Un certificat SSL est un certificat électronique qui authentifie l'identité d'un site Web et permet une connexion chiffrée. SSL signifie « Secure Sockets Layer », c'est un protocole de sécurité qui crée un lien chiffré entre un serveur Web et un navigateur Web.
Les entreprises doivent ajouter des certificats SSL à leur site Web pour sécuriser les transactions en ligne et sécuriser la confidentialité des informations client.
Pour résumer… Le SSL sécurise les connexions Internet et empêche les criminels de consulter ou de modifier les informations échangées entre deux systèmes. Lorsque vous voyez un petit cadenas à côté de l'URL dans la barre d'adresse, cela veut dire que le SSL protège le site Web que vous visitez.
Depuis son arrivée il y a 25 ans, il y a eu plusieurs versions du protocole SSL, qui ont toutes eu à un moment donné des problèmes de sécurité. Une toute nouvelle version renommée (TLS ou Transport Layer Security) a suivi et est toujours utilisée aujourd'hui. Ce sont pourtant les initiales SSL qui sont restées, donc la nouvelle version du protocole est généralement appelée par son ancien nom.
Le SSL s'assure que les données transférées entre les utilisateurs et les sites Web, ou entre deux systèmes, sont impossibles à déchiffrer. Il utilise des algorithmes de chiffrement pour brouiller les données pendant le transit, ce qui empêche les cybercriminels de les lire pendant leur envoi. Ces données incluent des informations potentiellement sensibles comme des noms, des adresses, des numéros de carte de crédit ou d'autres informations financières.
Voici comment se passe le processus :
Ce processus est parfois appelé « SSL handshake » ou « négociation SSL ». Cette procédure peut sembler compliquée, mais elle se fait en quelques millisecondes.
Quand un site Web est sécurisé par un certificat SSL, l'acronyme HTTPS (HyperText Transfer Protocol Secure) apparaît dans l'URL. Sans certificat SSL, seules les lettres HTTP (sans le S de « Secure ») s'affichent. Une icône de cadenas s'affichera aussi dans la barre d'adresse. Ces signes sont là pour vous signaler que vous pouvez faire confiance au site Web que vous visitez.
Pour consulter les détails d'un certificat SSL, vous pouvez cliquer sur le symbole du cadenas situé dans la barre du navigateur. Ces certificats SSL incluent généralement :
Les sites Web ont besoin de certificats SSL pour sécuriser les données des utilisateurs, vérifier qui est le propriétaire du site Web, empêcher les criminels de créer une version frauduleuse du site et obtenir la confiance des utilisateurs.
Si un site Web demande aux utilisateurs de s'inscrire, de saisir des informations personnelles comme des numéros de carte de crédit ou qu'il demande à consulter des informations confidentielles comme une assurance maladie ou des informations financières, alors il est essentiel d'assurer la confidentialité de ces données. Les certificats SSL assurent la confidentialité des interactions en ligne et l'authenticité du site Web pour que les utilisateurs puissent partager leurs informations privées en toute confiance.
Pour les entreprises, il faut savoir qu'un certificat SSL est requis pour obtenir une adresse Web HTTPS. HTTPS est la forme sécurisée d'une adresse HTTP, cela signifie que les sites Web en HTTPS ont un trafic protégé par le protocole SSL. La plupart des navigateurs signalent les sites HTTP (ceux qui n'ont pas de certificat SSL) comme étant « non sécurisés ». C'est une façon claire de signaler aux utilisateurs que le site peut être dangereux, et cela pousse les entreprises à migrer vers une adresse HTTPS.
Un certificat SSL permet de sécuriser les informations suivantes :
Il existe différents types de certificats SSL avec différents niveaux de validation. Voici les six principaux :
Les certificats SSL génériques vous permettent de sécuriser un domaine de base et des sous-domaines illimités avec un seul certificat. Si vous avez plusieurs sous-domaines, l'achat d'un certificat SSL générique est bien moins cher que d'acheter des certificats SSL individuels pour chacun d'entre eux. Les certificats SSL génériques possèdent un astérisque * dans le nom commun qui représente tous les sous-domaines valides qui possèdent le même domaine de base. Par exemple, le même certificat générique pour un site Web peut servir à sécuriser :
Un certificat pour domaines multiples peut servir à sécuriser plusieurs domaines et/ou noms de sous-domaines. Cela inclut la combinaison de domaines uniques et de sous-domaines avec des domaines de premier niveau (Top-Level Domain ou TLD) différents, à l'exception des domaines locaux/internes.
