L’espionnage et l’usage abusif de données est un problème sérieux, aussi bien pour les autorités internationales que pour le consommateur final à titre privé. C’est pour cette raison que le thème de la sécurité sur Internet prend une importance croissante. Ce n’est pas que dans la sphère privée que l’on utilise toujours plus de services Internet, mais aussi au niveau des entreprises. Le monde des affaires assiste en effet à une transformation digitale très rapide. Dans le but de sécuriser les transmissions et l’administration de données internes d’entreprises, de données clients et autres informations sensibles, l’utilisation des protocoles SSL et HTTPS est devenue un standard courant. Mais quelle est la signification de ces acronymes et comment appliquer ces protocoles de sécurité à mon site Internet ?
La notion de SSL (acronyme de « Secure Socket Layers ») définit une technique de chiffrement et d’authentification des flux de données en réseau. Autrement dit, cela garantit une transmission de données sécurisée d’un site Web, entre un navigateur et le serveur Web. La mise en place de ces certificats SSL (appelé TLS dans sa version ultérieure pour « Transport Layer Security ») est avant tout indispensable pour les sites de e-commerce, où les données confidentielles et sensibles fluctuent. Ces données sensibles, protégées par un chiffrement SSL, varient de par leur nature, comme le montrent les exemples ci-dessous :
A propos de sites web, vous pouvez réserver votre nom de domaine dès maintenant chez IONOS !
Avec le SSL, on s’assure que les communications ne tombent pas entre de mauvaises mains et qu’elles ne puissent ni être lues, ni être manipulées.
HTTPS (« Hypertext Transport Protocol Secure ») est le protocole correspondant à la sécurisation des transmissions de données. Le sigle HTTP désigne sa version antérieure non sécurisée. Sur les sites Web HTTP, les données peuvent théoriquement être lues et modifiées et un client en ligne ne peut s’assurer de savoir s’il transmet ses coordonnées bancaires à un commerçant ou à un hacker. HTTPS et SSL chiffrent les données HTTP et assurent l’authentification des demandes. Les experts recommandent entre-temps la mise en place de TLS, soit la dernière version. On utilise pourtant encore couramment la désignation SSL pour parler de la version TLS.
Avantages de l’utilisation de SSL/TLS et de HTTPS :
Les pages les plus récentes peuvent bien entendu être créées directement sur la base de ces protocoles SSL/TLS. Même pour les pages déjà existantes, le passage à un protocole sécurisé comme HTTPS ne présente pas un trop grand investissement, en termes de temps et d’efforts. La première étape consiste à établir des certificats SSL pour leurs domaines respectifs.
Les certificats SSL sont une sorte de preuve d’identité d’un site Web. La place d’attribution officielle (CA pour Certificate Authority), grâce à laquelle on obtient le certificat, est une identité examinée au préalable qui garantit la justesse des indications. Les certificats SSL sont classés sur le serveur et chargés à chaque visite sur un site doté du protocole HTTPS. Il y a différents types de certificats qui se distinguent par l’étendue de leur identification :
Il s’agit des certificats comportant le niveau d’authentification le plus bas. Dans ce cas, le CA vérifie seulement si le demandeur est en possession du domaine correspondant pour lequel il veut obtenir un certificat. Les informations d’une entreprise ne sont pas contrôlées lors de la vérification et c’est pourquoi il reste un risque dans la validation du domaine. De par le faible effort d’authentification, le certificat est toutefois rapidement établi par le CA et est de surcroît le moins cher des trois types de certificat SSL.
Les certificats à validation de domaine sont très adaptés pour les sites Web pour lesquels le lien de confiance concernant la sécurité des données de l’internaute n’est pas une priorité et pour les sites qui ne présentent aucun risque d’escroquerie ou d’hameçonnage (Phishing).
Ce type de validation est plus détaillé et donc plus sûr. Mis à part la propriété du domaine, le CA vérifie des informations organisationnelles pertinentes supplémentaires comme par exemple l’appartenance au registre du commerce. Les informations vérifiées par le CA sont accessibles pour un visiteur quelconque, ce qui renforce la confiance envers un pour un site Web. De par son processus de contrôle, le certificat SSL à validation d’organisation s’avère plus coûteux que le certificat SSL à validation de domaine. Cependant, le CA d’organisation présente un plus haut degré de sécurité.
Ce certificat est adapté aux sites Web sur lesquels on effectue des transferts de données qui ne sont pas sensibles.
Il s’agit là du certificat proposant le niveau d’authentification le plus élevé et le plus volumineux. A la différence du certificat à validation d’organisation, les informations d’entreprises sont vérifiées sur des critères d’attribution plus sévères et détaillés. En outre, ce certificat est seulement attribué grâce à une autorisation du CA, (Certificate Authority). La vérification détaillée des entreprises accorde le plus haut niveau de sécurité et cela permet ainsi de renforcer la confiance et la crédibilité vis-à-vis d’un site Web. Par ailleurs, le certificat à validation étendue est la solution qui représente le coût le plus élevé.
Ce certificat est notamment adapté pour les sites Web qui collectent des coordonnées bancaires ou bien d’autres données sensibles.
Cliquez ici pour télécharger l’infographique sur les différents types de certificats SSL.
