Certificats HTTPS et SSL: sécurisez votre site Web (et pourquoi vous devriez le faire)

Comment

ParJack Busch

Dernière mise à jour le20 avril 2018

Lorsqu'il s'agit d'envoyer des informations personnelles sur Internet, que ce soit les coordonnées, les identifiants de connexion, les informations de compte, informations de localisation ou toute autre chose qui pourrait être utilisée à mauvais escient - le public est, dans l'ensemble, carrément paranoïaque au sujet des pirates et de l'identité voleurs. Et à juste titre. La crainte que vos informations soient volées, falsifiées ou détournées est loin d'être irrationnelle. Les manchettes sur les fuites et les failles de sécurité au cours des dernières décennies le prouvent. Mais malgré cette peur, les gens continuent de se connecter pour faire leurs opérations bancaires, faire des achats, tenir un journal, sortir ensemble, socialiser et autres affaires personnelles et professionnelles sur le Web. Et il y a une petite chose qui leur donne la confiance nécessaire pour le faire. Je vais vous le montrer:

Bien que tous ne comprennent pas comment cela fonctionne, ce petit cadenas dans la barre d'adresse signale aux utilisateurs Web qu'ils ont une connexion fiable à un site Web légitime. Si les visiteurs ne voient pas cela dans la barre d'adresse lorsqu'ils consultent votre site Web, vous n'obtiendrez pas - et ne devriez pas - obtenir leur entreprise.

Pour obtenir ce petit cadenas de barre d'adresse pour votre site Web, vous avez besoin d'un certificat SSL. Comment en obtenez-vous un? Continuez à lire pour le découvrir.

Aperçu de l'article:

• Qu'est-ce que SSL / TLS?
• Comment utiliser HTTPS?
• Qu'est-ce qu'un certificat SSL et comment en obtenir un?
• Guide d'achat de certificats SSL
• • Autorité de certification
  • Validation de domaine vs Validation étendue
  • SSL partagé vs SSL privé
  • Trust Seals
  • Certificats SSL génériques
  • Garanties
  • Certificats SSL gratuits et certificats SSL auto-signés
• Installation d'un certificat SSL
• Avantages et inconvénients du HTTPS

Qu'est-ce que SSL / TLS?

Sur le Web, les données sont transférées à l'aide du protocole de transfert hypertexte. C'est pourquoi toutes les URL des pages Web comportent " http://” ou "https://" devant eux.

Quelle est la différence entre http et https? Ce petit S supplémentaire a de grandes implications: la sécurité.

Laissez-moi expliquer.

HTTP est le «langage» que votre ordinateur et le serveur utilisent pour se parler. Ce langage est universellement compris, ce qui est pratique, mais il a aussi ses inconvénients. Lorsque des données sont transmises entre vous et un serveur via Internet, il s'arrête en cours de route avant d'atteindre sa destination finale. Cela pose trois grands risques:

• Que quelqu'un puisse écoute sur votre conversation (un peu comme une écoute numérique).

• Que quelqu'un puisse imiter une (ou les deux) des parties à chaque extrémité.

• Que quelqu'un puisse altérer avec les messages en cours de transfert.

Les pirates et les secousses utilisent une combinaison de ce qui précède pour un certain nombre d'escroqueries et de casse, y compris les stratagèmes de phishing, les attaques de l'homme du milieu et la bonne publicité à l'ancienne. Les attaques malveillantes peuvent être aussi simples que de détecter les informations d'identification Facebook en interceptant les cookies non cryptés (écoute indiscrète), ou elles peuvent être plus sophistiquées. Par exemple, vous pourriez penser que vous disiez à votre banque: «Veuillez transférer 100 $ vers mon FAI», mais quelqu'un au milieu pourrait modifier le message pour lire: «Veuillez transférer $100tout mon argent à mon FAIPeggy en Sibérie»(Falsification et usurpation de données).

Ce sont donc les problèmes avec HTTP. Pour résoudre ces problèmes, HTTP peut être superposé avec un protocole de sécurité, résultant en HTTP Secure (HTTPS). Le plus souvent, le S dans HTTPS est fourni par le protocole SSL (Secure Sockets Layer) ou le protocole TLS (Transport Layer Security) plus récent. Une fois déployé, HTTPS propose des solutions bidirectionnelles chiffrement (pour éviter les écoutes), serveurauthentification (pour éviter l'emprunt d'identité) et authentification des messages (pour empêcher la falsification des données).

