Certificats HTTPS et SSL : sécurisez votre site Web (et pourquoi vous devriez le faire)

Lorsqu’il s’agit d’envoyer des informations personnelles sur Internet – qu’il s’agisse de coordonnées, d’identifiants de connexion, d’informations de compte, d’informations de localisation ou de tout autre élément susceptible d’être utilisé de manière abusive – le public est, dans l’ensemble, carrément paranoïaque à l’égard des pirates informatiques et des voleurs d’identité. Et à juste titre. La crainte que vos informations soient volées, falsifiées ou détournées est loin d’être irrationnelle. Les gros titres sur les fuites et les failles de sécurité au cours des dernières décennies le prouvent. Mais malgré cette peur, les gens continuent de se connecter sur le Web pour effectuer leurs opérations bancaires, faire leurs achats, tenir un journal, sortir ensemble, socialiser et autres affaires personnelles et professionnelles. Et il y a une petite chose qui leur donne la confiance nécessaire pour le faire. Je vais vous le montrer :

Bien que tous ne comprennent pas comment cela fonctionne, ce petit cadenas dans la barre d’adresse signale aux internautes qu’ils disposent d’une connexion fiable à un site Web légitime. Si les visiteurs ne voient pas cela dans la barre d'adresse lorsqu'ils accèdent à votre site Web, vous n'obtiendrez pas (et ne devriez pas) obtenir leur clientèle.

Pour obtenir ce petit cadenas de barre d'adresse pour votre site Web, vous avez besoin d'un certificat SSL. Comment en obtenir un ? Continuez à lire pour le découvrir.

Aperçu de l'article :

• Qu'est-ce que SSL/TLS ?
• Comment utiliser HTTPS ?
• Qu'est-ce qu'un certificat SSL et comment en obtenir un ?
• Guide d'achat de certificats SSL
  • Autorité de certification
  • Validation de domaine vs validation étendue
  • SSL partagé vs SSL privé
  • Sceaux de confiance
  • Certificats SSL génériques
  • Garanties
  • Certificats SSL gratuits et certificats SSL auto-signés
• Installation d'un certificat SSL
• Avantages et inconvénients du HTTPS

Qu'est-ce que SSL/TLS ?

Sur le Web, les données sont transférées à l'aide du protocole de transfert hypertexte. C'est pourquoi toutes les URL de pages Web sont précédées de « http:// » ou « http s :// ».

Quelle est la différence entre http et https ? Ce petit S supplémentaire a de grandes implications : la sécurité.

Laisse-moi expliquer.

HTTP est le « langage » que votre ordinateur et le serveur utilisent pour communiquer entre eux. Ce langage est universellement compris, ce qui est pratique, mais il a aussi ses inconvénients. Lorsque des données sont transmises entre vous et un serveur via Internet, elles feront quelques arrêts en cours de route avant d'atteindre leur destination finale. Cela pose trois grands risques :

• Que quelqu'un puisse écouter votre conversation (un peu comme une écoute électronique numérique).

• Que quelqu'un puisse se faire passer pour l'une (ou les deux) des parties à chaque extrémité.

• Que quelqu'un puisse falsifier les messages en cours de transfert.

Les pirates et les imbéciles utilisent une combinaison de ce qui précède pour un certain nombre d'escroqueries et de braquages, y compris les stratagèmes de phishing, les attaques de l'homme du milieu et la bonne vieille publicité. Les attaques malveillantes peuvent être aussi simples que détecter les informations d'identification de Facebook en interceptant des cookies non cryptés (écoutes clandestines), ou elles peuvent être plus sophistiquées. Par exemple, vous pourriez penser que vous dites à votre banque : « Veuillez transférer 100 $ à mon FAI », mais quelqu'un au milieu pourrait modifier le message pour lire : « Veuillez transférer 100 $ tout mon argent à mon FAI Peggy en Sibérie » (falsification de données et usurpation d'identité).

Voilà donc les problèmes avec HTTP. Pour résoudre ces problèmes, HTTP peut être associé à un protocole de sécurité, ce qui donne lieu à HTTP Secure (HTTPS). Le plus souvent, le S dans HTTPS est fourni par le protocole Secure Sockets Layer (SSL) ou le nouveau protocole Transport Layer Security (TLS). Une fois déployé, HTTPS offre un cryptage bidirectionnel (pour empêcher les écoutes clandestines), une authentification du serveur (pour empêcher l'usurpation d'identité) et une authentification des messages (pour empêcher la falsification des données).