L’étape suivante consiste en l’installation du certificat SSL sur le serveur. De nombreux prestataires de service d’hébergement Web se chargent de sa mise en place. Dans le domaine de la relation client, on peut la plupart du temps directement recourir au certificat correspondant proposé par le fournisseur. Un client 1&1 IONOS peut sans problème ajouter un certificat SSL à son offre d’hébergement Web existante à partir du centre de contrôle. Le certificat est compris dans de nombreuses offres de ce type et l’installation varie selon le fournisseur. En règle générale, ces fournisseurs de service ou fournisseurs de certificats mettent à disposition des indications d’installation et des instructions appropriées. Une implémentation techniquement parfaite dépendra principalement des critères suivants :
Lors du passage d’un site à un certificat SSL, diverses erreurs peuvent survenir. Pourtant il est possible de les éviter de manière à ne pas subir de pénalités dans son référencement ou des problèmes de redirection de pages Web par exemple.
Les exploitants de sites Web qui souhaitent passer un site Web en SSL et HTTPS devraient :
Téléchargez une version abrégée, ainsi qu’une liste détaillée des points importants à considérer lors d’une conversion de site web à https.
Checklist transfert SSL (version courte)Si un site Web est chargé et qu’il est chiffré avec un certificat SSL valide, cela apparaît directement dans l’URL en question :
Si un site n’est pas sécurisé, comme l’exemple ci-dessous, cela est indiqué par un cadenas barré.
Le « s » du protocole HTTPS se traduit par secure et indique que la mage marquée comme tel est codée par un certificat SSL. Une indication visuelle différente selon le type de certificat apparaît pour montrer si une page est sécurisée :
Avec la vérification SSL gratuite de 1&1 , il suffit d’un clic pour vous assurer que votre certificat SSL actuel est correctement installé et que votre site Web est protégé des attaques
Outre les avantages du cryptage SSL mentionnés ci-dessus, la confiance accrue des utilisateurs pour le Web, et notamment grâce aux sites d’entreprises sécurisés, va par extension faire augmenter la confiance pour les entreprises elles-mêmes. C’est là un argument essentiel de l’importance de la sécurité Web dans le monde des affaires.
Dans ce contexte, nous vous donnons trois recommandations d’actions concrètes pour permettre à votre entreprise de répondre à l’attente de sécurité croissante des internautes au sujet de votre site Web.
Le sceau de confiance est rapidement devenu un indicateur courant de la fiabilité d’un site Web. Ces différents cachets garantissent par exemple la sécurité des données, du flux de paiements ou encore une protection contre les programmes malveillants.
Les certificats à haut niveau de sécurité mettent directement en avant leur présence dans la barre de recherche des navigateurs grâce à une indication visuelle de leur chiffrement sécurisé sur une page. Cela permet d’augmenter la confiance des internautes (cf. certificats et symboles ci-dessus).
Le certificat SSL devrait être appliqué à toutes les sous-pages d’un domaine, et non pas seulement sur une page d’identification de membre ou celle d’un panier d’achats. Ainsi, l’utilisateur se sentira en confiance du début jusqu’à la fin de sa visite.
Les répercussions du passage à une page Web sécurisée (HTTPS) sur le référencement Web a suscité de nombreux débats ces dernières années. Google avait en effet annoncé l’effet positif que ce certificat pouvait entraîner sur le référencement d’un site sur son moteur de recherche. Google voudrait ainsi rendre le Web plus sûr et inciter les exploitants de sites Internet à sécuriser tous leurs sites Internet sans exception. Les pages non sécurisées sont pour cela marquées par une croix rouge sur le navigateur Google Chrome. Jusqu’ici, les pages HTTP étaient représentées normalement (de manière standard, sur un fond blanc) tandis que les pages HTTPS sont représentées par un cadenas vert. Il est donc opportun de passer toutes les pages Web vers le protocole HTTPS.
Indépendamment des critères de référencement en ligne, les pages HTTPS sont un gage de qualité et de sérieux. Les internautes sont toujours plus sensibilisés sur le sujet de la sécurité sur Internet et ils peuvent donc dorénavant distinguer les pages sécurisées de celles qui ne le sont pas.
Est-ce que vous laisseriez une fenêtre ouverte dans votre maison pour faciliter l’entrée de cambrioleurs ? Vous ne répondrez sûrement pas à l’affirmative. Néanmoins, de nombreuses entreprises laissent leur porte ouverte aux hackers et autres cybercriminels en ne protégeant pas suffisamment leur site Web. La sécurité d’un site Web est un thème d’une énorme importance : effectuez des tests de...
Les certificats SSL/TLS jouent un rôle de plus en plus important dans la transmission de données sensibles. Ils garantissent en effet que les paquets de données atteignent le destinataire souhaité sans détour. Les problèmes ne surviennent que lorsque les internautes sont spécifiquement redirigés par des certificats invalides provenant d’autorités de certification douteuses : un scénario qui peut...
En raison de la défiance de la communauté des navigateurs à l’égard de Symantec, Google Chrome et Mozilla Firefox ont décidé de se méfier des sites Web avec des certificats SSL émis par Symantec avant le 1 er décembre 2017 et de les retirer de leurs listes de confiance. Cet article décrit les étapes et les dates importantes que les exploitants de sites Web doivent connaitre afin de renouveler ou...
La sécurité sur Internet reste plus que jamais primordiale et cela que vous soyez exploitant d’un site Web ou bien simple internaute. Ainsi, il est nécessaire de comprendre les bases de la sécurité sur Internet. C’est pourquoi nous vous expliquons exactement ce que sont les certificats SSL et pourquoi vous en avez besoin. Le cryptage et l’authentification sont en effet les principaux objectifs des...
