Michel TANGA

Applications et sites web

Applications mobiles

Design UI/UX

Etude de projet

Michel TANGA

Applications et sites web

Applications mobiles

Design UI/UX

Etude de projet

Sur le sujet

Qu’est-ce qu’un certificat SSL – Définition et explication

13 juin 2022 Sécurité
Qu’est-ce qu’un certificat SSL – Définition et explication

Qu’est-ce qu’un certificat SSL ?

Un certificat SSL est un certificat numérique qui authentifie l’identité d’un site Web et permet une connexion cryptée. SSL signifie Secure Sockets Layer, un protocole de sécurité qui crée un lien crypté entre un serveur Web et un navigateur Web.

Les entreprises et les organisations doivent ajouter des certificats SSL à leurs sites Web pour sécuriser les transactions en ligne et préserver la confidentialité et la sécurité des informations des clients.

En bref : SSL sécurise les connexions Internet et empêche les criminels de lire ou de modifier les informations transférées entre deux systèmes. Lorsque vous voyez une icône de cadenas à côté de l’URL dans la barre d’adresse, cela signifie que SSL protège le site Web que vous visitez.

Depuis sa création il y a environ 25 ans, il y a eu plusieurs versions du protocole SSL, qui ont toutes rencontré à un moment donné des problèmes de sécurité. Une version remaniée et renommée a suivi – TLS (Transport Layer Security), qui est toujours utilisée aujourd’hui. Cependant, les initiales SSL sont restées, de sorte que la nouvelle version du protocole est toujours généralement appelée par l’ancien nom.

 

A lire aussi : Bien choisir un nom de domaine

 

Comment fonctionnent les certificats SSL ?

Comment fonctionnent les certificats SSL ?

SSL fonctionne en garantissant que toutes les données transférées entre les utilisateurs et les sites Web, ou entre deux systèmes, restent impossibles à lire. Il utilise des algorithmes de cryptage pour brouiller les données en transit, ce qui empêche les pirates de les lire lorsqu’elles sont envoyées sur la connexion. Ces données comprennent des informations potentiellement sensibles telles que des noms, des adresses, des numéros de carte de crédit ou d’autres détails financiers.

Le processus fonctionne comme ceci :

  1. Un navigateur ou un serveur tente de se connecter à un site Web (c’est-à-dire un serveur Web) sécurisé par SSL.
  2. Le navigateur ou le serveur demande au serveur Web de s’identifier.
  3. Le serveur Web envoie au navigateur ou au serveur une copie de son certificat SSL en réponse.
  4. Le navigateur ou le serveur vérifie s’il fait confiance au certificat SSL. Si c’est le cas, il le signale au serveur Web.
  5. Le serveur Web renvoie ensuite un accusé de réception signé numériquement pour démarrer une session cryptée SSL.
  6. Les données cryptées sont partagées entre le navigateur ou le serveur et le serveur Web.

Ce processus est parfois appelé « prise de contact SSL ». Bien que cela ressemble à un long processus, il se déroule en quelques millisecondes.

Lorsqu’un site Web est sécurisé par un certificat SSL, l’acronyme HTTPS (qui signifie HyperText Transfer Protocol Secure) apparaît dans l’URL. Sans certificat SSL, seules les lettres HTTP – c’est-à-dire sans le S pour Secure – apparaîtront. Une icône de cadenas s’affichera également dans la barre d’adresse URL. Cela signale la confiance et rassure les visiteurs du site Web.

Pour afficher les détails d’un certificat SSL, vous pouvez cliquer sur le symbole du cadenas situé dans la barre du navigateur. Les détails généralement inclus dans les certificats SSL incluent :

  • Le nom de domaine pour lequel le certificat a été émis
  • À quelle personne, organisation ou appareil il a été délivré
  • Quelle autorité de certification l’a émis
  • La signature numérique de l’autorité de certification
  • Sous-domaines associés
  • Date de délivrance du certificat
  • La date d’expiration du certificat
  • La clé publique (la clé privée n’est pas révélée)

 

A lire aussi : Bien choisir un nom de domaine

 

Pourquoi avez-vous besoin d’un certificat SSL

Les sites Web ont besoin de certificats SSL pour sécuriser les données des utilisateurs, vérifier la propriété du site Web, empêcher les attaquants de créer une fausse version du site et transmettre la confiance aux utilisateurs.

Si un site Web demande aux utilisateurs de se connecter, de saisir des informations personnelles telles que leurs numéros de carte de crédit ou de consulter des informations confidentielles telles que des prestations de santé ou des informations financières, il est essentiel de garder les données confidentielles. Les certificats SSL aident à garder les interactions en ligne privées et garantissent aux utilisateurs que le site Web est authentique et sûr pour partager des informations privées avec.

