un?
  • Guide d'achat de certificats SSL
    • Autorité de certification
    • Validation de domaine vs validation étendue
    • SSL partagé ou SSL privé
    • Sceaux de confiance
    • Certificats SSL génériques
    • Les garanties
    • Certificats SSL gratuits et certificats SSL auto-signés
  • Installer un certificat SSL
  • HTTPS Avantages et inconvénients

Qu'est-ce que SSL / TLS?

Sur le Web, les données sont transférées à l'aide du protocole de transfert hypertexte. C’est pourquoi toutes les URL de pages Web ont «http: //» ou «https://" devant eux.

Quelle est la différence entre http et https? Ce petit extra a de grandes implications: la sécurité.

Laissez-moi expliquer.

HTTP est le «langage» que votre ordinateur et leserveur utiliser pour parler les uns aux autres. Ce langage est universellement compris, ce qui est pratique, mais il a aussi ses inconvénients. Lorsque des données sont transmises entre vous et un serveur via Internet, il s’arrête quelques étapes avant d’atteindre sa destination finale. Cela pose trois gros risques:

  • Que quelqu'un puisse écoute sur votre conversation (un peu comme une écoute électronique numérique).
  • Que quelqu'un puisse imiter une des parties (ou les deux) à chaque extrémité.
  • Que quelqu'un puisse altérer avec les messages en cours de transfert.

Les pirates et les secousses utilisent une combinaison de ce qui précèdepour un certain nombre d’escroqueries et de braquages, y compris des stratagèmes de phishing, des attaques de type «homme du milieu» et de la bonne publicité à l’ancienne. Les attaques malveillantes peuvent être aussi simples que de détecter les identifiants Facebook en interceptant des cookies non cryptés (écoute indiscrète) ou d’être plus sophistiquées. Par exemple, vous pourriez penser que vous dites à votre banque: «Transférez 100 USD à mon fournisseur d’accès Internet», mais une personne située au milieu peut modifier le message pour lire: «Transférer SVP. 100 $ tout mon argent à mon fournisseur d'accès Peggy en Sibérie”(Falsification et usurpation de données).

Donc, ce sont les problèmes avec HTTP. Pour résoudre ces problèmes, HTTP peut être associé à un protocole de sécurité, ce qui donne HTTP sécurisé (HTTPS). Le plus souvent, le protocole S dans HTTPS est fourni par le protocole SSL (Secure Sockets Layer) ou le protocole TLS (Transport Layer Security) plus récent. Une fois déployé, HTTPS offre des solutions bidirectionnelles. cryptage (pour empêcher l'écoute indiscrète), serveur authentification (pour empêcher l'usurpation d'identité) et authentification du message (pour empêcher la falsification des données).

Comment utiliser HTTPS

Comme une langue parlée, HTTPS ne fonctionne que si les deuxles partis choisissent de le parler. Du côté du client, le choix d'utiliser HTTPS peut être fait en tapant «https» dans la barre d'adresse du navigateur avant l'URL (par exemple, au lieu de taper http://www.facebook.com, tapez https: // www. facebook.com), ou en installant une extension qui force automatiquement HTTPS, telle que HTTPS Everywhere pour Firefox et Chrome. Lorsque votre navigateur Web utilise HTTPS, une icône de cadenas, une barre de navigation verte, un pouce en l'air ou tout autre signe rassurant pour vous assurer que votre connexion au serveur est sécurisée.

cadenas HTTPS chromé

Safari cadenas HTTPS

cadenas HTTPS Internet Explorer

firefox https cadenas

Cependant, pour utiliser HTTPS, le serveur Web doitsoutiens le. Si vous êtes un webmaster et que vous souhaitez proposer le protocole HTTPS à vos visiteurs Web, vous aurez besoin d’un certificat SSL ou d’un certificat TLS. Comment obtenez-vous un certificat SSL ou TLS? Continue de lire.

Lectures supplémentaires: Certaines applications Web populaires vous permettent de choisir HTTPS dans vos paramètres utilisateur. Lisez nos articles sur Facebook, Gmail et Twitter.

Qu'est-ce qu'un certificat SSL et comment en obtenir un?

Pour utiliser HTTPS, votre serveur Web doit avoirun certificat SSL ou un certificat TLS installé. Un certificat SSL / TLS est un peu comme une photo d’identité pour votre site Web. Lorsqu'un navigateur utilisant HTTPS accède à votre page Web, il effectue une «poignée de main» au cours de laquelle l'ordinateur client demande le certificat SSL. Le certificat SSL est ensuite validé par une autorité de certification sécurisée (CA), qui vérifie que le serveur est bien ce qui est indiqué. Si tout se passe bien, votre visiteur Web aura la coche verte rassurante ou l'icône du cadenas. En cas de problème, le navigateur Web vous avertit que l'identité du serveur ne peut pas être confirmée.