Comment utiliser HTTPS

Comme une langue parlée, HTTPS ne fonctionne que si les deux parties choisissent de la parler. Côté client, le choix d'utiliser HTTPS peut être fait en tapant "https" dans la barre d'adresse du navigateur avant l'URL (par exemple, au lieu de taper http://www.facebook.com, tapez https://www.facebook.com), ou en installant une extension qui force automatiquement HTTPS, comme HTTPS Everywhere pour Firefox et Chrome. Lorsque votre navigateur Web utilise HTTPS, vous verrez une icône de cadenas, une barre de navigateur verte, des pouces vers le haut ou un autre signe rassurant que votre connexion avec le serveur est sécurisée.

Cependant, pour utiliser HTTPS, le serveur Web doit le prendre en charge. Si vous êtes un webmaster et que vous souhaitez proposer HTTPS à vos visiteurs Web, vous aurez besoin d'un certificat SSL ou TLS. Comment obtenir un certificat SSL ou TLS? Continue de lire.

Pour en savoir plus: Certaines applications Web populaires vous permettent de choisir HTTPS dans vos paramètres utilisateur. Lisez nos articles sur Facebook, Gmail, et Twitter.

Qu'est-ce qu'un certificat SSL et comment en obtenir un?

Pour utiliser HTTPS, votre serveur Web doit avoir un certificat SSL ou TLS installé. Un certificat SSL / TLS est un peu comme une photo d'identité pour votre site Web. Lorsqu'un navigateur utilisant HTTPS accède à votre page Web, il effectue une «poignée de main» au cours de laquelle l'ordinateur client demande le certificat SSL. Le certificat SSL est ensuite validé par une autorité de certification (CA) de confiance, qui vérifie que le serveur est bien celui qu'il dit être. Si tout se passe bien, votre visiteur Web reçoit la coche verte rassurante ou l'icône de verrouillage. Si quelque chose ne va pas, ils recevront un avertissement du navigateur Web, indiquant que l'identité du serveur n'a pas pu être confirmée.

Acheter un certificat SSL

Lorsqu'il s'agit d'installer un certificat SSL sur votre site Web, il y a une pléthore de paramètres à décider. Passons en revue les plus importants:

Autorité de certification

L'autorité de certification (CA) est la société qui émet votre certificat SSL et est celle qui validera votre certificat chaque fois qu'un visiteur visite votre site Web. Bien que chaque fournisseur de certificats SSL soit en concurrence sur le prix et les fonctionnalités, la première chose à considérer lors de la vérification les autorités de certification déterminent si elles ont ou non des certificats préinstallés sur le Web le plus populaire navigateurs. Si l'autorité de certification qui émet votre certificat SSL ne figure pas sur cette liste, l'utilisateur sera alors averti que le certificat de sécurité du site n'est pas approuvé. Bien sûr, cela ne signifie pas que votre site Web est illégitime, cela signifie simplement que votre autorité de certification n'est pas (encore) sur la liste. Il s'agit d'un problème car la plupart des utilisateurs ne prendront pas la peine de lire l'avertissement ou de rechercher l'autorité de certification non reconnue. Ils vont probablement simplement cliquer.

Heureusement, la liste des autorités de certification préinstallées sur les principaux navigateurs est assez importante. Il comprend de grandes marques ainsi que des autorités de certification moins connues et plus abordables. Les noms des ménages comprennent Verisign, Allez papa, Comodo, Thawte, Geotrust, et Confier.

Vous pouvez également consulter les paramètres de votre propre navigateur pour voir quelles autorités de certification sont préinstallées.

• Pour Chrome, accédez à Paramètres -> Afficher les paramètres avancés… -> Gérer les certificats.
• Pour Firefox, faites Options -> Avancé -> Afficher les certificats.
• Pour IE, Options Internet -> Contenu -> Certificats.
• Pour Safari, allez dans le Finder et choisissez Aller -> Utilitaires -> Accès KeyChain et cliquez sur Système.

Pour une référence rapide, consultez ce fil, qui répertorie les Certificats SSL acceptables pour Google Checkout.

Validation de domaine vs Validation étendue

Un certificat SSL est destiné à prouver l'identité du site Web auquel vous envoyez des informations. Pour garantir que les utilisateurs ne retirent pas de faux certificats SSL pour les domaines qu'ils ne contrôlent pas à juste titre, un l'autorité de certification validera que la personne qui demande le certificat est bien le propriétaire du domaine Nom. En règle générale, cela se fait par une validation rapide par e-mail ou appel téléphonique, similaire à lorsqu'un site Web vous envoie un e-mail avec un lien de confirmation de compte. C'est ce qu'on appelle un domaine validé Certificat SSL. L'avantage est qu'il permet d'émettre des certificats SSL presque immédiatement. Vous pourriez probablement aller chercher un certificat SSL validé par domaine en moins de temps qu'il ne vous a fallu pour lire cet article de blog. Avec un certificat SSL validé par domaine, vous obtenez le cadenas et la possibilité de crypter le trafic de votre site Web.