Comment utiliser HTTPS

Comme une langue parlée, HTTPS ne fonctionne que si les deux parties choisissent de le parler. Côté client, le choix d'utiliser HTTPS peut être fait en tapant « https » dans la barre d'adresse du navigateur avant l'URL (par exemple, au lieu de taper http://www.facebook.com, tapez https://www.facebook .com) ou en installant une extension qui force automatiquement HTTPS, comme HTTPS Everywhere pour Firefox et Chrome . Lorsque votre navigateur Web utilise HTTPS, vous verrez une icône de cadenas, une barre de navigateur verte, un pouce levé ou un autre signe rassurant indiquant que votre connexion avec le serveur est sécurisée.

Cependant, pour utiliser HTTPS, le serveur Web doit le prendre en charge. Si vous êtes webmaster et que vous souhaitez proposer HTTPS à vos visiteurs Web, vous aurez besoin d'un certificat SSL ou d'un certificat TLS. Comment obtenir un certificat SSL ou TLS ? Continue de lire.

Lectures complémentaires : Certaines applications Web populaires vous permettent de choisir HTTPS dans vos paramètres utilisateur. Lisez nos articles sur Facebook , Gmail et Twitter .

Qu'est-ce qu'un certificat SSL et comment en obtenir un ?

Pour utiliser HTTPS, votre serveur Web doit disposer d'un certificat SSL ou d'un certificat TLS installé. Un certificat SSL/TLS est un peu comme une photo d’identité pour votre site Web. Lorsqu'un navigateur utilisant HTTPS accède à votre page Web, il effectue une « poignée de main » au cours de laquelle l'ordinateur client demande le certificat SSL. Le certificat SSL est ensuite validé par une autorité de certification (CA) de confiance, qui vérifie que le serveur est bien celui qu'il prétend être. Si tout se passe bien, votre visiteur Web reçoit une coche verte rassurante ou une icône de verrouillage. Si quelque chose ne va pas, ils recevront un avertissement du navigateur Web indiquant que l'identité du serveur ne peut pas être confirmée.

Acheter un certificat SSL

Lorsqu’il s’agit d’installer un certificat SSL sur votre site Web, de nombreux paramètres doivent être pris en compte. Passons en revue le plus important :

Autorité de certification

L'autorité de certification (CA) est la société qui émet votre certificat SSL et est celle qui validera votre certificat chaque fois qu'un visiteur accède à votre site Web. Bien que chaque fournisseur de certificats SSL soit en concurrence sur le prix et les fonctionnalités, la première chose à considérer lors de la vérification des autorités de certification est de savoir si elles disposent ou non de certificats préinstallés sur les navigateurs Web les plus populaires. Si l'autorité de certification qui émet votre certificat SSL ne figure pas dans cette liste, l'utilisateur sera averti que le certificat de sécurité du site n'est pas fiable. Bien sûr, cela ne signifie pas que votre site Web est illégitime, cela signifie simplement que votre autorité de certification ne figure pas (encore) sur la liste. Il s'agit d'un problème car la plupart des utilisateurs ne prendront pas la peine de lire l'avertissement ou de rechercher l'autorité de certification non reconnue. Ils cliqueront probablement simplement.

Heureusement, la liste des autorités de certification préinstallées sur les principaux navigateurs est assez conséquente. Il comprend quelques grandes marques ainsi que des CA moins connues et plus abordables. Les noms familiers incluent Verisign , Go Daddy , Comodo, Thawte, Geotrust et Entrust.

Vous pouvez également consulter les paramètres de votre propre navigateur pour voir quelles autorités de certification sont préinstallées.

• Pour Chrome, accédez à Paramètres -> Afficher les paramètres avancés… -> Gérer les certificats.
• Pour Firefox, faites Options -> Avancé -> Afficher les certificats.
• Pour IE, Options Internet -> Contenu -> Certificats.
• Pour Safari, allez dans le Finder et choisissez Aller -> Utilitaires -> KeyChain Access et cliquez sur Système.

Validation de domaine vs validation étendue

Un certificat SSL est destiné à prouver l'identité du site Web auquel vous envoyez des informations. Pour garantir que les gens n'utilisent pas de faux certificats SSL pour des domaines qu'ils ne contrôlent pas légitimement, une autorité de certification validera que la personne qui demande le certificat est bien le propriétaire du nom de domaine. Généralement, cela se fait via une validation rapide par e-mail ou par appel téléphonique, comme lorsqu'un site Web vous envoie un e-mail avec un lien de confirmation de compte. C'est ce qu'on appelle un certificat SSL validé par domaine . L’avantage est que cela permet d’émettre des certificats SSL presque immédiatement. Vous pourriez probablement obtenir un certificat SSL validé par domaine en moins de temps qu'il ne vous en a fallu pour lire cet article de blog. Avec un certificat SSL validé par domaine, vous obtenez le cadenas et la possibilité de crypter le trafic de votre site Web.

