Les certificats HTTPS et SSL rendent votre site Web sécurisé (et pourquoi vous devriez)
Bien que tous ne comprennent pas comment cela fonctionne, ce petit cadenas dans la barre d'adresses indique aux utilisateurs Web qu'ils disposent d'une connexion de confiance avec un site Web légitime. Si les visiteurs ne voient pas cela dans la barre d'adresse lorsqu'ils ouvrent votre site Web, vous ne devriez pas et ne devriez pas obtenir leur entreprise..
Pour obtenir ce petit cadenas de barre d'adresse pour votre site Web, vous avez besoin d'un certificat SSL. Comment en obtenez-vous un? Continuez à lire pour le découvrir.
Aperçu de l'article:
- Qu'est-ce que SSL / TLS??
- Comment utiliser HTTPS?
- Qu'est-ce qu'un certificat SSL et comment en obtenir un?
- Guide d'achat de certificats SSL
- Autorité de certification
- Validation de domaine vs validation étendue
- SSL partagé ou SSL privé
- Sceaux de confiance
- Certificats SSL génériques
- Les garanties
- Certificats SSL gratuits et certificats SSL auto-signés
- Installer un certificat SSL
- HTTPS Avantages et inconvénients
Qu'est-ce que SSL / TLS??
Sur le Web, les données sont transférées à l'aide du protocole de transfert hypertexte. C’est pourquoi toutes les URL de pages Web ont “http: //” ou “https://" devant eux.
Quelle est la différence entre http et https? Ce petit extra a de grandes implications: Sécurité.
Laisse-moi expliquer.
HTTP est la «langue» utilisée par votre ordinateur et le serveur pour communiquer entre eux. Ce langage est universellement compris, ce qui est pratique, mais il a aussi ses inconvénients. Lorsque des données sont transmises entre vous et un serveur via Internet, des arrêts s’arrêtent avant d’atteindre sa destination finale. Cela pose trois gros risques:
- Que quelqu'un puisse écoute sur votre conversation (un peu comme une écoute électronique numérique).
- Que quelqu'un puisse imiter une des parties (ou les deux) à chaque extrémité.
- Que quelqu'un puisse altérer avec les messages en cours de transfert.
Les pirates et les imbéciles utilisent une combinaison de ce qui précède pour un certain nombre d’escroqueries et de braquages, notamment des stratagèmes de phishing, des attaques de type «man-in-the-middle» et de la bonne publicité à l’ancienne. Les attaques malveillantes peuvent être aussi simples que de détecter les identifiants Facebook en interceptant des cookies non cryptés (écoute indiscrète) ou d’être plus sophistiquées. Par exemple, vous pourriez penser que vous dites à votre banque: «Transférez 100 USD à mon fournisseur d’accès Internet», mais une personne située au milieu peut modifier le message en lisant: «Transférez tout mon argent à 100 USD à mon FAI Peggy en Sibérie» (altération des données). et usurpation d'identité).
Donc, ce sont les problèmes avec HTTP. Pour résoudre ces problèmes, HTTP peut être associé à un protocole de sécurité, ce qui donne HTTP sécurisé (HTTPS). Le plus souvent, le protocole S dans HTTPS est fourni par le protocole SSL (Secure Sockets Layer) ou le protocole TLS (Transport Layer Security) plus récent. Une fois déployé, HTTPS offre des solutions bidirectionnelles. cryptage (pour empêcher l'écoute indiscrète), serveur authentification (pour empêcher l'usurpation d'identité) et authentification du message (pour empêcher la falsification des données).
Comment utiliser HTTPS
Comme une langue parlée, HTTPS ne fonctionne que si les deux parties choisissent de le parler. Du côté du client, le choix d'utiliser HTTPS peut être fait en tapant «https» dans la barre d'adresse du navigateur avant l'URL (par exemple, au lieu de taper http://www.facebook.com, tapez https: // www. facebook.com), ou en installant une extension qui force automatiquement HTTPS, telle que HTTPS Everywhere pour Firefox et Chrome. Lorsque votre navigateur Web utilise HTTPS, une icône de cadenas, une barre de navigation verte, un pouce en l'air ou tout autre signe de sécurité vous assurant que votre connexion au serveur est sécurisée est visible..
Cependant, pour utiliser HTTPS, le serveur Web doit le prendre en charge. Si vous êtes un webmaster et que vous souhaitez proposer le protocole HTTPS à vos visiteurs Web, vous devez disposer d'un certificat SSL ou d'un certificat TLS. Comment obtenez-vous un certificat SSL ou TLS? Continue de lire.
