Protocole HTTPS et certificats SSL pour les sites Web et le commerce électronique

Le protocole HTTPS et les certificats SSL offrent aux utilisateurs qui naviguent sur Internet ou font du commerce électronique le plus haut degré de sécurité, tout en garantissant l'intégrité des données échangées. La sécurité en ligne a toujours été un sujet brûlant, comme le système sophistiqué de dommages par hameçonnage de Gmail ou les événements récents autour des logiciels malveillants de la pyramide des yeux, et ont mis en évidence le besoin de sécurité et de confidentialité des données des utilisateurs.

Le protocole HTTPS va devenir la norme pour le web

Depuis janvier 2017, le navigateur Chrome de Google marque comme "dangereuses" les pages qui hébergent des formulaires qui transmettent des données via le protocole http (potentiellement dangereux). Pour aider à rendre le web plus sûr, la société Google promeut le concept de connexion sécurisée, notamment lorsque les utilisateurs peuvent saisir des données sensibles telles que des mots de passe, des données de carte de crédit ou, d'une manière générale, toute donnée personnelle. Les transactions bancaires ou les opérations de paiement se font depuis longtemps via des connexions sécurisées. Une fois que vous avez atteint l'étape de paiement d'un achat en ligne, la page où les détails de PayPal ou de la carte de crédit sont insérés "physiquement" est toujours "ailleurs", généralement sur PayPal ou sur le serveur PayPal. banque qui s'occupera de la transaction.

Quels sont les types de certificats pour garantir des communications sécurisées via le protocole HTTPS?

Typiquement, on peut identifier 3 variantes de certificats SSL qui garantissent, à différents niveaux, la sécurité et la correspondance du nom de domaine avec l'identité de l'entreprise qui l'utilise.

Validation de domaine (DV), c'est-à-dire la validation du nom de domaine. Il s'agit d'une procédure rapide et semi-automatique. En pratique, un certificat SSL est délivré qui garantit la propriété du nom de domaine du demandeur et le cryptage des données échangées. Pour ces types de certificats SSL, la validation de domaine se fait par e-mail ou en ajoutant un enregistrement DNS à votre domaine. Ce qui est garanti dans la mise en œuvre de ce certificat est la sécurité des données échangées entre le site internet et le navigateur utilisé par l'utilisateur (protocole https). Il représente notamment un premier pas vers la sécurisation des informations échangées par des sites ne traitant pas de données sensibles, comme les sites institutionnels ou les blogs. Le certificat est auto-validant, grâce à la possibilité d'accéder physiquement à l'espace web connecté au domaine auquel appartient le certificat SSL. La validation d'organisation (OV) est connectée. Il représente le "niveau minimum" de certification de contenu pour toutes les activités commerciales en ligne. En plus d'assurer l'échange crypté des données entre les serveurs et les navigateurs, il garantit la propriété du domaine à ceux qui en demandent la délivrance.

Une autorité de certification (CA) vérifie la correspondance entre le nom de domaine et la propriété du domaine où le certificat SSL est effectivement implémenté. Les CA sont des entreprises qui sont considérées comme des "super parties" à l'échelle mondiale et agissent comme garantie entre le certificat, le site Web et le navigateur utilisé pour naviguer sur le site. Dans ce cas, en effet, le certificat SSL qui garantit la transmission d'informations dans des connexions cryptées est également associé à certaines informations sur l'entreprise "derrière" le domaine/commerce électronique.

Pour les certificats SSL de validation d'organisation (OV), l'autorité de certification validera la propriété du nom de domaine et certaines données publiquement disponibles sur la personne demandant le certificat. Ce type de certificat est fortement recommandé pour tous les sites Web où des transactions économiques sont effectuées ou où des données personnelles sensibles sont demandées. Alors que pour les certificats de type DV et OC, les phases de demande et de validation sont rapides et semi-automatisées, dans le cas d'une validation étendue, l'autorité de certification (AC) doit vérifier l'existence réelle de l'entreprise demandant le certificat SSL. Une fois l'existence de l'entreprise, la propriété du domaine et la propriété de l'espace web où le certificat SSL sera implémenté vérifiées, l'utilisateur qui se connecte au site certifié recevra non seulement la confirmation de la sécurité de la connexion, mais également des informations relatives à l'identité de la société hébergeant le site internet en question. L'activation de ce certificat prend généralement 7 à 10 jours, mais il vous permet d'obtenir la fameuse "barre verte" dans le champ d'adresse de divers navigateurs. Les sites de banque en ligne, par exemple, utilisent des certificats SSL de type EV.

Étendre la sécurité

Google met l'accent sur la sécurité des données transmises en ligne, qui ne se limitent plus aux seules données de paiement, mais également aux données personnelles.

Si la page qui héberge le formulaire à remplir ne dispose pas d'une connexion sécurisée, le navigateur marquera la page comme "potentiellement dangereuse". Il n'est pas nécessaire de réfléchir aux conséquences de ce type de communication, pour tous ces sites qui "vivent" des contacts (leads) et développent leur activité en ligne, amenant peut-être du trafic vers les pages cibles grâce à l'utilisation de campagnes SEM ou email marketing. Certes, Chrome n'est pas le seul navigateur à signaler des pages potentiellement non sécurisées, et il est donc conseillé de mettre en place (ou faire mettre en place) un certificat SSL valide signé par une autorité de certification reconnue le plus tôt possible, afin qu'elles puissent être établies. connexions sécurisées via HTTPS.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *