En matière de sécurité numérique, il est essentiel pour les consommateurs de comprendre l'objectif et les spécifications de divers produits, tels que les certificats SSL. Cependant, les différences entre ces produits ne sont pas toujours immédiatement évidentes. Néanmoins, il est essentiel pour les clients de choisir l'option adaptée à leurs besoins
SSL, ou Secure Sockets Layer, est couramment utilisé pour désigner TLS (Transport Layer Security), un protocole conçu pour sécuriser les communications entre un site Web, un hôte ou un serveur et les utilisateurs finaux qui s'y connectent (ou entre deux machines dans une relation client-serveur). Un certificat SSL confirme l'identité du nom de domaine (par exemple, icosnet.com.dz ) qui exploite le site Web et permet le cryptage de tout le trafic échangé entre le serveur et le visiteur. Ce faisant, il protège l'intégrité de toutes les informations transmises, garantissant un niveau de sécurité crucial pour les entreprises.
Les certificats SSL sont essentiels car ils permettent de crypter les informations sensibles pendant leur transport, les protégeant ainsi des criminels qui pourraient tenter de les intercepter ou de les voler. Sans le bon certificat SSL, votre site Web devient vulnérable aux cyberattaques, exposant potentiellement les informations personnelles des clients ou de l'organisation aux pirates informatiques.
De plus, si vous ne disposez pas d'un site sécurisé avec le bon certificat SSL, les moteurs de recherche et les navigateurs signaleront votre site comme non sécurisé, nuisant davantage à votre réputation et éloignant les clients potentiels.
Ces problèmes peuvent nuire à vos résultats en impactant les efforts de référencement et en affectant négativement l'expérience utilisateur globale, car les visiteurs peuvent se sentir en danger et hésiter à interagir avec votre site.
Le cryptage utilise des clés pour verrouiller et déverrouiller vos informations, ce qui signifie que vous avez besoin de la bonne clé pour « ouvrir » ou décoder les informations sécurisées.
Chaque certificat SSL comprend deux clés :
Une clé publique : utilisée pour crypter (brouiller) les informations et les garder en sécurité.
Une clé privée : utilisée pour décrypter (déchiffrer) les informations, les restaurant dans leur format d'origine afin qu'elles puissent être lues.
Les certificats SSL rendent la clé publique disponible sur le site Web accessible au public, tandis que la clé privée reste sécurisée sur le serveur Web. Cela crée une communication sécurisée car toutes les données soumises à partir du site où se trouve la clé publique ne peuvent être déchiffrées que par le propriétaire du site.
Les certificats SSL doivent toujours être utilisés lorsque des informations doivent être transmises de manière sécurisée. Cela comprend :
Communications entre votre site Web et les navigateurs Internet de vos clients.
Communications internes sur votre intranet d'entreprise.
Communications par courrier électronique envoyées vers et depuis votre réseau (ou adresse électronique privée).
Informations entre serveurs internes et externes.
Informations envoyées et reçues depuis l'IoT et les appareils mobiles.
Il existe sept types différents de certificats SSL disponibles et, selon le type de site Web dont vous disposez, les exigences relatives au certificat SSL dont vous avez besoin varient. Les certificats à validation étendue (EV) offrent le niveau de confiance le plus élevé de tous les types de certificats, mais ce niveau de validation peut ne pas être nécessaire pour tous les sites. Contactez notre équipe chez Sectigo si vous avez d'autres questions sur le type dont vous pourriez avoir besoin.
Les certificats SSL DV sont idéaux pour les petites et moyennes entreprises qui recherchent une sécurité économique sans avoir à établir la confiance des visiteurs du site. L'émission d'un certificat DV nécessite simplement une preuve de propriété du nom de domaine associé, qui est fournie via un simple processus de validation par e-mail. Ces certificats peuvent être émis en quelques minutes, activent le protocole HTTPS et afficheront un indicateur clair, tel que le symbole du cadenas, dans les navigateurs Internet.
Cependant, les certificats SSL de validation de domaine ne vérifient pas la légitimité de l'organisation que le site Web représente et ne doivent donc pas être utilisés pour les sites de commerce électronique ou tout autre site traitant des informations sensibles. Ils constituent cependant une excellente option pour de nombreux sites internes, serveurs de test et domaines de test.