Les avantages d'un certificat SSL validé par domaine sont qu'ils sont rapides, faciles et bon marché à obtenir. C'est aussi leur inconvénient. Comme vous pouvez l'imaginer, il est plus facile de tromper un système automatisé qu'un système géré par des êtres humains vivants. C'est un peu comme si un lycéen entrait dans le DMV en disant qu'il était Barack Obama et voulait obtenir une pièce d'identité délivrée par le gouvernement. la personne au bureau le regardait et appelait les fédéraux (ou la poubelle folle). Mais s'il s'agissait d'un robot travaillant sur un kiosque d'identité avec photo, il aurait peut-être de la chance. De la même manière, les hameçonneurs peuvent obtenir de «faux identifiants» pour des sites Web comme Paypal, Amazon ou Facebook en trompant les systèmes de validation de domaine. En 2009, Dan Kaminsky a publié un exemple d'un moyen de escroqueries CA pour obtenir des certificats cela ferait ressembler un site Web de phishing à une connexion légitime et sécurisée. Pour un humain, cette arnaque serait facile à repérer. Mais la validation de domaine automatisée à l'époque n'avait pas les vérifications nécessaires pour empêcher quelque chose comme ça.

En réponse aux vulnérabilités de SSL et des certificats SSL validés par domaine, l'industrie a introduit le Validation étendue certificat. Pour obtenir un certificat SSL EV, votre entreprise ou organisation doit subir un contrôle rigoureux pour garantir qu'il est en règle avec votre gouvernement et contrôle à juste titre le domaine que vous appliquez pour. Ces contrôles, entre autres, nécessitent un élément humain, prennent donc plus de temps et sont plus chers.

Dans certaines industries, un certificat EV est requis. Mais pour d'autres, l'avantage ne va que jusqu'à ce que vos visiteurs reconnaîtront. Pour les visiteurs quotidiens du Web, la différence est subtile. En plus de l'icône de cadenas, la barre d'adresse devient verte et affiche le nom de votre entreprise. Si vous cliquez pour plus d'informations, vous voyez que l'identité de l'entreprise a été vérifiée, pas seulement le site Web.

Voici un exemple de site HTTPS normal:

Et voici un exemple de site HTTPS de certificat EV:

Selon votre industrie, un certificat EV pourrait ne pas en valoir la peine. De plus, vous devez être une entreprise ou une organisation pour en obtenir un. Bien que les grandes entreprises tendent vers la certification EV, vous remarquerez que la majorité des sites HTTPS arborent toujours la saveur non-EV. Si c'est assez bon pour Google, Facebook et Dropbox, c'est peut-être assez bon pour vous.

Encore une chose: il y a une option au milieu de la route appelée organisation validée ou entreprise validée certification. Il s'agit d'un contrôle plus approfondi que la validation de domaine automatisée, mais il ne va pas jusqu'à rencontrer l'industrie les réglementations relatives à un certificat Extended Validation (notez comment la validation étendue est capitalisée et validation "n'est-ce pas?). Une certification validée par un VO ou une entreprise coûte plus cher et prend plus de temps, mais elle ne vous donnera pas la barre d'adresse verte et les informations vérifiées sur l'identité de l'entreprise. Franchement, je ne vois aucune raison de payer pour un certificat OV. Si vous pouvez en penser un, veuillez m'éclairer dans les commentaires.

SSL partagé vs SSL privé

Certains hébergeurs Web proposent un service SSL partagé, qui est souvent plus abordable qu'un SSL privé. Autre que le prix, l'avantage d'un SSL partagé est que vous n'avez pas besoin d'obtenir une adresse IP privée ou un hôte dédié. L'inconvénient est que vous ne pouvez pas utiliser votre propre nom de domaine. Au lieu de cela, la partie sécurisée de votre site ressemblera à:

https://www.hostgator.com/~yourdomain/secure.php

Comparez cela à une adresse SSL privée:

https://www.yourdomain.com/secure.php

Pour les sites accessibles au public, comme les sites de commerce électronique et les sites de réseaux sociaux, c'est évidemment un frein, car il semble que vous ayez été redirigé depuis le site principal. Mais pour les zones qui ne sont généralement pas vues par le grand public, comme les entrailles d'un système de messagerie ou une zone administrateur, un SSL partagé peut être une bonne affaire.

