Les certificats SSL sont-ils important pour vos projets web ? En avez-vous toujours besoin ou tout simplement qu’est-ce que c’est?
Dans cet article, nous allons expliquer les certificats web SSL, et vous expliquer son importance pour tous vos projets web.
1- Qu’est-ce qu’un certificat SSL ?
La façon dont le public défini le plus souvent un certificat SSL est que c’est la technologie qui déclenche le petit cadenas ou encore la barre verte en haut dans leur navigateur Web.
Un certificat SSL indique que la page web utilise le protocole HTTPS pour une communication sécurisée.
Pour communiquer sur le web, la façon la plus basique et historique est d’utiliser le protocol HTTP.
L’utilisation d’un certificat SSL rajoute le ‘S’ à la fin de HTTP pour le transformer en HTTPS, qui veut dire “HyperText Transfer Protocol Secure” qui n’est en réalité que la version sécurisé du HTTP.
Le HTTPS existe depuis l’existence d’internet, donc les certificats SSL aussi, mais il était utilisé pour encrypter les sites avec des transactions financières, mais l’évolution d’internet et les multitudes d’informations confidentielle que nous partageons en ligne ont fait qu’au fil du temps la plupart des sites web ont commencé d’utiliser aussi le protocol HTTPS.
2- Comment un certificat SSL fonctionne ?
Il certifie la propriété d’une clé publique, en d’autres termes, une personne qui dit, OUI, je vais valider le fait que cette organisation, cette URL, possède cette clé publique. Donc, tous les renseignements de base de cette organisation, ainsi que certains détails techniques, comme le type de chiffrement utilisé, seront tous placés dans un fichier de certificat.
En général, nous avons l’organisation, l’URL, l’État et le pays, mais aussi la période de validité du certificat, l’idée est de savoir les informations sur la personne qui possède une clé publique.
Un fichier de certificat SSL, est généralement un fichier qui se termine par .crt ou parfois .cer. Par contre, le contenu de ce fichier ne va pas être facilement lisible par vous. Si vous ouvrez un de ces fichiers, vous allez voir quelque chose qui pourrait ressemble à ceci.
Cette image est une version encodée de toutes les informations associé à une clé publique, donc une personne ou une organisation, et elle peut être décodée.
Cette pratique est juste une façon de le compresser et de faire un code lisible par la machine qui peut être facilement bien interpreté sur internet.
Les autorités de certification sont des entités qui émettent des certificats numériques. Ils certifient la propriété d’une clé publique. Rappelez-vous, c’est ce que fait un certificat SSL. Il certifie la propriété d’une clé publique.
Le plus important, c’est que nous allons leur dire quelle URL nous allons utiliser, ainsi que d’autres informations comme mentionnée plus haut, puis nous allons leur donner une clé publique. Et parfois, nous devrons aussi payer des frais pour obtenir un certificat SSL.
Les autorités de certification valideront alors à leur tour que cette clé publique et ces informations correspondent et ont l’air correct et nous retournerons un certificat certifiant la propriété de cette clé publique.
C’est un peu comme si on notariait une identité. Dans le monde réel, vous pouvez aller chez un notaire ou un assermenteur et lui demander de légaliser ou certifier un document que vous allez signer. Vous pourriez apporter vos pièces d’identité ainsi que vos documents originaux pour qu’il puisse confirmer qui vous êtes, ainsi que l’authenticité de vos documents et il pourrait attester qu’il vous a vu et signer le document.
C’est pas mal le même processus ici. L’idée est d’avoir une tierce partie de confiance qui va se porter garante de cette clé publique. Les navigateurs vont garder une liste des autorités de certification, soit leur propre liste, soit ils vont en emprunter une du système d’exploitation. Et il feront confiance à ces autorités de certification, et puisqu’une autorités de certification a certifié qu’une URL particulière possède une clé publique, les navigateurs savent qu’ils peuvent faire confiance à cette clé publique grâce au protocole SSL.
Mais, rappelez-vous que, ceci ne veut pas dire que vous avez affaire à une entité légitime, parce qu’elle est certifié.
Ce qui a été certifié, c’est qu’une clé publique appartient bien à une URL particulière. C’est tout !