Erreur de certificat HTTPS

Achat d'un certificat SSL

Lorsqu’il s’agit d’installer un certificat SSL sur votre site Web, il y a une pléthore de paramètres à choisir. Passons en revue le plus important:

Autorité de certification

L'autorité de certification (CA) est la sociétéqui émet votre certificat SSL et est celui qui validera votre certificat chaque fois qu'un visiteur viendra sur votre site Web. Alors que chaque fournisseur de certificats SSL sera en concurrence sur les prix et les fonctionnalités, la première chose à prendre en compte lors de la vérification des autorités de certification est de savoir s'ils possèdent ou non des certificats préinstallés sur les navigateurs Web les plus courants. Si l’autorité de certification qui émet votre certificat SSL ne figure pas dans cette liste, l’utilisateur sera averti que le certificat de sécurité du site n’est pas approuvé. Bien entendu, cela ne signifie pas que votre site Web est illégitime, cela signifie simplement que votre autorité de certification n'est pas (encore) sur la liste. Ceci est un problème car la plupart des utilisateurs ne lisent pas l’avertissement ou ne recherchent pas une autorité de certification non reconnue. Ils vont probablement juste cliquer loin.

Heureusement, la liste des autorités de certification préinstallées sur leles principaux navigateurs sont assez importants. Il comprend des marques renommées ainsi que des autorités de certification moins connues et plus abordables. Les noms de famille incluent Verisign, Go Daddy, Comodo, Thawte, Geotrust et Entrust.

Vous pouvez également rechercher dans les paramètres de votre propre navigateur les autorités de certification préinstallées.

  • Pour Chrome, accédez à Paramètres -> Afficher les paramètres avancés… -> Gérer les certificats.
  • Pour Firefox, sélectionnez Options -> Avancé -> Afficher les certificats.
  • Pour Internet Explorer, Options Internet -> Contenu -> Certificats.
  • Pour Safari, allez dans le Finder et choisissez Aller -> Utilitaires -> Accès au KeyChain, puis cliquez sur Système.

Pour une référence rapide, consultez ce fil, qui répertorie les certificats SSL acceptables pour Google Checkout.

Validation de domaine vs validation étendue

Heure d'émission typiqueCoûtBarre d'adresse
Validation de domaine
Presque instantanémentFaibleHTTPS normal (icône de cadenas)
Validation de l'organisationQuelques joursMilieuHTTPS normal (icône de cadenas)
Validation étendueUne semaine ou plusHauteBarre d'adresse verte, informations de vérification de l'ID de l'entreprise

</ strong></ p>

Un certificat SSL est censé prouver l'identitédu site Web auquel vous envoyez des informations. Afin de s’assurer que les utilisateurs ne retirent pas de faux certificats SSL pour des domaines qu’ils ne contrôlent pas correctement, une autorité de certification validera que la personne qui demande le certificat est bien le propriétaire du nom de domaine. En général, cela se fait par un email ou un appel téléphonique de validation, comme lorsqu'un site Web vous envoie un email avec un lien de confirmation de compte. Ceci s'appelle un domaine validé Certificat SSL. L'avantage de ceci est qu'il permet aux certificats SSL d'être émis presque immédiatement. Vous pourriez probablement aller chercher un certificat SSL validé par le domaine en moins de temps que nécessaire pour lire cet article. Avec un certificat SSL validé par le domaine, vous bénéficiez du cadenas et de la possibilité de chiffrer le trafic de votre site Web.

Les avantages d'un SSL validé par le domaineLe certificat est qu’ils sont rapides, faciles et peu coûteux à obtenir. C'est aussi leur inconvénient. Comme vous pouvez l’imaginer, il est plus facile de tromper un système automatisé qu’un système géré par des êtres humains vivants. C’est un peu comme si un lycéen entrait dans le DMV en se disant Barack Obama et souhaitait obtenir une carte d’identité délivrée par le gouvernement. la personne au bureau la regardait et appelait le gouvernement fédéral (ou la corbeille loufoque). Mais si c’était un robot qui travaillait sur un kiosque avec photo, il aurait peut-être de la chance. De la même manière, les phishers peuvent obtenir de «faux identifiants» pour des sites Web tels que Paypal, Amazon ou Facebook en tentant des systèmes de validation de domaine. En 2009, Dan Kaminsky a publié un exemple de solution permettant aux arnaqueurs frauduleux d'obtenir des certificats qui donneraient à un site Web de phishing l'apparence d'une connexion sécurisée et légitime. Pour un humain, cette arnaque serait facile à repérer. Mais la validation de domaine automatisée à l'époque manquait des vérifications nécessaires pour empêcher une telle situation.