Trust Seals

De nombreuses autorités de certification vous permettent de placer un sceau de confiance sur votre page Web après vous être inscrit à l'un de leurs certificats. Cela donne à peu près les mêmes informations que si vous cliquiez sur le cadenas dans la fenêtre du navigateur, mais avec une meilleure visibilité. Il n'est pas nécessaire d'inclure un sceau de confiance, et cela n'améliore pas votre sécurité, mais si cela donne à vos visiteurs le flou chaleureux qui sait qui a délivré le certificat SSL, jetez-le là-haut.

Certificats SSL génériques

Un certificat SSL vérifie l'identité d'un domaine. Donc, si vous voulez avoir HTTPS sur plusieurs sous-domaines, par exemple, groovypost.com, mail.groovypost.com et answers.groovypost.com- vous devez acheter trois certificats SSL différents. À un certain moment, un certificat SSL générique devient plus économique. Autrement dit, un certificat pour couvrir un domaine et tous les sous-domaines, c'est-à-dire * .groovypost.com.

Garanties

Quelle que soit la bonne réputation d'une entreprise, il existe des vulnérabilités. Même les autorités de certification de confiance peuvent être ciblées par des pirates, comme en témoigne le violation de VeriSign qui n'a pas été signalée en 2010. De plus, le statut d'une AC sur la liste de confiance peut être rapidement révoqué, comme nous l'avons vu avec DigiNotar snafu en 2011. Des choses arrivent.

Pour apaiser tout malaise face à la possibilité de tels actes aléatoires de débauche SSL, de nombreuses autorités de certification offrent désormais des garanties. La couverture varie de quelques milliers de dollars à plus d'un million de dollars et comprend les pertes résultant d'une mauvaise utilisation de votre certificat ou d'autres incidents. Je n'ai aucune idée si ces garanties ajoutent réellement de la valeur ou non, ou si quelqu'un a réussi à remporter une réclamation. Mais ils sont là pour votre considération.

Certificats SSL gratuits et certificats SSL auto-signés

Il existe deux types de certificats SSL gratuits disponibles. Un auto-signé, utilisé principalement pour les tests privés et les certificats SSL face au public à part entière émis par une autorité de certification valide. La bonne nouvelle est qu'en 2018, il existe quelques options pour obtenir des certificats SSL valides à 100% gratuits à 90 jours des deux SSL gratuitement ou Cryptons. SSL for Free est principalement une interface graphique pour l'API Let's’s Encrypt. L'avantage du site SSL pour Free est qu'il est simple à utiliser car il a une belle interface graphique. Encryptons, cependant, c'est bien car vous pouvez entièrement automatiser la demande de certificats SSL auprès d'eux. Idéal si vous avez besoin de certificats SSL pour plusieurs sites Web / serveurs.

Un certificat SSL auto-signé est gratuit pour toujours. Avec un certificat auto-signé, vous êtes votre propre autorité de certification. Cependant, comme vous ne faites pas partie des autorités de certification de confiance intégrées aux navigateurs Web, les visiteurs reçoivent un avertissement indiquant que l'autorité n'est pas reconnue par le système d'exploitation. En tant que tel, il n'y a vraiment aucune assurance que vous êtes qui vous êtes (c'est un peu comme vous délivrer une pièce d'identité avec photo et essayer de la faire passer au magasin d'alcool). Cependant, l'avantage d'un certificat SSL auto-signé est qu'il permet le chiffrement du trafic Web. Cela peut être bon pour un usage interne, où vous pouvez demander à votre personnel d'ajouter votre organisation en tant qu'autorité de certification de confiance pour se débarrasser du message d'avertissement et travailler sur une connexion sécurisée sur Internet.

Pour obtenir des instructions sur la configuration d'un certificat SSL auto-signé, consultez la documentation de OpenSSL. (Ou, si la demande est suffisante, je rédigerai un didacticiel.)

Installation d'un certificat SSL

Une fois que vous avez acheté votre certificat SSL, vous devez l'installer sur votre site Web. Un bon hébergeur vous proposera de le faire. Certains pourraient même aller jusqu'à l'acheter pour vous. Souvent, c'est la meilleure façon de procéder, car elle simplifie la facturation et garantit qu'elle est correctement configurée pour votre serveur Web.