Elle ne dit rien sur l’entité derrière cette URL. Nous ne savons pas si ce sont de bonnes ou de mauvaises personnes. Nous ne savons pas si leurs affaires vont bien ou s’ils sont sur le point de faire faillite. Tout ce que nous savons, c’est que cette clé publique est une clé légitime pour cette URL.
La plupart d’entre elles exigent des frais en échange de leurs services, de la même façon qu’un notaire peut exiger des frais minimes pour authentifier un document pour vous. Mais, il existe un projet à but non lucratif d’une communauté immense, Let’s Encrypt qui vous fournit des certificats gratuits. Ce projet vous permet de sécuriser efficacement votre hébergement web grâce à tous les certificats SSL nécessaires.
3- Les différents types de certificats SSL
a – Certificats auto-signés (Self-signed certificates)
Les certificats auto-signés sont des certificats qui n’ont pas été approuvés par une autorité de certification, mais qui ont été signés par vous. C’est vous qui vous en portez garant, pas une autorité de certification. Cela vous permet quand même d’effectuer le chiffrement avec eux parce qu’ils ont toujours une clé publique attachée. Mais, ce qui leur manque, c’est la confiance d’une tierce partie. Nous n’avons pas une organisation externe sur Internet qui se porte garante sur le fait que cette clé publique appartient à cette entité.
Ainsi, si vous essayez de visiter un site Web qui utilise un certificat autosigné, le navigateur va certainement afficher une alerte de sécurité parce qu’il ne lui fait pas confiance.
Alors pour un site internet, ce n’est certainement pas ce que vous voulez.
Mais pourquoi voudriez-vous utiliser un certificat qui n’est pas digne de confiance par une tierce partie?
Ils sont surtout utiles quand vous avez deux systèmes qui veulent communiquer entre eux et qui se font déjà confiance.
b – Certificats de domaine unique (Single domain certificates)
Il s’agit d’un certificat dans lequel une clé publique est certifiée comme appartenant à un seul site Web, par exemple: www.oshara.ca, il est donc certifié uniquement pour www.oshara.ca et oshara.ca.
Mais, supposons que nous souhaitons avoir estimatemyapp.oshara.ca, ceci ne sera pas possible, car il faudra que nous utilisons un certificat Wildcard qui peut être utilisé sur tous nos sous domaine, comme c’est le cas ici.
c – Certificat wildcard
C’est exactement la même chose qu’un Certificats de domaine unique, a la seule différence qu’il vous permet de l’utiliser sur plusieurs sous domaine.
d – Certificat multi-domaine (Multi-domain certificate)
Encore une fois, c’est le même type de certificat, sauf qu’il peut être utilisé pour plusieurs domaines. Il peut être utilisé pour oshara.ca, et osharainc.com. Il y a une variation sur ce point qui est le certificat UCC ou SAN. Ils sont semblables aux certificats multidomaines, mais ils sont principalement utilisés pour les environnements de communication Microsoft Exchange et Office.
4 – Les différents types de validations de domaine pour un certificat SSL
Il existe aussi des différences dans les niveau de validation de domaines et celles-ci ont un impact sur les prix. Mais c’est compréhensible car ce qui est essentiellement différent, c’est l’effort que l’autorité de certification met pour valider la propriété d’une clé publique. En d’autres termes, elle (l’autorité de certification) demande plus d’argent pour faire plus de travail afin de valider qu’un propriétaire est bien celui qu’il prétend être.
Voici les principales différents types de validations :
- La validation de domaine
De plus, elle est la plus courante, elle certifie seulement que la clé publique et le nom de domaine du site Web sont liés. Généralement, la façon de procéder est d’envoyer un courriel automatique au propriétaire du site Web inscrit dans la base de données WHOIS. Ainsi, il l’enverra à quiconque dit être le propriétaire de ce site web, et s’il peut recevoir ce courriel et y répondre, alors c’est une preuve suffisante de propriété. Une autre option est qu’ils vont vous demander d’afficher un fichier de données en général .txt sur le site Web parce que si vous êtes propriétaire du site Web, vous devriez pouvoir y mettre le fichier de données qu’ils pourront ensuite voir publiquement.