Plus pertinent pour les entreprises est le fait qu’un certificat SSL est requis pour une adresse Web HTTPS. HTTPS est la forme sécurisée de HTTP, ce qui signifie que le trafic des sites Web HTTPS est crypté par SSL. La plupart des navigateurs marquent les sites HTTP – ceux sans certificats SSL – comme « non sécurisés ». Cela envoie un signal clair aux utilisateurs que le site n’est peut-être pas digne de confiance, ce qui incite les entreprises qui ne l’ont pas encore fait à migrer vers HTTPS.

Un certificat SSL permet de sécuriser des informations telles que :

  • Identifiants de connexion
  • Transactions par carte de crédit ou informations de compte bancaire
  • Informations personnellement identifiables – telles que le nom complet, l’adresse, la date de naissance ou le numéro de téléphone
  • Documents juridiques et contrats
  • Dossiers médicaux
  • Renseignements exclusifs

Types de certificat SSL

Il existe différents types de certificats SSL avec différents niveaux de validation. Les six types principaux sont :

  1. Certificats à validation étendue (EV SSL)
  2. Certificats validés par l’organisation (OV SSL)
  3. Certificats validés par domaine (DV SSL)
  4. Certificats SSL génériques
  5. Certificats SSL multi-domaines (MDC)
  6. Certificats de communications unifiées (UCC)

Certificats à validation étendue (EV SSL)

Il s’agit du type de certificat SSL le plus élevé et le plus cher. Il a tendance à être utilisé pour les sites Web de haut niveau qui collectent des données et impliquent des paiements en ligne. Une fois installé, ce certificat SSL affiche le cadenas, HTTPS, le nom de l’entreprise et le pays dans la barre d’adresse du navigateur. L’affichage des informations sur le propriétaire du site Web dans la barre d’adresse permet de distinguer le site des sites malveillants. Pour configurer un certificat SSL EV, le propriétaire du site Web doit passer par un processus de vérification d’identité standardisé pour confirmer qu’il est légalement autorisé aux droits exclusifs sur le domaine.

Certificats validés par l’organisation (OV SSL)

Cette version du certificat SSL a un niveau d’assurance similaire au certificat SSL EV puisque pour en obtenir un; le propriétaire du site Web doit effectuer un processus de validation substantiel. Ce type de certificat affiche également les informations du propriétaire du site Web dans la barre d’adresse pour le distinguer des sites malveillants. Les certificats SSL OV ont tendance à être les deuxièmes plus chers (après les SSL EV), et leur objectif principal est de chiffrer les informations sensibles de l’utilisateur lors des transactions. Les sites Web commerciaux ou publics doivent installer un certificat SSL OV pour garantir que toute information client partagée reste confidentielle.

 

A lire aussi : Bien choisir un nom de domaine

 

Certificats validés par domaine (DV SSL)

Le processus de validation pour obtenir ce type de certificat SSL est minime et, par conséquent, les certificats SSL de validation de domaine offrent une assurance moindre et un cryptage minimal. Ils ont tendance à être utilisés pour des blogs ou des sites Web d’information, c’est-à-dire qui n’impliquent pas de collecte de données ou de paiements en ligne. Ce type de certificat SSL est l’un des moins chers et des plus rapides à obtenir. Le processus de validation exige uniquement que les propriétaires de sites Web prouvent la propriété du domaine en répondant à un e-mail ou à un appel téléphonique. La barre d’adresse du navigateur affiche uniquement HTTPS et un cadenas sans nom d’entreprise affiché.

Certificats SSL génériques

Les certificats SSL Wildcard vous permettent de sécuriser un domaine de base et un nombre illimité de sous-domaines sur un seul certificat. Si vous avez plusieurs sous-domaines à sécuriser, l’achat d’un certificat SSL Wildcard est beaucoup moins cher que l’achat de certificats SSL individuels pour chacun d’eux. Les certificats SSL génériques ont un astérisque * dans le cadre du nom commun, où l’astérisque représente tous les sous-domaines valides qui ont le même domaine de base. Par exemple, un seul certificat Wildcard pour *site Web peut être utilisé pour sécuriser :

  • paiements.votredomaine.com
  • login.votredomaine.com
  • mail.votredomaine.com
  • télécharger.votredomaine.com
  • n’importe quoi.votredomaine.com

Certificat SSL multi-domaine (MDC)

Un certificat multi-domaine peut être utilisé pour sécuriser de nombreux noms de domaine et/ou de sous-domaine. Cela inclut la combinaison de domaines et de sous-domaines complètement uniques avec différents TLD (domaines de premier niveau), à l’exception des domaines locaux/internes.

