Le protocole de sécurisation des échanges SSL, Secure Sockets Layer, permet de mettre en place une connexion sécurisée entre un site internet et ses visiteurs. L’obtention et l’installation d’un certificat numérique et le chiffrement des données échangées sont les deux mécanismes sur lesquels reposent la sécurisation.
L’utilisation de cette technologie permet d’instaurer une relation de confiance entre un site internet et les internautes. Le certificat SSL assure également aux visiteurs qu’ils consultent bien le site internet d’une entreprise ou d’une marque. De plus, si un achat doit être effectué sur le site ou des informations personnelles sont envoyées, l’internaute aura la garantie d’une transmission sécurisée.
L’utilisation de la technologie SSL par un site est immédiatement identifiable par l’internaute avec la présence dans son navigateur d’un verrou dans la barre d’adresse à côté du nom du site internet. Les certificats de plus haut niveau permettent même le passage en vert de la barre d’adresse.
Un site internet ne tire pas seulement avantage de la relation de confiance établie avec les internautes. Google a annoncé récemment privilégier les sites utilisant le SSL dans le classement des pages de son moteur de recherche. Les sites les plus favorisés par cette orientation « HTTPS » sont les e-commerces.
Le problème reste quand même le prix des certificats SSL car leur coût est parfois plus élevé que le coût de l’hébergement même s’il existe des solutions moins chères et même gratuites comme nous le verrons par la suite.
Les différents certificats SSL
Il existe aujourd’hui trois types de certificats SSL. Ils sont tous délivrés par des Autorités de Certification, désignées souvent par leur acronyme anglophone, CA pour Certificate Authority.
Les autorités de certifications vérifient (en fonction du type de certificat à délivrer avec plus ou moins de profondeur) l’identité d’une organisation. Cet audit, combiné au chiffrement des données échangées, garantissent aux internautes un haut niveau de sécurité. Les vérifications effectuées par les CA ont un coût. L’obtention d’un certificat SSL est par conséquent payant, à une exception près.
Le certificat SSL à validation de domaine (DV)
L’autorité de certification vérifie que l’organisation possède le droit exclusif d’utilisation du nom de domaine. Le certificat délivré est celui présentant le moins de garanties pour l’internaute. Il est le seul à pouvoir être obtenu gratuitement grâce au projet Let’s encrypt.
Le certificat SSL à validation de l’organisation (OV)
Les certificats SSL à validation de l’organisation sont délivrés par les autorités de certification lors qu’une entreprise possède le droit exclusif d’utilisation du nom de domaine, que son existence légale est vérifiée et qu’une validation téléphonique du contact administratif a été effectuée avec succès.
Le certificat SSL à validation étendue (EV)
Ce type de certificat assure à l’internaute un très haut niveau d’authentification du site internet. L’autorité de certification effectue un audit complet de l’organisation. La CA vérifie que le demandeur possède le droit exclusif d’utilisation du nom de domaine, son existence légale, physique et opérationnelle et également la validité des informations transmises. Cet audit poussé permet entres autres de prévenir des attaques de type phishing, ou filoutage en français.
Si le certificat SSL à validation étendue est celui assurant le plus haut niveau de validation, il est également le plus cher. Il est identifiable très rapidement par l’internaute. La barre d’adresse des navigateurs passe en vert quand un site dispose d’un tel certificat.
Ce type de certificat est le plus indiqué lorsque l’on souhaite développer une boutique en ligne. L’utilisateur dispose en effet du plus haut niveau de sécurisation possible et est informé visuellement avec son navigateur de l’existence physique de la société avec laquelle il va traiter.
Protéger les sous-domaines et ses services
Si vous souhaitez protéger l’ensemble des sous-domaines d’un site, vous devez vous assurer que l’autorité de certification propose un certificat dit WildCard. Il est possible avec ce dernier de sécuriser des services comme un serveur email.
Il existe également un type de certificat supportant le multi-domaines. Il est réservé aux entreprises de tailles importantes puisqu’il est très onéreux.
Certificats SSL payants ou gratuits
Un certificat SSL coûte en général une centaine d’euros par an. Le principe est simple : plus le certificat SSL coûte cher, plus la protection est importante car la vérification faite est importante.
Certains hébergeurs offrent un certificat SSL pendant la première année d’un hébergement ou d’un nom de domaine. Cela atténue donc le prix de quelque chose qui reste cher quand on a un site qui démarre ou qui n’a pas vocation à gagner de l’argent. Il existe aussi des certificats SSL gratuits comme celui proposé par Let’s Encrypt. Il s’agit d’un projet open source financé par de grandes entreprises. Son installation demande des connaissances techniques et surtout le pouvoir de modifier la configuration de son serveur web (mais il est parfois proposé automatiquement par certains hébergeurs). Ceci dit, le niveau d’authentification de Let’s Encrypt est le plus sommaire dans le monde des certificats SSL puisqu’il est à validation de domaine (DV).
S’il peut être utile en phase de développement ou juste pour sécuriser des données échangées entre un serveur et ses visiteurs, un certificat SSL gratuit n’apporte en réalité aucune protection sérieuse puisqu’il ne vérifie notamment pas l’organisme ou la société qui publie le site (niveau OV du certificat) ou d’autres informations de niveau supérieur.
Par ailleurs, en cas de problème, le support qui existe dans les certificats SSL payants n’existe quasiment pas.
Par conséquent, même si l’offre est alléchante, il n’est pas très utile ou intéressant d’utiliser actuellement un certificat SSL gratuit car cela n’apporte pas vraiment de valeur ajoutée au site ou aux échanges de ce dernier avec l’internaute.
Cependant, les certificats SSL payants ne se valent pas tous ! Non seulement au niveau de la protection comme on l’a vu ci-avant mais aussi au niveau des organismes qui les délivrent.
En effet, les autorités de certifications n’ont malheureusement pas toutes une réputation irréprochable. Google et Microsoft ont pointé du doigt à plusieurs reprises des failles chez certaines autorités de certification. Avant d’acquérir un certificat SSL, il est recommandé de se renseigner sur l’autorité de certification de son choix. Des recherches dans un moteur de recherche permettent rapidement de découvrir si une CA a eu des difficultés par le passé.
Comment installer un certificat SSL
Si votre site internet est hébergé sur un serveur mutualisé vous devez contacter votre hébergeur afin de découvrir quelles solutions il propose pour la mise en place d’un certificat.
Si votre site est hébergé sur un serveur dédié, vous êtes en charge d’installer vous-même votre certificat SSL et d’adapter la configuration de votre serveur web afin de chiffrer les communications. Les utilisateurs d’Apache devront par exemple installer le mod_ssl, ouvrir un port sur serveur et modifier le vhost de leur site. De plus, le certificat SSL devra être installé sur le serveur.
Les certificats SSL doivent être renouvelés. Il faut être très attentif à la date d’expiration. Un certificat expiré affichera en effet dans le navigateur de l’internaute un message l’informant de l’existence d’une faille de sécurité pour le site consulté !
Attention : passer un site en SSL ne nécessite pas simplement d’acquérir un certificat et de l’installer. Il faut ensuite par exemple penser à changer toutes les urls internes qui renvoyaient vers du http:// et doivent renvoyer alors vers du https://.