Les certificats SSL OV offrent le même niveau de protection que les certificats DV, mais vont plus loin que la simple exigence d'une preuve de propriété du domaine. Avec un certificat SSL OV, l' autorité de certification émettrice (CA) confirme que l'entreprise associée au nom de domaine est enregistrée et légitime en vérifiant des détails tels que le nom de l'entreprise, l'emplacement, l'adresse et les informations de constitution ou d'enregistrement. Cela rend le certificat OV plus adapté aux sites Web publics qui représentent des entreprises ou des organisations.
Les certificats SSL EV offrent le plus haut niveau de confiance en garantissant aux consommateurs qu'ils effectuent des transactions via un site Web de confiance. Pour cette raison, ces certificats sont devenus la norme du secteur pour les sites Web de commerce électronique. Les certificats SSL EV déclenchent l'affichage sur les navigateurs Web hautement sécurisés d'une barre d'adresse verte comprenant le nom de l'entreprise ou de l'organisation propriétaire du domaine. Ils affichent également le nom de l'autorité de certification émettrice.
La confirmation de l'identité du site Web et la validation de l'organisation sont effectuées conformément aux directives rigoureuses de l'industrie établies par le CA/Browser Forum et impliquent un processus de vérification strict qui s'est avéré efficace pendant plus de dix ans d'utilisation dans le monde réel.
Les certificats EV sont essentiels pour les grandes entreprises ou les sites de commerce électronique, car ils peuvent améliorer la crédibilité en montrant aux consommateurs avertis qu'une transaction potentielle est effectuée avec un destinataire légitime et que le site prend au sérieux la protection des données de ses clients.
Une fois que vous avez décidé d'un niveau de validation, vous devez également déterminer si vous avez besoin :
Un certificat SSL à domaine unique : un certificat économique qui sécurise un seul domaine et peut également sécuriser un sous-domaine individuel, un nom d'hôte, une adresse IP ou un serveur de messagerie.
Un certificat SSL multi-domaines : également connu sous le nom de certificats SSL Subject Alternative Names (SAN), ils couvrent jusqu'à 250 domaines avec un seul certificat.
Un certificat SSL Wildcard : certificats qui couvrent un domaine principal et un nombre illimité de sous-domaines sous le domaine principal.
Un certificat SSL de communications unifiées (UCC) : ce type de certificat est spécialement conçu pour les configurations Microsoft Exchange et Microsoft Office Communication Server. Il prend en charge plusieurs domaines, offrant une protection pour jusqu'à 100 domaines différents.
En tant que plus grande autorité de certification commerciale au monde, Sectigo®, anciennement connue sous le nom de Comodo CA, surveille de manière proactive les menaces et les attaques potentielles, en travaillant en étroite collaboration avec les agences gouvernementales, les fournisseurs de navigateurs et nos clients, pour s'assurer qu'elle s'adapte à un marché en constante évolution.
Lors de l'évaluation d'une AC, assurez-vous qu'elle :
Conforme aux exigences de base du CA/B Forum.
Créé en 2005, ce groupe industriel, composé d'autorités de certification et de fabricants de navigateurs, a développé des normes que chaque autorité de certification doit respecter pour que ses racines restent fiables dans les navigateurs. Ces normes comprennent :
Toutes les informations contenues dans le certificat doivent être validées pour être vraies grâce à un processus d’authentification strict et clairement défini.
Les certificats ne doivent pas dépasser leur durée maximale spécifiée.
Les autorités de certification doivent suivre les directives relatives à la sécurité des autorités de certification, aux mécanismes de révocation des certificats, aux exigences d’audit, à la responsabilité, à la confidentialité et à la délégation d’autorité.