Par exemple:

  • www.exemple.com
  • exemple.org
  • mail.ce-domaine.net
  • exemple.anything.com.au
  • paiement.exemple.com
  • secure.example.org

Les certificats multi-domaines ne prennent pas en charge les sous-domaines par défaut. Si vous devez sécuriser à la fois www.example.com et example.com avec un certificat multi-domaine, les deux noms d’hôte doivent être spécifiés lors de l’obtention du certificat.

Certificat de communications unifiées (UCC)

Les certificats de communications unifiées (UCC) sont également considérés comme des certificats SSL multi-domaines. Les UCC ont été initialement conçus pour sécuriser les serveurs Microsoft Exchange et Live Communications. Aujourd’hui, tout propriétaire de site Web peut utiliser ces certificats pour permettre à plusieurs noms de domaine d’être sécurisés sur un seul certificat. Les certificats UCC sont validés par l’organisation et affichent un cadenas sur un navigateur. Les UCC peuvent être utilisés comme certificats SSL EV pour donner aux visiteurs du site Web la plus grande assurance via la barre d’adresse verte.

Il est essentiel de se familiariser avec les différents types de certificats SSL pour obtenir le bon type de certificat pour votre site Web.

A lire aussi : Bien choisir un nom de domaine

 

Comment obtenir un certificat SSL

Les certificats SSL peuvent être obtenus directement auprès d’une autorité de certification (CA). Les autorités de certification – parfois également appelées autorités de certification – émettent des millions de certificats SSL chaque année. Ils jouent un rôle essentiel dans le fonctionnement d’Internet et dans la manière dont des interactions transparentes et fiables peuvent se produire en ligne.

Le coût d’un certificat SSL peut aller de la gratuité à des centaines de dollars, selon le niveau de sécurité dont vous avez besoin. Une fois que vous avez décidé du type de certificat dont vous avez besoin, vous pouvez rechercher des émetteurs de certificats, qui proposent des SSL au niveau dont vous avez besoin.

L’obtention de votre SSL implique les étapes suivantes :

  • Préparez-vous en configurant votre serveur et en vous assurant que votre enregistrement WHOIS est mis à jour et correspond à ce que vous soumettez à l’autorité de certification (il doit indiquer le nom et l’adresse corrects de l’entreprise, etc.)
  • Génération d’une demande de signature de certificat (CSR) sur votre serveur. Il s’agit d’une action à laquelle votre société d’hébergement peut vous aider.
  • Soumettre ceci à l’autorité de certification pour valider les détails de votre domaine et de votre entreprise
  • Installer le certificat qu’ils fournissent une fois le processus terminé.

Une fois obtenu, vous devez configurer le certificat sur votre hébergeur ou sur vos propres serveurs si vous hébergez vous-même le site.

La rapidité avec laquelle vous recevez votre certificat dépend du type de certificat que vous obtenez et du fournisseur de certificat auprès duquel vous vous le procurez. Chaque niveau de validation prend une durée différente. Un simple certificat SSL de validation de domaine peut être émis quelques minutes après avoir été commandé, tandis que la validation étendue peut prendre jusqu’à une semaine complète.

 

Un certificat SSL peut-il être utilisé sur plusieurs serveurs ?

Il est possible d’utiliser un certificat SSL pour plusieurs domaines sur le même serveur. Selon le fournisseur, vous pouvez également utiliser un certificat SSL sur plusieurs serveurs. Cela est dû aux certificats SSL multi-domaines, dont nous avons discuté ci-dessus.

Comme leur nom l’indique, les certificats SSL multi-domaines fonctionnent avec plusieurs domaines. Le numéro est laissé à l’autorité de certification émettrice spécifique. Un certificat SSL multi-domaine est différent d’un certificat SSL à domaine unique, qui – encore une fois, comme son nom l’indique – est conçu pour sécuriser un domaine unique.

Pour rendre les choses confuses, vous pouvez entendre des certificats SSL multi-domaines, également appelés certificats SAN. SAN est l’acronyme de Subject Alternative Name. Chaque certificat multi-domaine comporte des champs supplémentaires (c’est-à-dire, des SAN), que vous pouvez utiliser pour répertorier les domaines supplémentaires que vous souhaitez couvrir sous un seul certificat.