Les avantages d’un certificat SSL validé par domaine sont qu’il est rapide, facile et peu coûteux à obtenir. C'est aussi leur inconvénient. Comme vous pouvez l’imaginer, il est plus facile de tromper un système automatisé qu’un système géré par des êtres humains vivants. C'est un peu comme si un lycéen entrait dans le DMV en disant qu'il était Barack Obama et voulait obtenir une pièce d'identité émise par le gouvernement. La personne au bureau le regardait et appelait le gouvernement fédéral (ou la poubelle des fous). Mais s’il s’agissait d’un robot travaillant dans un kiosque d’identification avec photo, il aurait peut-être un peu de chance. De la même manière, les phishers peuvent obtenir de « faux identifiants » pour des sites Web comme Paypal, Amazon ou Facebook en trompant les systèmes de validation de domaine. En 2009, Dan Kaminsky a publié un exemple d'une manière d'arnaquer les autorités de certification pour obtenir des certificats qui donneraient l'impression qu'un site Web de phishing était une connexion sécurisée et légitime. Pour un humain, cette arnaque serait facile à repérer. Cependant, la validation automatisée du domaine à l’époque ne disposait pas des contrôles nécessaires pour éviter une telle situation.

En réponse aux vulnérabilités du SSL et des certificats SSL validés par domaine, l'industrie a introduit le certificat Extended Validation . Pour obtenir un certificat SSL EV, votre entreprise ou organisation doit subir un contrôle rigoureux pour garantir qu'elle est en règle auprès de votre gouvernement et qu'elle contrôle légitimement le domaine pour lequel vous postulez. Ces contrôles, entre autres, nécessitent un élément humain et sont donc plus longs et plus coûteux.

Dans certaines industries, un certificat EV est requis. Mais pour d’autres, l’avantage ne va que dans la mesure où vos visiteurs reconnaîtront. Pour les visiteurs Web quotidiens, la différence est subtile. En plus de l'icône en forme de cadenas, la barre d'adresse devient verte et affiche le nom de votre entreprise. Si vous cliquez pour plus d'informations, vous voyez que l'identité de l'entreprise a été vérifiée, pas seulement le site Web.

Voici un exemple de site HTTPS normal :

Et voici un exemple de site HTTPS de certificat EV :

Selon votre secteur d'activité, un certificat EV peut ne pas en valoir la peine. De plus, vous devez être une entreprise ou une organisation pour en obtenir un. Bien que les grandes entreprises aient tendance à se tourner vers la certification EV, vous remarquerez que la majorité des sites HTTPS arborent toujours la version non-EV. Si c'est assez bon pour Google, Facebook et Dropbox, c'est peut-être assez bon pour vous.

Encore une chose : il existe une option intermédiaire appelée certification validée par l’organisation ou validée par l’entreprise . Il s'agit d'un contrôle plus approfondi que la validation automatisée de domaine, mais il ne va pas jusqu'à respecter les réglementations du secteur pour un certificat à validation étendue (remarquez comment la validation étendue est capitalisée et la « validation organisationnelle » ne l'est pas ?). Une certification OV ou validée par l'entreprise coûte plus cher et prend plus de temps, mais elle ne vous donnera pas la barre d'adresse verte ni les informations vérifiées sur l'identité de l'entreprise. Franchement, je ne vois aucune raison de payer pour un certificat OV. Si vous en pensez un, merci de m'éclairer dans les commentaires.

SSL partagé vs SSL privé

Certains hébergeurs proposent un service SSL partagé, souvent plus abordable qu'un SSL privé. Outre le prix, l'avantage d'un SSL partagé est que vous n'avez pas besoin d'obtenir une adresse IP privée ou un hôte dédié. L’inconvénient est que vous ne pouvez pas utiliser votre propre nom de domaine. Au lieu de cela, la partie sécurisée de votre site ressemblera à quelque chose comme :

https://www.hostgator.com/~votredomaine/secure.php

Comparez cela à une adresse SSL privée :

https://www.votredomaine.com/secure.php

Pour les sites publics, comme les sites de commerce électronique et les sites de réseaux sociaux, c'est évidemment un frein car il semble que vous ayez été redirigé depuis le site principal. Mais pour les zones qui ne sont généralement pas consultées par le grand public, comme les entrailles d'un système de messagerie ou une zone d'administrateur, un SSL partagé peut s'avérer une bonne affaire.

