Sécurité

Qu’est-ce que le certificat SSL ?

La perception générale du public est que les sites avec un certificat SSL, identifiés par le protocole HTTPS et le cadenas vert sont sûrs et fiables, mais ce n’est pas vrai. La connexion entre le site et l’utilisateur peut être protégée, et seulement. Nous vous expliquons ici comment fonctionne le certificat SSL, comment en obtenir un pour votre site et pourquoi il est important de ne pas faire aveuglément confiance au cadenas vert.

Qu’est-ce que le certificat SSL ?

Le certificat SSL (Secure Socket Layer) est un fichier de données qui relie une clé cryptée à un individu ou une entreprise afin de protéger les informations échangées entre le site et le visiteur. Lorsqu’un certificat est lié à un site web, il offre une connexion sécurisée entre le dispositif d’accès (PC, smartphone, tablette, etc.) et le serveur web.

Il existe trois modèles de certificats SSL : celui de validation de domaine, le moins cher, le plus populaire et le plus simple, qui est émis dans les 30 minutes ; celui de validation organisationnelle, destiné aux entreprises et nécessitant des données spécifiques ; et celui de validation étendue, qui nécessite des documents physiques de votre entreprise pour émettre le certificat avec le plus haut degré de validation, qui est même considéré comme un symbole de statut, en mettant en évidence le nom de l’entreprise à côté du cadenas vert ; bien sûr, cette licence est la plus chère de toutes.

  IOS présente une faille de sécurité qui vous permet de voler facilement les mots de passe iCloud

Les certificats varient également en fonction du nombre de domaines que vous souhaitez valider : le Common est destiné à une seule adresse web (comme https://perlmOl) ; le Joker, ou Wild Card sert à protéger les données du domaine principal et des sous-domaines qui utilisent le format https://*.namesite.xxx ; enfin, celle de Multiple Domains protège jusqu’à 100 sites avec différents domaines du même groupe.

Comment fonctionne le certificat SSL ?

Chaque fois qu’un utilisateur entre sur un site web, le navigateur demande l’envoi du certificat numérique et vérifie s’il est valide, s’il appartient réellement au domaine et s’il est à jour. Si tout concorde, l’URL du site commencera par HTTPS ; si le site n’a pas de certificat valide, il s’ouvrira en HTTP et sera marqué comme non sécurisé.

Si la validité du certificat a expiré (la limite en France est de deux ans), et en fonction de la manière dont il collecte les données (par exemple, un site de commerce électronique), le navigateur peut même conseiller à l’utilisateur de l’éviter.

Comment puis-je obtenir un certificat SSL pour mon site ?

Le moyen le plus sûr d’obtenir un certificat numérique est d’acheter l’un de nos certificateurs de confiance. Il existe des sociétés qui proposent des options gratuites et douteuses comme a Let’s Encrypt, mais comme elles ne fournissent pas de garanties sur la fiabilité des données, elles ne sont pas une option très judicieuse pour faire confiance à la sécurité de votre site.

Compte tenu du fait que vous devez apprécier la sécurité des données de vos utilisateurs selon la nouvelle législation, la chose la plus sensée à faire est de fuir les options bon marché qui pourraient coûter trop cher à l’avenir.

  Zoom commence à s'intéresser aux questions de sécurité et de protection de la vie privée

En France, les entreprises pouvant vendre des certificats SSL sont : Comodo, SymantecGeoTruste Thawte. Tous proposent des contrats qui doivent être renouvelés chaque année, avec des prix compétitifs et abordables même pour les petits sites et les petites entreprises. No SSL.net.br vous pouvez consulter les plans et en obtenir un.

Le certificat SSL garantit-il qu’un site est sécurisé à 100% ?

Pas du tout.

Beaucoup de gens pensent que le certificat SSL est une garantie de protection et de fiabilité du site, mais la seule chose qu’il fait est d’offrir un canal sécurisé pour l’échange de données. Il ne peut pas garantir que la personne ou l’organisation derrière le site est appropriée.

C’est précisément l’un des grands problèmes du certificat SSL : les personnes malveillantes acquièrent la documentation nécessaire pour inclure le cadenas vert dans les sites de phishing, et bien que leurs informations ne soient pas accessibles à des personnes extérieures, l’administrateur continue à voler leurs données.

Et les escrocs le savent et en profitent. Plus de 80% des utilisateurs pensent qu’un certificat SSL est une garantie que le site est digne de confiance, ce qui ne pourrait être plus éloigné de la réalité ; une façon simple d’expliquer la différence entre HTTPS, SSL et sites dignes de confiance a été donnée par le professeur Scott Hanselman :

HTTPS SSL ne signifie pas “faites confiance à ça”. Cela signifie “c’est privé”. Il se peut que vous ayez une conversation privée avec Satan.

? Scott Hanselman (@shanselman) 4 avril 2012

  Jimmy Wales Effet : Wikipedia obtient 16 mi en 48 jours

HTTPS et SSL ne signifient pas “ce site est digne de confiance”, mais “la communication avec ce site est digne de confiance”. en bref, vous pourriez avoir une conversation privée avec le diable.

Il convient de rappeler que même pour la facilité d’obtention d’un certificat SSL en France, le pays est en tête du classement mondial des escroqueries par phishing et la plupart de ces domaines sont conservés par des pics, qu’ils soient originaux ou qu’ils tentent de passer pour d’autres, comme les sites de banques ou les magasins célèbres ont le cadenas vert et le HTTPS. Et l’utilisateur moyen prend l’appât, avec ligne et hameçon.

Lisez-le aussi :

Si le certificat n’est pas sûr à 100%, à qui pouvez-vous faire confiance ?

La chose la plus importante à faire est de toujours suspecter : éviter de saisir des données sensibles telles que les login et mots de passe pour les applications et les réseaux sociaux, les enregistrements de sites et de services ou les références bancaires, les numéros de cartes de crédit et les codes de sécurité sur des sites inconnus. Il est également important d’être conscient du domaine, s’il n’y a pas de caractères ou de lettres étranges dans l’URL et si les liens ont été envoyés à partir de sources fiables.

évitez autant que possible de cliquer sur les liens dans les courriels censés être envoyés par votre banque ou votre entreprise (vérifiez toujours l’adresse de l’expéditeur) et utilisez un antivirus et des pare-feu en cas de doute ; ces logiciels fonctionnent avec des listes actualisées de sites de phishing et détectent les escroqueries sur place.

A propos de l'auteur

Zineb

Enseignante en lycée, je m'intéresse à tout ce qui touche aux nouvelles technologies. #teamMac sur PerlmOl (je ne me sépare d'ailleurs jamais non plus de mon Iphone).

Laisser un commentaire