Lectures supplémentaires: Certaines applications Web populaires vous permettent de choisir HTTPS dans vos paramètres utilisateur. Lisez nos articles sur Facebook, Gmail et Twitter..
Qu'est-ce qu'un certificat SSL et comment en obtenir un?
Pour pouvoir utiliser HTTPS, votre serveur Web doit avoir un certificat SSL ou un certificat TLS installé. Un certificat SSL / TLS est un peu comme une photo d’identité pour votre site Web. Lorsqu'un navigateur utilisant HTTPS accède à votre page Web, il effectue une «poignée de main» au cours de laquelle l'ordinateur client demande le certificat SSL. Le certificat SSL est ensuite validé par une autorité de certification sécurisée (CA), qui vérifie que le serveur est bien ce qui est indiqué. Si tout se passe bien, votre visiteur Web aura la coche verte rassurante ou l’icône de cadenas. Si quelque chose ne va pas, ils recevront un avertissement du navigateur Web, indiquant que l'identité du serveur ne peut pas être confirmée..
Achat d'un certificat SSL
Lorsqu’il s’agit d’installer un certificat SSL sur votre site Web, il y a une pléthore de paramètres à choisir. Passons en revue le plus important:
Autorité de certification
L’autorité de certification (AC) est l’entreprise qui émet votre certificat SSL et celle qui validera votre certificat chaque fois qu’un visiteur se rend sur votre site Web. Alors que chaque fournisseur de certificats SSL sera en concurrence sur les prix et les fonctionnalités, la première chose à prendre en compte lors de la vérification des autorités de certification est de savoir s'ils possèdent ou non des certificats préinstallés sur les navigateurs Web les plus courants. Si l'autorité de certification qui émet votre certificat SSL ne figure pas dans cette liste, l'utilisateur sera averti que le certificat de sécurité du site n'est pas approuvé. Bien entendu, cela ne signifie pas que votre site Web est illégitime, cela signifie simplement que votre autorité de certification n'est pas (encore) sur la liste. Ceci est un problème car la plupart des utilisateurs ne se soucieront pas de lire l'avertissement ou de rechercher l'autorité de certification non reconnue. Ils vont probablement juste cliquer.
Heureusement, la liste des autorités de certification préinstallées sur les principaux navigateurs est assez longue. Il comprend des marques renommées ainsi que des autorités de certification moins connues et plus abordables. Les noms de ménage incluent Verisign, Go Daddy, Comodo, Thawte, Geotrust et Entrust.
Vous pouvez également rechercher dans les paramètres de votre propre navigateur les autorités de certification préinstallées..
- Pour Chrome, accédez à Paramètres -> Afficher les paramètres avancés… -> Gérer les certificats.
- Pour Firefox, sélectionnez Options -> Avancé -> Afficher les certificats..
- Pour IE, Options Internet -> Contenu -> Certificats.
- Pour Safari, allez dans le Finder et choisissez Aller -> Utilitaires -> KeyChain Access et cliquez sur Système.
Pour une référence rapide, consultez ce fil, qui répertorie les certificats SSL acceptables pour Google Checkout..
Validation de domaine vs validation étendue
Heure d'émission typique | Coût | Barre d'adresse | |
Validation de domaine | Presque instantanément | Faible | HTTPS normal (icône de cadenas) |
Validation de l'organisation | Quelques jours | Milieu | HTTPS normal (icône de cadenas) |
Validation étendue | Une semaine ou plus | Haute | Barre d'adresse verte, informations de vérification de l'ID de l'entreprise |
Un certificat SSL sert à prouver l’identité du site Web auquel vous envoyez les informations. Pour s'assurer que les utilisateurs ne retirent pas de faux certificats SSL pour des domaines qu'ils ne contrôlent pas correctement, une autorité de certification vérifiera que la personne qui demande le certificat est bien le propriétaire du nom de domaine. En règle générale, cela se fait par un courriel ou un appel téléphonique, ce qui est similaire à la situation lorsqu'un site Web vous envoie un courriel avec un lien de confirmation de compte. Ceci s'appelle un domaine validé Certificat SSL. L'avantage de ceci est qu'il permet aux certificats SSL d'être émis presque immédiatement. Vous pourriez probablement aller chercher un certificat SSL validé par le domaine en moins de temps que nécessaire pour lire ce message. Avec un certificat SSL validé par le domaine, vous obtenez le cadenas et la possibilité de chiffrer le trafic de votre site Web..