Sceaux de confiance

De nombreuses autorités de certification vous permettent d'apposer un sceau de confiance sur votre page Web après vous être inscrit à l'un de leurs certificats. Cela donne à peu près les mêmes informations qu'en cliquant sur le cadenas dans la fenêtre du navigateur, mais avec une plus grande visibilité. L'inclusion d'un sceau de confiance n'est pas obligatoire et n'amplifie pas non plus votre sécurité, mais si cela donne à vos visiteurs le sentiment de savoir qui a émis le certificat SSL, n'hésitez pas à le lancer ici.

Certificats SSL génériques

Un certificat SSL vérifie l'identité d'un domaine. Ainsi, si vous souhaitez avoir HTTPS sur plusieurs sous-domaines (par exemple, groovypost.com, mail.groovypost.com et forum.groovypost.com ), vous devrez acheter trois certificats SSL différents. À un moment donné, un certificat SSL générique devient plus économique. Autrement dit, un certificat pour couvrir un domaine et tous les sous-domaines, c'est-à-dire *.groovypost.com.

Garanties

Quelle que soit la durée de la bonne réputation d’une entreprise, elle comporte des vulnérabilités. Même les autorités de certification de confiance peuvent être ciblées par des pirates, comme en témoigne la faille de VeriSign qui n'a pas été signalée en 2010. De plus, le statut d'une autorité de certification sur la liste de confiance peut être rapidement révoqué, comme nous l'avons vu avec le problème de DigiNotar en 2011. Il se passe des choses. .

Pour apaiser toute inquiétude quant au potentiel de tels actes aléatoires de débauche SSL, de nombreuses autorités de certification proposent désormais des garanties. La couverture varie de quelques milliers de dollars à plus d'un million de dollars et comprend les pertes résultant d'une mauvaise utilisation de votre certificat ou d'autres incidents. Je ne sais pas si ces garanties ajoutent réellement de la valeur ou non, ni si quelqu'un a déjà obtenu gain de cause. Mais ils sont là pour votre considération.

Certificats SSL gratuits et certificats SSL auto-signés

Il existe deux types de certificats SSL gratuits disponibles. Un certificat auto-signé, utilisé principalement pour les tests privés et les certificats SSL publics à part entière, émis par une autorité de certification valide. La bonne nouvelle est qu'en 2018, il existe quelques options pour obtenir des certificats SSL 100 % gratuits et valides pendant 90 jours, à la fois SSL gratuitement ou Let's Encrypt . SSL for Free est avant tout une interface graphique pour l'API Let's Encrypt. L’avantage du site SSL for Free est qu’il est simple à utiliser car il possède une belle interface graphique. Let's Encrypt, cependant, est intéressant car vous pouvez entièrement automatiser la demande de certificats SSL. C'est idéal si vous avez besoin de certificats SSL pour plusieurs sites Web/serveurs.

Un certificat SSL auto-signé est gratuit pour toujours. Avec un certificat auto-signé, vous êtes votre propre autorité de certification. Cependant, comme vous ne faites pas partie des autorités de certification de confiance intégrées aux navigateurs Web, les visiteurs recevront un avertissement indiquant que l'autorité n'est pas reconnue par le système d'exploitation. En tant que tel, rien ne garantit vraiment que vous êtes bien celui que vous prétendez être (c'est un peu comme vous délivrer une pièce d'identité avec photo et essayer de la faire passer au magasin d'alcool). L’avantage d’un certificat SSL auto-signé est toutefois qu’il permet le cryptage du trafic Web. Cela peut être utile pour un usage interne, où vous pouvez demander à votre personnel d'ajouter votre organisation en tant qu'autorité de certification de confiance pour supprimer le message d'avertissement et travailler sur une connexion sécurisée sur Internet.

Pour obtenir des instructions sur la configuration d'un certificat SSL auto-signé, consultez la documentation d'OpenSSL. (Ou, s'il y a suffisamment de demande, j'écrirai un tutoriel.)

Installation d'un certificat SSL

Une fois que vous avez acheté votre certificat SSL, vous devez l'installer sur votre site Web. Un bon hébergeur vous proposera de le faire pour vous. Certains pourraient même aller jusqu’à l’acheter pour vous. Souvent, c’est la meilleure solution car elle simplifie la facturation et garantit qu’elle est correctement configurée pour votre serveur Web.