Pourtant, vous avez toujours la possibilité d'installer un certificat SSL que vous avez acheté par vous-même. Si vous le faites, vous pouvez commencer par consulter la base de connaissances de votre hébergeur ou en ouvrant un ticket d'assistance. Ils vous orienteront vers les meilleures instructions pour installer votre certificat SSL. Vous devriez également consulter les instructions fournies par l'AC. Ceux-ci vous donneront de meilleurs conseils que tout conseil générique que je peux vous donner ici.

Vous pouvez également consulter les instructions suivantes pour installer un certificat SSL:

• Installer un certificat SSL et configurer le domaine dans cPanel
• Comment implémenter SSL dans IIS (Windows Server)
• Cryptage SSL / TLS Apache

Toutes ces instructions impliqueront la création d'une demande de signature de certificat SSL (CSR). En fait, vous aurez besoin d'un CSR juste pour obtenir un certificat SSL émis. Encore une fois, votre hébergeur peut vous aider. Pour des informations de bricolage plus spécifiques sur la création d'un CSR, consultez cette rédaction de DigiCert.

Avantages et inconvénients de HTTPS

Nous avons déjà solidement établi les avantages du HTTPS: sécurité, sécurité, sécurité. Non seulement cela atténue le risque de violation de données, mais cela inspire également la confiance et ajoute de la réputation à votre site Web. Les clients avertis peuvent même ne pas prendre la peine de s'inscrire s'ils voient un " http://” sur la page de connexion.

Il y a cependant quelques inconvénients au HTTPS. Étant donné la nécessité de HTTPS pour certains types de sites Web, il est plus logique de les considérer comme «les inconvénientsplutôt que des négatifs.

• HTTPS coûte de l'argent. Pour commencer, il y a le coût d'achat et de renouvellement de votre certificat SSL pour garantir la validité d'année en année. Mais il existe également certaines «exigences système» pour HTTPS, telles qu'une adresse IP dédiée ou un plan d'hébergement dédié, qui peuvent être plus coûteux qu'un package d'hébergement partagé.
• HTTPS peut ralentir la réponse du serveur. Il existe deux problèmes liés à SSL / TLS qui peuvent ralentir la vitesse de chargement de vos pages. Premièrement, pour commencer à communiquer avec votre site Web pour la première fois, le navigateur de l'utilisateur doit via le processus de prise de contact, qui rebondit sur le site Web de l'autorité de certification pour vérifier la certificat. Si le serveur Web de l'autorité de certification est lent, il y aura un retard dans le chargement de votre page. Ceci est largement hors de votre contrôle. Deuxièmement, HTTPS utilise le cryptage, qui nécessite plus de puissance de traitement. Cela peut être résolu en optimisant votre contenu pour la bande passante et en mettant à niveau le matériel sur votre serveur. CloudFare a un bon article de blog sur comment et pourquoi SSL peut ralentir votre site Web.
• HTTPS peut avoir un impact sur les efforts de référencement Lorsque vous passez de HTTP à HTTPS; vous passez à un nouveau site Web. Par exemple, https://www.groovypost.com ne serait pas le même que http://www.groovypost.com. Il est important de vous assurer que vous avez redirigé vos anciens liens et écrit les bonnes règles sous le capot de votre serveur pour éviter de perdre un précieux jus de lien.
• Le contenu mixte peut lancer un drapeau jaune. Pour certains navigateurs, si la partie principale d'une page Web est chargée à partir de HTTPS, mais des images et d'autres éléments (tels que feuilles de style ou scripts) chargés à partir d'une URL HTTP, une fenêtre contextuelle peut s'afficher pour vous avertir que la page contient des informations non sécurisées contenu. Bien sûr, avoir certains un contenu sécurisé est préférable à l'absence de contenu, même si ce dernier n'entraîne pas de popup. Mais tout de même, il pourrait être utile de s'assurer que vous n'avez pas de «contenu mixte» sur vos pages.
• Parfois, il est plus facile d'obtenir un processeur de paiement tiers. Il n'y a aucune honte à laisser Google Checkout, Paypal ou Checkout by Amazon gérer vos paiements. Si tout ce qui précède vous semble trop compliqué, vous pouvez laisser vos clients échanger des informations de paiement sur le site sécurisé de Paypal ou sur le site sécurisé de Google et vous épargner la peine.

Vous avez d'autres questions ou commentaires sur les certificats HTTPS et SSL / TLS? Permettez-moi de l'entendre dans les commentaires.