Par exemple :
Les certificats pour domaines multiples ne prennent pas en charge automatiquement les sous-domaines. Si vous devez sécuriser www.exemple.com and exemple.com avec un seul certificat pour domaines multiples, vous devez mentionner les deux noms d'hôte lorsque vous obtenez le certificat.
Les certificats pour les communications unifiées (UCC) sont également considérés comme des certificats SSL pour domaines multiples. Les UCC ont d'abord été créés pour sécuriser les serveurs Microsoft Exchange et Live Communications. De nos jours, n'importe quel propriétaire de site Web peut utiliser ces certificats pour sécuriser plusieurs noms de domaines avec le même certificat. Les certificats UCC sont validés au niveau structurel et affichent un cadenas dans les navigateurs. Les UCC peuvent être utilisés comme les certificats EV SSL pour rassurer les visiteurs du site Web qui verront une barre d'adresse verte.
Il est crucial de bien connaître les différents types de certificats SSL pour obtenir celui qui conviendra à votre site Web.
Les certificats SSL peuvent s'obtenir directement auprès d'une Autorité de certification. Les Autorités de certification (Certificate Authorities ou CA) émettent des millions de certificats SSL chaque année. Elles jouent un rôle essentiel dans le fonctionnement d'Internet et assurent des interactions transparentes et fiables en ligne.
Obtenir un certificat SSL peut être gratuit ou coûter jusqu'à plusieurs centaines de dollars, selon le niveau de sécurité dont vous avez besoin. Une fois que vous avez choisi le type de certificat qu'il vous faut, vous pouvez chercher des fournisseurs de certificats qui proposent les niveaux de SSL qui vous correspondent.
Voici les étapes d'obtention d'un SSL :
Une fois obtenu, vous devez configurer le certificat sur votre hôte Web ou sur vos propres serveurs si vous hébergez le site Web vous-même.
La vitesse d'obtention du certificat dépend du type que vous demandez et du fournisseur que vous utilisez. Chaque niveau de validation nécessite une durée différente. Un simple certificat SSL à validation de domaine peut arriver quelques minutes après votre achat, tandis qu'un certificat à validation étendue peut prendre jusqu'à une semaine.
Il est possible d'utiliser un certificat SSL pour plusieurs domaines sur le même serveur. Selon le revendeur, vous pouvez aussi utiliser le même certificat SSL sur plusieurs serveurs. C'est possible grâce aux certificats SSL pour domaines multiples dont nous avons parlé précédemment.
Comme son nom l'indique, le certificat SSL pour domaines multiples fonctionne pour plusieurs domaines. Le nombre de domaines dépend de l'Autorité de certification. Un certificat SSL pour domaines multiples diffère d'un certificat SSL à domaine unique qui, comme son nom l'indique également, est conçu pour sécuriser un seul domaine.
Pour compliquer un peu les choses, les certificats SSL pour domaines multiples sont parfois appelés certificats SAN. SAN (Subject Alternative Name) signifie « nom alternatif du serveur ». Tous les certificats pour domaines multiples possèdent des champs supplémentaires (c'est-à-dire les SAN) qui servent à lister les domaines supplémentaires que vous souhaitez sécuriser avec le même certificat.
Les certificats pour communications unifiées (UCC) et les certificats génériques couvrent également plusieurs domaines et, pour ce dernier, un nombre illimité de sous-domaines.
Les certificats SSL ont une durée limitée. Le Certificate Authority/Browser Forum, qui sert d'organisme de réglementation au secteur SSL, déclare que les certificats SSL doivent avoir une durée de vie ne dépassant pas 27 mois. Les certificats peuvent donc durer deux ans et vous pouvez reporter jusqu'à trois mois si vous renouvelez la période restante sur votre certificat SSL précédent.
Les certificats SSL doivent expirer car, comme toutes les formes d'authentification, les informations doivent être revérifiées périodiquement pour assurer leur validité. Internet est toujours en mouvement, et c'est aussi le cas des entreprises et des sites Web qui changent de mains. Lorsqu'ils changent de propriétaire, les informations détenues par les certificats SSL changent aussi. Le but de cette période d'expiration est de veiller à ce que les informations utilisées pour authentifier les serveurs et les entreprises soient à jour et aussi précises que possible.
Auparavant, les certificats SSL pouvaient durer jusqu'à cinq ans, période qui a été réduite à trois, puis plus récemment à deux ans avec potentiellement trois mois supplémentaires. En 2020, Google, Apple et Mozilla ont annoncé qu'ils mettraient en place des certificats SSL d'un an, malgré le refus de la proposition par le Certificate Authority Browser Forum. Cette mesure a pris effet en septembre 2020. Il est possible qu'à l'avenir, la période de validité soit encore réduite.