Les avantages d'un certificat SSL validé par un domaine sont qu'il est rapide, facile et peu coûteux à obtenir. C'est aussi leur inconvénient. Comme vous pouvez l’imaginer, il est plus facile de tromper un système automatisé qu’un système géré par des êtres humains vivants. C'est un peu comme si un élève du secondaire entrait dans le DMV en disant qu'il était Barack Obama et qu'il voulait obtenir une pièce d'identité émise par le gouvernement. la personne au bureau la regardait et appelait le gouvernement fédéral (ou la corbeille loufoque). Mais si c’était un robot qui travaillait sur un kiosque avec photo, il aurait peut-être de la chance. De la même manière, les phishers peuvent obtenir de «faux identifiants» pour des sites Web tels que Paypal, Amazon ou Facebook en tentant de tricher avec les systèmes de validation de domaine. En 2009, Dan Kaminsky a publié un exemple de solution permettant aux autorités de contrôle frauduleuses d'obtenir des certificats qui donneraient à un site Web de phishing l'apparence d'une connexion sécurisée et légitime. Pour un humain, cette arnaque serait facile à repérer. Mais la validation de domaine automatisée à l'époque manquait des vérifications nécessaires pour empêcher une telle situation..
En réponse aux vulnérabilités de SSL et des certificats SSL validés par le domaine, l’industrie a introduit la Validation étendue certificat. Pour obtenir un certificat SSL EV, votre entreprise ou organisation doit être soumise à un contrôle rigoureux afin de s'assurer qu'elle est en règle avec votre gouvernement et contrôle correctement le domaine pour lequel vous postulez. Ces contrôles, entre autres, nécessitent un élément humain, prennent donc plus de temps et sont plus coûteux.
Dans certaines industries, un certificat EV est requis. Mais pour d'autres, l'avantage ne va pas aussi loin que ce que vos visiteurs reconnaîtront. Pour les internautes ordinaires, la différence est subtile. En plus de l'icône de cadenas, la barre d'adresse devient verte et affiche le nom de votre entreprise. Si vous cliquez pour plus d'informations, vous voyez que l'identité de la société a été vérifiée, pas seulement le site Web.
Voici un exemple de site HTTPS normal:
Et voici un exemple de site HTTPS avec certificat EV:
Selon votre secteur d'activité, un certificat EV peut ne pas en valoir la peine. De plus, vous devez être une entreprise ou une organisation pour en obtenir un. Bien que les grandes entreprises tendent vers la certification EV, vous remarquerez que la majorité des sites HTTPS affichent toujours la saveur non-EV. Si cela suffit pour Google, Facebook et Dropbox, peut-être que ça vous conviendra également.
Une dernière chose: il existe une option au milieu de la route appelée organisation validée ou entreprise validée certification. Il s’agit d’un contrôle plus approfondi que la validation de domaine automatisée, mais cela ne va pas jusqu’à respecter les réglementations du secteur pour un certificat de validation étendue (remarquez comment la validation étendue est capitalisée et la «validation organisationnelle» pas?). Une certification validée par une entreprise ou une entreprise coûte plus cher et prend plus de temps, mais elle ne vous donnera pas la barre d'adresse verte ni les informations vérifiées sur l'identité de l'entreprise. Franchement, je ne vois aucune raison de payer pour un certificat OV. Si vous pouvez en penser un, éclairez-moi s'il vous plaît dans les commentaires.
SSL partagé ou SSL privé
Certains hôtes Web offrent un service SSL partagé, qui est souvent plus abordable qu'un SSL privé. Outre le prix, l'avantage d'un protocole SSL partagé est qu'il n'est pas nécessaire d'obtenir une adresse IP privée ou un hôte dédié. L'inconvénient est que vous n'utilisez pas votre propre nom de domaine. Au lieu de cela, la partie sécurisée de votre site sera quelque chose comme:
https://www.hostgator.com/~votredomaine/secure.php
Comparez cela à une adresse SSL privée:
https://www.votredomaine.com/secure.php
Pour les sites destinés au public, tels que les sites de commerce électronique et les réseaux sociaux, il s'agit évidemment d'un problème, car il semble que vous ayez été redirigé du site principal. Mais pour les zones qui ne sont généralement pas vues par le grand public, telles que les entrailles d'un système de messagerie ou d'une zone d'administrateur, un protocole SSL partagé peut constituer une bonne affaire..