En réponse aux vulnérabilités de SSL et des certificats SSL validés par le domaine, l’industrie a introduit la Validation étendue certificat. Pour obtenir un certificat SSL EV, votre entreprise ou organisation doit être soumise à un contrôle rigoureux afin de s'assurer qu'elle est en règle avec votre gouvernement et qu'elle contrôle correctement le domaine pour lequel vous postulez. Ces contrôles, entre autres, nécessitent un élément humain, prennent donc plus de temps et sont plus coûteux.

Dans certaines industries, un certificat EV est requis. Mais pour d'autres, l'avantage ne va pas aussi loin que ce que vos visiteurs reconnaîtront. Pour les internautes ordinaires, la différence est subtile. En plus de l'icône de cadenas, la barre d'adresse devient verte et affiche le nom de votre entreprise. Si vous cliquez pour plus d'informations, vous voyez que l'identité de la société a été vérifiée, pas seulement le site Web.

Voici un exemple de site HTTPS normal:

HTTPS normal (validation d'organisation de validation de domaine)

Et voici un exemple de site HTTPS avec certificat EV:

validation étendue HTTPS

En fonction de votre secteur d'activité, un certificat EVpourrait ne pas en valoir la peine. De plus, vous devez être une entreprise ou une organisation pour en obtenir un. Bien que les grandes entreprises tendent à se tourner vers la certification EV, vous remarquerez que la majorité des sites HTTPS affichent encore la version non-EV. Si cela suffit pour Google, Facebook et Dropbox, c’est peut-être assez bien pour vous.

validation de domaine vs validation d'organisation vs validation étendue

Une dernière chose: il existe une option au milieu de la route appelée organisation validée ou entreprise validée certification. Il s’agit d’une validation plus approfondie que la validation de domaine automatisée, mais elle ne va pas aussi loin que de respecter les réglementations du secteur en matière de certificat de validation étendue (remarquez comment la validation étendue est capitalisée et la «validation organisationnelle» non?). Une certification validée par une entreprise ou une entreprise coûte plus cher et prend plus de temps, mais elle ne vous donnera pas la barre d’adresse verte ni les informations vérifiées sur l’identité de la société. Franchement, je ne vois aucune raison de payer pour un certificat OV. Si vous pouvez en penser un, éclairez-moi s'il vous plaît dans les commentaires.

SSL partagé ou SSL privé

Certains hébergeurs proposent un service SSL partagé, quiest souvent plus abordable qu'un SSL privé. Outre le prix, l’avantage d’un SSL partagé est qu’il n’est pas nécessaire d’obtenir une adresse IP privée ou un hôte dédié. L’inconvénient est que vous ne pouvez pas utiliser votre propre nom de domaine. Au lieu de cela, la partie sécurisée de votre site sera quelque chose comme:

https://www.hostgator.com/~yourdomain/secure.php

Comparez cela à une adresse SSL privée:

https://www.yourdomain.com/secure.php

Pour les sites faisant face au public, comme les sites de commerce électroniqueet les sites de réseaux sociaux, c’est évidemment un problème, car il semble que vous ayez été redirigé du site principal. Mais pour les zones qui ne sont généralement pas vues par le grand public, telles que les entrailles d’un système de messagerie ou d’une zone d’administrateur, un protocole SSL partagé peut être une bonne affaire.

Sceaux de confiance

De nombreuses autorités de certification vous permettent de placer unesceau de confiance sur votre page Web après vous être inscrit pour l’un de leurs certificats. Cela donne à peu près les mêmes informations qu'un clic sur le cadenas dans la fenêtre du navigateur, mais avec une visibilité accrue. L’inclusion d’un sceau de confiance n’est pas nécessaire, elle n’amplifie pas non plus votre sécurité, mais si elle offre à vos visiteurs des informations floues, sachant qui a émis le certificat SSL, il faut le jeter à tout hasard.

sceau de confiance

Certificats SSL génériques

Un certificat SSL vérifie l'identité d'undomaine. Ainsi, si vous souhaitez utiliser HTTPS sur plusieurs sous-domaines (par exemple, groovypost.com, mail.groovypost.com et answers.groovypost.com), vous devrez acheter trois certificats SSL différents. À un moment donné, un certificat SSL générique devient plus économique. C'est-à-dire qu'un certificat couvre un domaine et tous les sous-domaines, c'est-à-dire * .groovypost.com.

