Le protocole HTTPS et des certificats SSL délivrent aux utilisateurs qui naviguent sur internet ou font du commerce électronique le plus haut degré de sécurité, tout en garantissant l’intégrité des données échangées. La sécurité en ligne a toujours été un sujet d’actualité tels que le système sophistiqué de dommages phishingai de Gmail, ou les événements récents autour des logiciels malveillants eye-pyramid, et ont mis en avant le besoin de sécurité et de confidentialité de données d’utilisateurs.

Le protocole HTTPS deviendra la norme pour le web

Depuis janvier 2017, le navigateur Chrome de Google signale comme “dangereuses” les pages hébergeant des formulaires qui transmettent des données via le protocole http (potentiellement dangereuses). Afin de contribuer à rendre le web plus sûr, la compagnie Google met en avant le concept de connexion sécurisée, en particulier lorsque les utilisateurs peuvent saisir des données sensibles telles que des mots de passe, des données de carte de crédit ou, plus généralement, toutes données personnelles. Les transactions bancaires ou les opérations de paiement sont effectuées sur des connexions sécurisées depuis longtemps. Une fois que vous avez atteint la phase de paiement d’un achat en ligne, la page où sont insérées “physiquement” les données de la carte de crédit ou de PayPal est toujours “ailleurs”, généralement sur PayPal ou sur le serveur de la banque qui gérera la transaction.

Quels sont les types de certificat pour assurer des communications sécurisées sur le protocole HTTPS ?

Typiquement, nous pouvons identifier 3 variantes de certificats SSL qui garantissent, à différents niveaux, la sécurité et la correspondance du nom de domaine à l’identité de l’entreprise qui l’utilise.

La Validation du domaine (DV), c’est-à-dire la validation du nom de domaine. Il s’agit d’une procédure rapide et semi-automatisée. En pratique, un certificat SSL est émis qui garantit la propriété du nom de domaine du demandeur et le cryptage des données échangées. Pour ce type de certificats SSL, la validation du domaine se fait par e-mail ou par l’ajout d’un enregistrement DNS à votre domaine. Ce qui est garanti dans la mise en œuvre de ce certificat, c’est la sécurité des données échangées entre le site web et le navigateur utilisé par l’utilisateur (protocole https). Elle représente notamment un premier pas vers la sécurisation des informations échangées par les sites qui ne traitent pas de données sensibles, tels que les sites institutionnels ou les blogs. Le certificat est auto-validé, grâce à la possibilité d’accéder physiquement à l’espace web connecté au domaine auquel le certificat SSL. Organization validation (OV) est connecté. Il représente le “niveau minimum” de certification du contenu pour toutes les activités commerciales en ligne. En plus d’assurer l’échange crypté de données entre les serveurs et les navigateurs, il garantit la propriété du domaine par ceux qui en demandent la délivrance.

Une autorité de certification (AC) vérifie la correspondance entre le nom de domaine et la propriété du domaine où le certificat SSL est effectivement mis en œuvre. CA sont des entreprises qui sont considérées comme des “super partes” au niveau mondial, et qui agissent comme une garantie entre le certificat, le site web et le navigateur utilisé pour naviguer sur le site. Dans ce cas, en effet, le certificat SSL qui garantit la transmission d’informations sur les connexions cryptées est également associé à certaines informations sur l’entreprise “derrière” le domaine/commerce électronique.

Dans le cas des certificats SSL OV (Organization Validation), l’AC validera la propriété du nom de domaine et certaines données accessibles au public concernant la personne qui demande le certificat. Ce type de certificat est fortement recommandé pour tous les sites web sur lesquels des transactions économiques ont lieu ou sur lesquels des données personnelles sensibles sont demandées. Alors que pour les certificats de type DV et OC, les phases de demande et de validation sont rapides et semi-automatisées, dans le cas de la validation étendue, l’autorité de certification (AC) devra vérifier l’existence réelle de l’entreprise qui demande le certificat SSL. Une fois l’existence de la société vérifiée, la propriété du domaine et la propriété de l’espace web où le certificat SSL sera mis en œuvre, l’utilisateur qui se connectera au site web certifié recevra non seulement une confirmation de la sécurité de la connexion, mais aussi des informations relatives à l’identité de la société qui héberge le site web en question. L’activation de ce certificat prend généralement 7 à 10 jours, mais vous permet d’obtenir la fameuse “barre verte” dans le champ d’adresse des différents navigateurs. Les sites web des banques en ligne, par exemple, utilisent des certificats SSL de type EV.

Une sécurité en pleine extension

Google met l’accent sur la sécurité des données transmises en ligne, qui ne se limite plus seulement aux données de paiement, mais aussi aux données personnelles.

Si la page hébergeant le formulaire à remplir n’est pas fournie par une connexion sécurisée, le navigateur signalera la page comme “potentiellement dangereuse”. Il n’est pas nécessaire de réfléchir aux conséquences de ce type de communication, pour tous ces sites qui “vivent” des contacts (leads) et développent leur activité en ligne, en apportant peut-être du trafic aux pages cibles grâce à l’utilisation de campagnes SEM ou d’email marketing. Chrome n’est certainement pas le seul navigateur à signaler les pages potentiellement non sécurisées et, par conséquent, il est ainsi conseillé de mettre (ou de faire mettre en place) un certificat SSL valide signé par une autorité de certification reconnue dès que possible, afin que des connexions sécurisées puissent être établies via HTTPS.