Les certificats de communications unifiées (UCC) et les certificats SSL Wildcard permettent également plusieurs domaines et, dans ce dernier cas, un nombre illimité de sous-domaines.

Que se passe-t-il lorsqu’un certificat SSL expire ?

Les certificats SSL expirent ; ils ne durent pas éternellement. Le Certificate Authority/Browser Forum , qui sert d’organisme de réglementation de facto pour l’industrie SSL, déclare que les certificats SSL ne doivent pas avoir une durée de vie supérieure à 27 mois . Cela signifie essentiellement deux ans plus vous pouvez reporter jusqu’à trois mois si vous renouvelez avec le temps restant sur votre certificat SSL précédent.

Les certificats SSL expirent car, comme pour toute forme d’authentification, les informations doivent être périodiquement revalidées pour vérifier qu’elles sont toujours exactes. Les choses changent sur Internet, car les entreprises et aussi les sites Web sont achetés et vendus. Au fur et à mesure qu’ils changent de mains, les informations relatives aux certificats SSL changent également. Le but de la période d’expiration est de garantir que les informations utilisées pour authentifier les serveurs et les organisations sont aussi à jour et exactes que possible.

Auparavant, les certificats SSL pouvaient être délivrés pour une durée maximale de cinq ans, qui a ensuite été réduite à trois ans et plus récemment à deux ans plus trois mois supplémentaires potentiels. En 2020, Google, Apple et Mozilla ont annoncé qu’ils appliqueraient des certificats SSL d’un an , bien que cette proposition ait été rejetée par le Certificate Authority Browser Forum. Cela a pris effet à partir de septembre 2020. Il est possible qu’à l’avenir, la durée de validité se réduise encore davantage.

Lorsqu’un certificat SSL expire, il rend le site en question inaccessible. Lorsque le navigateur d’un utilisateur arrive sur un site Web, il vérifie la validité du certificat SSL en quelques millisecondes (dans le cadre de la poignée de main SSL). Si le certificat SSL a expiré, les visiteurs recevront un message à l’effet de — « Ce site n’est pas sécurisé. Risque potentiel à venir ».

Bien que les utilisateurs aient la possibilité de continuer, il n’est pas conseillé de le faire, compte tenu des risques de cybersécurité impliqués, y compris la possibilité de logiciels malveillants . Cela aura un impact significatif sur les taux de rebond pour les propriétaires de sites Web, car les utilisateurs cliquent rapidement sur la page d’accueil et vont ailleurs.

Rester au courant de l’expiration des certificats SSL présente un défi pour les grandes entreprises. Alors que les petites et moyennes entreprises (PME) peuvent avoir un ou seulement quelques certificats à gérer, les organisations au niveau de l’entreprise qui effectuent potentiellement des transactions sur tous les marchés – avec de nombreux sites Web et réseaux – en auront beaucoup plus. À ce niveau, autoriser l’expiration d’un certificat SSL est généralement le résultat d’un oubli plutôt que d’une incompétence. La meilleure façon pour les grandes entreprises de rester informées de l’expiration de leurs certificats SSL consiste à utiliser une plate-forme de gestion de certificats. Il existe différents produits sur le marché, que vous pouvez trouver à l’aide d’une recherche en ligne. Ceux-ci permettent aux entreprises de voir et de gérer les certificats numériques sur l’ensemble de leur infrastructure. Si vous utilisez l’une de ces plateformes, il est important de vous connecter régulièrement afin de savoir quand les renouvellements sont dus.

Si vous laissez un certificat expirer, le certificat devient invalide et vous ne pourrez plus exécuter de transactions sécurisées sur votre site Web. L’autorité de certification (CA) vous demandera de renouveler votre certificat SSL avant la date d’expiration.

Quelle que soit l’autorité de certification ou le service SSL que vous utilisez pour obtenir vos certificats SSL, vous enverrez des notifications d’expiration à des intervalles définis, généralement à partir de 90 jours. Essayez de vous assurer que ces rappels sont envoyés à une liste de diffusion par e-mail, plutôt qu’à une seule personne, qui peut avoir quitté l’entreprise ou changé de poste au moment où le rappel est envoyé. Réfléchissez aux parties prenantes de votre entreprise qui figurent sur cette liste de distribution pour vous assurer que les bonnes personnes voient les rappels au bon moment.