Les garanties

Quel que soit le temps dont dispose une entreprisela réputation est, il y a des vulnérabilités. Même les CA de confiance peuvent être ciblés par des hackers, comme en témoigne la violation chez VeriSign qui n'a pas été signalée en 2010. En outre, le statut d'un CA sur la liste de confiance peut être rapidement révoqué, comme nous l'avons vu avec le snafu DigiNotar en 2011. Des problèmes se produisent .

Pour apaiser tout malaise sur le potentiel deDe tels actes aléatoires de débauche SSL, de nombreuses autorités de certification offrent désormais des garanties. La couverture varie de quelques milliers de dollars à plus d'un million de dollars et comprend les pertes résultant d'une mauvaise utilisation de votre certificat ou d'autres incidents. Je ne sais pas du tout si ces garanties ajoutent réellement de la valeur ou non, ou si quelqu'un a déjà réussi à obtenir gain de cause. Mais ils sont là pour votre considération.

Certificats SSL gratuits et certificats SSL auto-signés

Il existe deux types de certificats SSL gratuits.disponible. Auto-signé, utilisé principalement pour des tests privés et des certificats de sécurité SSL complets publics adressés par une autorité de certification valide. La bonne nouvelle est qu’en 2018, il existe quelques options pour obtenir des certificats de sécurité SSL valides à 90 jours valables à 100% à partir de SSL pour Free ou de Let’s Encrypt. SSL for Free est principalement une interface graphique pour l’API Let’S encrypt. L’avantage du site SSL pour Free est qu’il est simple à utiliser car il possède une interface graphique agréable. Let Encrypt, cependant, est agréable car vous pouvez entièrement automatiser la demande de certificats SSL à partir de ceux-ci. Idéal si vous avez besoin de certificats SSL pour plusieurs sites Web / serveurs.

Un certificat SSL auto-signé est gratuit pour toujours. Avec un certificat auto-signé, vous êtes votre propre autorité de certification. Toutefois, étant donné que vous ne faites pas partie des autorités de certification approuvées intégrées aux navigateurs Web, les visiteurs seront avertis que l'autorité n'est pas reconnue par le système d'exploitation. En tant que tel, rien ne garantit vraiment que vous êtes ce que vous dites (c’est un peu comme se faire une photo d’identité et essayer de la faire passer au magasin d’alcool). L'avantage d'un certificat SSL auto-signé est toutefois qu'il permet le cryptage du trafic Web. Cela peut être bon pour une utilisation interne, où votre personnel peut ajouter votre organisation en tant qu'autorité de certification de confiance pour supprimer le message d'avertissement et travailler sur une connexion sécurisée via Internet.

Pour obtenir des instructions sur la configuration d'un certificat SSL auto-signé, consultez la documentation d'OpenSSL. (Ou, si la demande est suffisante, je rédigerai un tutoriel.)

Installer un certificat SSL

Une fois que vous avez acheté votre certificat SSL, vousbesoin de l'installer sur votre site web. Un bon hébergeur proposera de le faire pour vous. Certains pourraient même aller aussi loin que l'acheter pour vous. Souvent, c’est la meilleure façon de procéder, car cela simplifie la facturation et garantit qu’elle est correctement configurée pour votre serveur Web.

Cependant, vous avez toujours la possibilité d’installer unCertificat SSL que vous avez acheté vous-même. Si vous faites cela, vous voudrez peut-être commencer par consulter la base de connaissances de votre hôte Web ou en ouvrant un ticket de support technique. Ils vous indiqueront les meilleures instructions pour installer votre certificat SSL. Vous devez également consulter les instructions fournies par l’AC. Ceux-ci vous donneront de meilleurs conseils que tous les conseils génériques que je peux vous donner ici.

Vous pouvez également consulter les instructions suivantes pour installer un certificat SSL:

  • Installer un certificat SSL et configurer le domaine dans cPanel
  • Comment implémenter SSL dans IIS (Windows Server)
  • Apache SSL / TLS Encryption

Toutes ces instructions impliqueront lacréation d'une demande de signature de certificat SSL (CSR). En fait, vous aurez besoin d’une RSC pour obtenir un certificat SSL. Encore une fois, votre hébergeur peut vous aider. Pour plus d'informations spécifiques sur la création d'un CSR, consultez cette publication de DigiCert.

Avantages et inconvénients de HTTPS

Nous avons déjà fermement établi les avantages deHTTPS: sécurité, sécurité, sécurité. Cela atténue non seulement le risque de violation de données, mais crée également la confiance et renforce la réputation de votre site Web. Les clients avisés ne risquent même pas de s'inscrire s'ils voient un «http: //» sur la page de connexion.