Sceaux de confiance
De nombreuses autorités de certification vous permettent de placer un sceau de confiance sur votre page Web après avoir souscrit à l'un de leurs certificats. Cela donne à peu près les mêmes informations qu'un clic sur le cadenas dans la fenêtre du navigateur, mais avec une visibilité accrue. Il n'est pas nécessaire d'inclure un sceau de confiance, cela n'amplifie pas non plus votre sécurité, mais si cela donne à vos visiteurs le flou artistique, sachant qui a émis le certificat SSL, jetez-le là-haut..
Certificats SSL génériques
Un certificat SSL vérifie l'identité d'un domaine. Ainsi, si vous souhaitez utiliser HTTPS sur plusieurs sous-domaines (par exemple, groovypost.com, mail.groovypost.com et answers.groovypost.com), vous devrez acheter trois certificats SSL différents. À un moment donné, un certificat SSL générique devient plus économique. C'est-à-dire qu'un certificat couvre un domaine et tous les sous-domaines, c'est-à-dire * .groovypost.com.
Les garanties
Peu importe la qualité de la réputation d'une entreprise, il existe des vulnérabilités. Même les CA de confiance peuvent être ciblés par des hackers, comme en témoigne la violation chez VeriSign qui n'avait pas été signalée en 2010. En outre, le statut d'un CA sur la liste de confiance peut être rapidement révoqué, comme nous l'avons vu avec le snafu DigiNotar en 2011. Des problèmes se produisent.
Pour dissiper toute inquiétude quant à la possibilité d'actes aléatoires de débauche SSL, de nombreuses autorités de certification offrent désormais des garanties. La couverture varie de quelques milliers de dollars à plus d'un million de dollars et comprend les pertes résultant d'une mauvaise utilisation de votre certificat ou d'autres incidents. Je ne sais pas du tout si ces garanties ajoutent réellement de la valeur ou non, ou si quelqu'un a déjà réussi à obtenir gain de cause. Mais ils sont là pour votre considération.
Certificats SSL gratuits et certificats SSL auto-signés
Deux types de certificats SSL gratuits sont disponibles. Auto-signé, utilisé principalement pour des tests privés et des certificats de sécurité SSL complets publics adressés par une autorité de certification valide. La bonne nouvelle est qu’en 2018, il existe quelques options pour obtenir des certificats de sécurité SSL valides à 90 jours valables à 100% à partir de SSL pour Free ou de Let's Encrypt. SSL for Free est principalement une interface graphique pour l'API Let's Encrypt. L'avantage du site SSL pour Free est qu'il est simple à utiliser car il possède une interface graphique agréable. Let's Encrypt, cependant, est agréable car vous pouvez entièrement automatiser les demandes de certificats SSL auprès d’eux. Idéal si vous avez besoin de certificats SSL pour plusieurs sites Web / serveurs.
Un certificat SSL auto-signé est gratuit pour toujours. Avec un certificat auto-signé, vous êtes votre propre autorité de certification. Toutefois, étant donné que vous ne faites pas partie des autorités de certification approuvées intégrées aux navigateurs Web, les visiteurs seront avertis que l'autorité n'est pas reconnue par le système d'exploitation. En tant que tel, rien ne garantit vraiment que vous êtes ce que vous dites (c'est un peu comme se présenter une photo d'identité et essayer de la faire passer au magasin d'alcool). L'avantage d'un certificat SSL auto-signé est toutefois qu'il permet le cryptage du trafic Web. Cela peut être bon pour une utilisation interne, où votre personnel peut ajouter votre organisation en tant qu'autorité de certification de confiance pour supprimer le message d'avertissement et travailler sur une connexion sécurisée via Internet..
Pour obtenir des instructions sur la configuration d'un certificat SSL auto-signé, consultez la documentation d'OpenSSL. (Ou, si la demande est suffisante, je rédigerai un tutoriel.)
Installer un certificat SSL
Une fois que vous avez acheté votre certificat SSL, vous devez l'installer sur votre site web. Un bon hébergeur proposera de le faire pour vous. Certains pourraient même aller aussi loin que l'acheter pour vous. Souvent, c’est le meilleur choix, car cela simplifie la facturation et garantit une configuration correcte pour votre serveur Web..