Lorsqu'un certificat SSL arrive à expiration, le site concerné devient inaccessible. Lorsque le navigateur d'un utilisateur arrive sur un site Web, il vérifie la validité du certificat SSL en quelques millisecondes (c'est la partie négociation dont nous avons parlé précédemment). Si le certificat SSL a expiré, les visiteurs reçoivent ce genre de message : « Ce site n'est pas sécurisé. Risque probable de sécurité ».
Si les utilisateurs peuvent choisir d'accéder quand même à la page, cela n'est pas recommandé compte tenu des risques de cybersécurité potentiels, comme la présence de programmes malveillants. Cela augmente considérablement les taux de rebond pour les propriétaires de site Web, car les utilisateurs quittent rapidement la page d'accueil du site signalé.
Être au courant des dates d'expiration des certificats SSL est un problème pour les plus grandes entreprises. Si les petites ou moyennes entreprises (PME) ont un nombre mineur de certificats à gérer, les plus grandes organisations qui effectuent potentiellement des transactions sur plusieurs marchés (avec de nombreux sites Web et réseaux) en ont beaucoup plus. À un tel niveau, laisser un certificat SSL arriver à sa date d'expiration relève plutôt de l'oubli que de l'incompétence. Pour les grandes entreprises, le meilleur moyen de suivre l'expiration de leurs certificats SSL est d'utiliser une plateforme de gestion des certificats. Il existe toute une variété de produits disponibles sur le marché que vous pouvez trouver en ligne. Ces plateformes permettent aux entreprises de consulter et de gérer les certificats numériques de toute leur infrastructure. Si vous les utilisez, vous devez vous connecter régulièrement pour prendre connaissance des dates de renouvellement.
Si vous laissez expirer un certificat, celui-ci sera alors invalide et vous ne pourrez plus exécuter de transactions sécurisées sur votre site. L'Autorité de certification (CA) vous demandera de renouveler votre certificat SSL avant la date d'expiration.
L'Autorité de certification ou le service SSL qui vous a fourni vos certificats vous enverra des notifications à des intervalles prédéfinis, normalement 90 jours à l'avance. Vérifiez que ces rappels sont envoyés à une liste de diffusion par courrier électronique plutôt qu'à une personne en particulier, qui a peut-être quitté l'entreprise ou changé de poste entre-temps. Réfléchissez aux parties prenantes de votre entreprise qui font partie de cette liste de distribution et assurez-vous que les bonnes personnes reçoivent les rappels au bon moment.
Pour vérifier qu'un site possède un certificat SSL, le plus simple est de regarder la barre d'adresse de votre navigateur.
N'envoyez vos données personnelles et vos informations de paiement qu'à des sites pourvus de certificats EV ou OV. Les certificats DV ne conviennent pas aux sites de e-commerce. Vous saurez si un site possède un certificat EV ou OV en regardant la barre d'adresse. Pour un SSL EV, le nom de l'organisation sera visible dans la barre d'adresse. Pour un SSL OV, vous verrez le nom de l'organisation en cliquant sur le cadenas. Pour un SSL DV, seul le cadenas sera visible.
Lisez la déclaration de confidentialité du site Web. Cela vous permet de savoir comment vos données seront utilisées. Les entreprises légitimes seront transparentes sur la collecte des données et sur leur utilisation.
Repérez des signes ou des indicateurs de confiance sur les sites Web.
En plus des certificats SSL, vous pouvez voir des logos ou des badges de réputation qui montrent que le site Web répond à des normes de sécurité spécifiques. Pour savoir si un site est légitime, vous pouvez chercher une adresse postale et un numéro de téléphone, consulter sa politique de retour et de remboursement, et vérifier que les prix sont crédibles.
Faites attention aux tentatives de phishing.
Les cybercriminels créent parfois des sites qui imitent des sites qui existent bel et bien pour pousser les gens à acheter quelque chose ou à se connecter à leur site de phishing. Un site de phishing peut obtenir un certificat SSL et peut donc chiffrer tout le trafic passant entre vous et lui. De plus en plus de tentatives de phishing se passent sur des sites HTTPS, car les utilisateurs se sentent en sécurité lorsqu'ils voient l'icône du cadenas.
Pour éviter ce type d'attaque :
Les risques de cybersécurité évoluent sans cesse, mais comprendre les types de certificats SSL et comment faire la différence entre un site sécurisé et un site potentiellement dangereux aidera les internautes à éviter les escroqueries et à protéger leurs données personnelles contre les cybercriminels.
Articles connexes :