Il y a cependant des inconvénients au HTTPS. Étant donné la nécessité du protocole HTTPS pour certains types de sites Web, il est plus logique de les considérer comme “les inconvénients«considérations» plutôt que négatives.

  • HTTPS coûte de l'argent. Pour commencer, le coût d’achat et deRenouveler votre certificat SSL pour assurer sa validité d'année en année. Mais il existe également certaines «exigences système» pour HTTPS, telles qu'une adresse IP dédiée ou un plan d'hébergement dédié, qui peuvent être plus coûteuses qu'un package d'hébergement partagé.
  • HTTPS peut ralentir la réponse du serveur. SSL / TLS pose deux problèmes:pourrait ralentir la vitesse de chargement de votre page. Tout d’abord, pour commencer à communiquer avec votre site Web pour la première fois, le navigateur de l’utilisateur doit suivre le processus de prise de contact, qui renvoie au site Web de l’autorité de certification pour vérifier le certificat. Si le serveur Web de l'autorité de certification est lent, le chargement de votre page sera retardé. Ceci est en grande partie hors de votre contrôle. Deuxièmement, HTTPS utilise le cryptage, qui nécessite plus de puissance de traitement. Vous pouvez résoudre ce problème en optimisant votre contenu en bande passante et en mettant à niveau le matériel de votre serveur. CloudFare a publié un bon article sur comment et pourquoi SSL pourrait ralentir votre site Web.
  • HTTPS peut avoir un impact sur les efforts de référencement Lorsque vous passez de HTTP à HTTPS; tu espasser à un nouveau site web. Par exemple, https://www.groovypost.com ne serait pas identique à http://www.groovypost.com. Il est important de s’assurer que vous avez redirigé vos anciens liens et rédigé les règles appropriées sous le capot de votre serveur pour éviter de perdre un précieux contenu de liens.
  • Un contenu mixte peut lancer un drapeau jaune. Pour certains navigateurs, si vous avez la partie principale deune page Web chargée à partir de HTTPS, mais des images et d’autres éléments (tels que des feuilles de style ou des scripts) chargés à partir d’une URL HTTP, puis une fenêtre contextuelle peut apparaître pour vous avertir que la page contient un contenu non sécurisé. Bien sûr, avoir certains le contenu sécurisé vaut mieux que de ne pas en avoir, même si ce dernier ne donne pas lieu à un popup. Néanmoins, il pourrait être utile de s’assurer que vous n’avez aucun «contenu mixte» sur vos pages.
  • Parfois, il est plus facile d’avoir un processeur tiers de paiement. Il n’est pas honteux de laisser Google Checkout,Paypal ou Checkout by Amazon gèrent vos paiements. Si tout ce qui précède vous semble trop difficile à régler, vous pouvez laisser vos clients échanger des informations de paiement sur le site sécurisé de Paypal ou le site sécurisé de Google et vous épargner le problème.

Vous avez d'autres questions ou commentaires sur les certificats HTTPS et SSL / TLS? Laissez-moi l'entendre dans les commentaires.

0

Articles similaires

Cyber ​​Street vous aide à protéger votre ordinateur personnel ou professionnel
Commentaires

Cyber ​​Street vous aide à garder votre maison ou votre entreprise ..

Gmail déplace tous les accès à HTTPS [groovyNews]
Nouvelles

Gmail Déplacement de tous les accès à HTTPS [groovyNews] ..

Comment créer un code PIN sécurisé pour Roku Channel Store
Comment

Comment créer un code PIN sécurisé pour Roku Channel Store ..

Comment créer un mot de passe fort dont vous vous souviendrez
Comment

Comment créer un mot de passe fort, vous pouvez vous souvenir ..

Alerte de sécurité: DigiNotar émet un certificat Google.fr frauduleux - Instructions pour vous protéger
Comment

Alerte de sécurité: DigiNotar émet des informations frauduleuses sur Google.com.

Comment chiffrer des fichiers et des dossiers individuels dans Windows 10
Comment

Comment chiffrer des fichiers et des dossiers individuels dans Windows

Comment gérer les mots de passe avec le navigateur Edge dans Windows 10
Comment

Comment gérer les mots de passe avec le navigateur Edge dans Windows 10 ..

Faites votre site Web faire le Harlem Shake
Comment

Faites votre site Web faire le Harlem Shake ..

Ne soyez pas un Weiner - Sécurisez votre compte Twitter!
Comment

Ne soyez pas un Weiner - Sécurisez votre Twitter.

Comment sauvegarder votre certificat de clé privée EFS
Comment

Comment sauvegarder votre certificat de clé privée EFS ..

laissez un commentaire