Comment savoir si un site possède un certificat SSL

Le moyen le plus simple de voir si un site possède un certificat SSL est de regarder la barre d’adresse de votre navigateur :

  • Si l’URL commence par HTTPS au lieu de HTTP, cela signifie que le site est sécurisé à l’aide d’un certificat SSL.
  • Les sites sécurisés affichent un emblème de cadenas fermé, sur lequel vous pouvez cliquer pour voir les détails de sécurité – les sites les plus fiables auront des cadenas verts ou des barres d’adresse.
  • Les navigateurs affichent également des signes avant-coureurs lorsqu’une connexion n’est pas sécurisée, comme un cadenas rouge, un cadenas qui n’est pas fermé, une ligne passant par l’adresse du site Web ou un triangle d’avertissement au-dessus de l’emblème du cadenas.

Comment garantir la sécurité de votre session en ligne

Ne soumettez vos données personnelles et vos détails de paiement en ligne qu’à des sites Web avec des certificats EV ou OV . Les certificats DV ne conviennent pas aux sites Web de commerce électronique. Vous pouvez savoir si un site possède un certificat EV ou OV en consultant la barre d’adresse. Pour un SSL EV, le nom de l’organisation sera visible dans la barre d’adresse elle-même. Pour un SSL OV, vous pouvez voir les détails du nom de l’organisation en cliquant sur l’icône du cadenas. Pour un DV SSL, seule l’icône du cadenas est visible.

Lisez la politique de confidentialité du site . Cela vous permet de voir comment vos données seront utilisées. Les entreprises légitimes seront transparentes sur la manière dont elles collectent vos données et sur ce qu’elles en font.

Faites attention aux signaux ou indicateurs de confiance sur les sites Web .
En plus des certificats SSL, ceux-ci incluent des logos ou des badges réputés qui montrent que le site Web répond à des normes de sécurité spécifiques. D’autres signes qui peuvent vous aider à déterminer si un site est réel ou non incluent la vérification d’une adresse physique et d’un numéro de téléphone, la vérification de leur politique de retour ou de remboursement et la vérification que les prix sont crédibles et pas trop beaux pour être vrais.

Restez attentif aux escroqueries par hameçonnage .
Parfois, les cyber-attaquants créent des sites Web qui imitent des sites Web existants pour inciter les gens à acheter quelque chose ou à se connecter à leur site de phishing. Il est possible qu’un site de phishing obtienne un certificat SSL et crypte ainsi tout le trafic qui circule entre vous et lui. Une proportion croissante d’escroqueries par hameçonnage se produit sur les sites HTTPS, ce qui trompe les utilisateurs qui se sentent rassurés par la présence de l’icône du cadenas.

Pour éviter ce genre d’attaques :

  • Examinez toujours le domaine du site sur lequel vous vous trouvez et assurez-vous qu’il est correctement orthographié. L’URL d’un faux site peut différer d’un seul caractère – par exemple, amaz0n.com au lieu de amazon.com. En cas de doute, tapez le domaine directement dans votre navigateur pour vous assurer que vous vous connectez au site Web que vous avez l’intention de visiter.
  • N’entrez jamais d’identifiants, de mots de passe, d’identifiants bancaires ou de toute autre information personnelle sur le site à moins d’être sûr de son authenticité.
  • Considérez toujours ce qu’un site particulier propose, s’il semble suspect et si vous avez vraiment besoin de vous y inscrire.
  • Assurez-vous que vos appareils sont bien protégés :  Kaspersky Internet Security  vérifie les URL par rapport à une vaste base de données de sites de phishing et détecte les escroqueries, quelle que soit la « sécurité » de la ressource.

Les risques de cybersécurité continuent d’évoluer, mais comprendre les types de certificats SSL à rechercher et comment distinguer un site sûr d’un site potentiellement dangereux aidera les internautes à éviter les escroqueries et à protéger leurs données personnelles contre les cybercriminels.

Articles Liés:

Taggs:
4 commentaires
  • Avatar
    Wilbur 10:10 23 juin 2022 Répondre

    I am truly happy to read this blog posts which includes plenty of valuable data, thanks for providing such data.

    Feel free to surf to my blog; sepatu safety shoes

    • Michel TANGA
      Michel TANGA 5:48 29 juin 2022 Répondre

      Hello Wilbur I find your shop well done. I sent you an email about my offers. I think this might interest you.

  • Avatar
    Will 3:55 29 juin 2022 Répondre

    Ηello my friend! I want to say that tһis aгticle is awesome, greɑt written and cоme with almοst all vital infos.
    I would like to see more posts like this .

    Heгe is my web blog militia

    • Michel TANGA
      Michel TANGA 5:49 29 juin 2022 Répondre

      Hello will I find your shop well done. I sent you an email about my offers. I think this might interest you.

Réagir