Les audits annuels sont essentiels à la sécurité des AC, mais toutes les AC n'en font pas une priorité. Au minimum, votre AC doit respecter les normes d'audit suivantes :
WebTrust : une norme d'audit reconnue à l'échelle internationale, spécialement conçue pour les autorités de certification. Elle vise à évaluer l'adhésion de l'autorité de certification aux meilleures pratiques dans des domaines tels que les processus métier, l'infrastructure et la sécurité des données. Un audit WebTrust réussi signifie que l'autorité de certification suit des protocoles de sécurité rigoureux, offrant ainsi aux utilisateurs un niveau élevé d'assurance que les certificats de l'autorité de certification sont fiables.
SOC 3 : Service Organization Control 3 est une autre norme d'audit importante, principalement axée sur l'efficacité des contrôles d'une autorité de certification liés à la sécurité, à la disponibilité, à l'intégrité du traitement, à la confidentialité et à la protection de la vie privée. Un rapport SOC 3 fournit un aperçu complet de ces contrôles, qui est rendu public, permettant aux consommateurs et aux entreprises de prendre des décisions éclairées sur la sécurité de leurs communications en ligne.
Maintenir l'adhésion au programme WebTrust pour les autorités
de certification Le programme WebTrust pour les autorités de certification a été développé pour accroître la confiance des consommateurs dans Internet comme moyen de commerce électronique et pour accroître la confiance des consommateurs dans l'application de la technologie PKI. Sectigo, par exemple, fait l'objet d'un audit annuel d'Ernst & Young, qui valide que :
L'autorité de certification (CA) divulgue ses pratiques et procédures en matière de certificats SSL ainsi que son engagement à fournir des certificats SSL conformes aux exigences applicables du CA/Browser Forum.
Les informations des abonnés ont été correctement collectées, authentifiées et vérifiées.
L’intégrité des clés et des certificats est établie et protégée tout au long de leur cycle de vie.
L’accès logique et physique aux systèmes et aux données de l’AC est limité aux personnes autorisées.
La continuité des opérations de gestion des clés et des certificats est maintenue.
Le développement, la maintenance et les opérations des systèmes CA sont correctement autorisés et exécutés pour maintenir l’intégrité des systèmes CA.
L'autorité de certification maintient des contrôles efficaces pour fournir une assurance raisonnable qu'elle répond aux exigences de sécurité du réseau et du système de certification définies par le CA/Browser Forum.
Le rapport SOC 3 est publié pour confirmer que les contrôles de sécurité de ce service cloud ont été examinés par un expert-comptable indépendant. Encore une fois, à titre d'exemple, Sectigo fait l'objet d'un audit annuel d'Ernst and Young, pour valider que Sectigo a maintenu des contrôles efficaces sur son système en ce qui concerne quatre principes fondamentaux : la disponibilité de la sécurité, l'intégrité du traitement et la confidentialité.
Un site Web sans certificat SSL affiche « http:// » devant l’adresse du site Web dans la barre d’adresse du navigateur. Ce terme signifie « Hypertext Transfer Protocol », la méthode conventionnelle de transmission d’informations sur Internet. La plupart des internautes savent que cela indique qu’un site Web n’est pas sécurisé et ont toujours recherché « https:// » et un symbole de cadenas fermé dans la fenêtre de leur navigateur pour confirmer qu’ils se trouvent sur le site d’une organisation authentifiée.
Certains sites Web incluent un sceau de site, également appelé sceau de confiance, qui sert de garantie visuelle que le site est à la fois sécurisé et exploité par une entité vérifiée. Ce sceau assure aux visiteurs que leurs informations personnelles, leurs transactions et leurs achats sont protégés par cryptage. Il confirme également que toutes les données partagées sont transmises en toute sécurité au propriétaire légitime du site, offrant aux utilisateurs une tranquillité d'esprit lorsqu'ils interagissent avec le site. Cela augmente non seulement l'engagement et la satisfaction globale, mais renforce également la notoriété et la préférence de la marque. Le sceau de confiance de Sectigo est un indicateur puissant que votre site est sécurisé.
D'autres symboles de navigateur indiquent que les informations peuvent ne pas être sécurisées et que le site peut être dangereux. Il s'agit d'un avertissement à l'utilisateur qu'il doit envisager de visiter un autre site. Il peut même y avoir une page d'avertissement qui s'affiche et qui demande à l'utilisateur d'accepter qu'il souhaite accéder à un site Web qui n'est pas sécurisé.