Vous avez néanmoins toujours la possibilité d’installer vous-même un certificat SSL que vous avez acheté. Si vous faites cela, vous souhaiterez peut-être commencer par consulter la base de connaissances de votre hébergeur ou en ouvrant un ticket d'assistance. Ils vous dirigeront vers les meilleures instructions pour installer votre certificat SSL. Vous devriez également consulter les instructions fournies par l'AC. Ceux-ci vous donneront de meilleurs conseils que n’importe quel conseil générique que je peux vous donner ici.

Vous pouvez également consulter les instructions suivantes pour installer un certificat SSL :

• Comment implémenter SSL dans IIS (Windows Server)
• Chiffrement Apache SSL/TLS

Toutes ces instructions impliqueront la création d'une demande de signature de certificat SSL (CSR). En fait, vous aurez besoin d’un CSR simplement pour obtenir l’émission d’un certificat SSL. Encore une fois, votre hébergeur peut vous aider. Pour des informations plus spécifiques sur la création d'un CSR, consultez cet article de DigiCert .

Avantages et inconvénients du HTTPS

Nous avons déjà solidement établi les avantages du HTTPS : sécurité, sécurité, sécurité. Non seulement cela atténue le risque de violation de données, mais cela instaure également la confiance et ajoute à la réputation de votre site Web. Les clients avertis ne prendront peut-être même pas la peine de s'inscrire s'ils voient un « http:// » sur la page de connexion.

Le HTTPS présente cependant certains inconvénients. Étant donné la nécessité du HTTPS pour certains types de sites Web, il est plus logique de considérer ces éléments comme des « considérations » plutôt que comme des aspects négatifs.

• HTTPS coûte de l'argent . Pour commencer, il y a le coût d'achat et de renouvellement de votre certificat SSL pour garantir sa validité d'année en année. Mais il existe également certaines « exigences système » pour HTTPS, comme une adresse IP dédiée ou un plan d'hébergement dédié, qui peuvent être plus coûteux qu'un forfait d'hébergement partagé.
• HTTPS peut ralentir la réponse du serveur. Il existe deux problèmes liés à SSL/TLS qui pourraient ralentir la vitesse de chargement de vos pages. Premièrement, afin de commencer à communiquer avec votre site Web pour la première fois, le navigateur de l'utilisateur doit passer par le processus de prise de contact, qui renvoie au site Web de l'autorité de certification pour vérifier le certificat. Si le serveur Web de l'autorité de certification est lent, le chargement de votre page sera retardé. Ceci est largement hors de votre contrôle. Deuxièmement, HTTPS utilise le cryptage, qui nécessite plus de puissance de traitement. Ce problème peut être résolu en optimisant la bande passante de votre contenu et en mettant à niveau le matériel de votre serveur. CloudFare propose un bon article de blog expliquant comment et pourquoi SSL pourrait ralentir votre site Web.
• HTTPS peut avoir un impact sur les efforts de référencement. Lorsque vous passez de HTTP à HTTPS ; vous déménagez vers un nouveau site Web. Par exemple, http://www.groovypost.com ne serait pas la même chose que https://www.groovypost.com . Il est important de vous assurer que vous avez redirigé vos anciens liens et écrit les règles appropriées sous le capot de votre serveur pour éviter de perdre tout précieux jus de lien.
• Le contenu mixte peut lancer un drapeau jaune . Pour certains navigateurs, si la partie principale d'une page Web est chargée à partir de HTTPS, mais que des images et d'autres éléments (tels que des feuilles de style ou des scripts) sont chargés à partir d'une URL HTTP, une fenêtre contextuelle peut apparaître, avertissant que la page inclut du contenu non sécurisé. . Bien sûr, il est préférable d’avoir du contenu sécurisé que de n’en avoir aucun, même si ce dernier n’entraîne pas de popup. Mais il peut quand même être intéressant de s'assurer que vous n'avez pas de « contenu mixte » sur vos pages.
• Parfois, il est plus facile de recourir à un processeur de paiement tiers . Il n'y a aucune honte à laisser Google Checkout, Paypal ou Checkout by Amazon gérer vos paiements. Si tout ce qui précède vous semble trop complexe, vous pouvez laisser vos clients échanger des informations de paiement sur le site sécurisé de Paypal ou sur le site sécurisé de Google et vous épargner des ennuis.

Avez-vous d'autres questions ou commentaires sur les certificats HTTPS et SSL/TLS ? Laissez-moi l'entendre dans les commentaires.