Néanmoins, vous avez toujours la possibilité d’installer un certificat SSL que vous avez acheté vous-même. Si vous faites cela, vous voudrez peut-être commencer par consulter la base de connaissances de votre hôte Web ou en ouvrant un ticket pour le support technique. Ils vous dirigeront vers les meilleures instructions pour installer votre certificat SSL. Vous devez également consulter les instructions fournies par l’AC. Cela vous donnera de meilleurs conseils que n'importe quel conseil générique que je peux vous donner ici..
Vous pouvez également consulter les instructions suivantes pour installer un certificat SSL:
- Installer un certificat SSL et configurer le domaine dans cPanel
- Comment implémenter SSL dans IIS (Windows Server)
- Apache SSL / TLS Encryption
Toutes ces instructions impliqueront la création d'une demande de signature de certificat SSL (CSR). En fait, vous aurez besoin d'une CSR pour obtenir un certificat SSL. Encore une fois, votre hébergeur peut vous aider. Pour plus d'informations spécifiques sur la création d'un CSR par le bricolage, consultez cet article de DigiCert..
Avantages et inconvénients de HTTPS
Nous avons déjà clairement établi les avantages de HTTPS: la sécurité, la sécurité, la sécurité. Cela atténue non seulement le risque de violation de données, mais crée également la confiance et renforce la réputation de votre site Web. Les clients avisés ne risquent même pas de s'inscrire s'ils voient apparaître un «http: //» sur la page de connexion..
Il y a cependant des inconvénients au HTTPS. Étant donné la nécessité du protocole HTTPS pour certains types de sites Web, il est plus logique de les considérer comme “les inconvénientsiderations "plutôt que négatives.
- HTTPS coûte de l'argent. Pour commencer, il y a le coût d'achat et de renouvellement de votre certificat SSL pour assurer sa validité d'année en année. Mais il existe également certaines «exigences système» pour HTTPS, telles qu'une adresse IP dédiée ou un plan d'hébergement dédié, qui peuvent être plus coûteuses qu'un package d'hébergement partagé..
- HTTPS peut ralentir la réponse du serveur. SSL / TLS pose deux problèmes susceptibles de ralentir la vitesse de chargement de vos pages. Tout d'abord, pour commencer à communiquer avec votre site Web pour la première fois, le navigateur de l'utilisateur doit suivre le processus de prise de contact, qui rebondit sur le site Web de l'autorité de certification pour vérifier le certificat. Si le serveur Web de l'autorité de certification est lent, le chargement de votre page sera retardé. Ceci est en grande partie hors de votre contrôle. Deuxièmement, HTTPS utilise le cryptage, qui nécessite plus de puissance de traitement. Vous pouvez résoudre ce problème en optimisant votre contenu en bande passante et en mettant à niveau le matériel de votre serveur. CloudFare a un bon article de blog expliquant pourquoi et comment SSL pourrait ralentir votre site Web.
- HTTPS peut avoir un impact sur les efforts de référencement Lorsque vous passez de HTTP à HTTPS; vous allez sur un nouveau site web. Par exemple, https://www.groovypost.com ne serait pas identique à http://www.groovypost.com. Il est important de vous assurer que vous avez redirigé vos anciens liens et rédigé les règles appropriées sous le capot de votre serveur pour éviter de perdre le précieux contenu de vos liens..
- Un contenu mixte peut lancer un drapeau jaune. Pour certains navigateurs, si la partie principale d'une page Web est chargée à partir de HTTPS, mais que des images et d'autres éléments (tels que des feuilles de style ou des scripts) sont chargés à partir d'une URL HTTP, une fenêtre contextuelle peut apparaître pour vous avertir que la page comprend un contenu non sécurisé. Bien sûr, avoir certains le contenu sécurisé vaut mieux que de n'en avoir aucun, même si ce dernier ne donne pas lieu à un popup. Néanmoins, il pourrait être utile de s’assurer que vous n’avez pas de «contenu mixte» sur vos pages..
- Parfois, il est plus facile d'obtenir un processeur de paiement tiers. Il n’est pas honteux de laisser Google Checkout, Paypal ou Google Checkout par Amazon gérer vos paiements. Si tout ce qui précède vous semble trop difficile à résoudre, vous pouvez laisser vos clients échanger des informations de paiement sur le site sécurisé de Paypal ou le site sécurisé de Google et vous épargner le problème..
Vous avez d'autres questions ou commentaires sur les certificats HTTPS et SSL / TLS? Laissez-moi l'entendre dans les commentaires.