- La validation de l’organisation
Celle-ci comprend tout ce qui est inclus dans la validation de domaine, mais en plus, elle confirme également l’authenticité de l’organisation en vérifiant les bases de données de l’entreprise pour les statuts constitutifs et en confirmant l’adresse physique de l’entreprise. Cette validation peut être émise jusqu’à deux jours après le début du processus.
- La validation étendu
La validation étendue fait le même type de validation que la validation de l’organisation, mais ils font une étape supplémentaire pour valider l’organisation.
En général, Un humain contacte l’entreprise par téléphone, publié et pourrait même parler à plusieurs personnes. L’un des avantages de la validation étendue, est que de nombreux navigateurs l’affichent différemment, par exemple, totalement vert dans l’URL du navigateur. Ils mettront une belle et grande barre verte en haut et ils pourraient même mettre le nom de la compagnie au lieu de l’URL. Cela peut les rendre beaucoup plus fiables. Bien entendu, ce type de validation prend plus de temps et pourrait prendre jusqu’à 10 jours.
5 – Comment choisir le bon certificat SSL ?
Étant donné que chaque prêtre prêche pour sa paroisse. Chaque autorités de certification veulent vous vendre l’option la plus chère en général en vous essayant de vous vendre pleins d’avantage mais pensez à vos réel besoin est la meilleur maniere de décider.
Si votre but est de crypter vos communications ou d’empêcher les navigateurs de se plaindre à vos utilisateurs, choisissez simplement la validation de domaine simple. Si votre objectif est de rassurer au maximum votre client, choisissez la validation étendue, ou dépendemment de la taille de votre entreprise et de l’utilisation de projet web, optez pour le juste milieu qui est la validation de l’organisation.
Plus de validation permet de renforcer la confiance de vos clients. Par contre si le coût supplémentaire de plus de validation vous fait hésiter, alors vous n’en avez certainement pas besoin.
6 – Pourquoi utiliser un certificat SSL pour vos projets web ?
Un certificat SSL est recommandé pour tous projet web, même si il s’agit d’un site web à une page, ou encore d’une application web interne. Voici quelques raisons :
- La protection contre les hackers
Tant que la technologies existera, les hackers aussi existeront. Et il sont très redoudable car il améliore leur technique d’attaque dans le web de jour en jour. Lorsque vous communiquez vous souhaitez que ce soit sécurisé, dans le web le fait de parler de communication sécurisée, implique que nous parlons de la confidentialité et de l’intégrité des données. Le fait qu’un individu malintentionné ne puisse pas intercepter vos données, voir ce qui est envoyé à travers le navigateur, et qu’il ne puisse pas non plus les modifier pendant leur transit devrait etre le souhait de toutes enteprise ou individu sérieux sur le web.
Sans certificat SSL, toutes les données échangée en ligne tels que information de carte de crédit, mot de passe etc… peuvent être facilement intercepté.
- La confiance envers votre marque
Ferez vous affaire avec un individu ou une entreprise en qui vous n’avez pas confiance ? Je doute que votre réponse soit OUI.
Sans certificats SSL sur votre projet web, vos utilisateurs sont les premiers à en être informés dès leur premiere visite sur votre site internet. Car le navigateur leur indiquerait différentes notification comme ci-dessous :
Préfèreriez-vous dormir dans une forêts en plein air avec plein d’animaux sauvages et affamées ou dans une maison protégé par des agents de sécurité dans la même forêts ?
En tout cas moi je choisirai la maison, eh oui je préfère ne pas m’imaginer en tant que repas 🙂
Pour plusieurs usagers (j’avoue que j’en fais partie) voici comment on se sent sur un site web sans aucun certificat ssl
Avec un certificats SSL vous envoyez un message d’une compagnie responsable qui prend au sérieux ses visiteurs, tandis que sans, ben on dirait plutôt que vous ne considérez pas assez votre propre marque et encore moins vos visiteurs et que l’effort d’installer un certificats SSL/TLS est trop vous demandé.
Les certificats nous disent quelque chose sur l’identité de la personne qui possède une clé publique particulière. Et au-delà de cela, ils nous disent aussi quelque chose sur la fiabilité de cette personne. Maintenant, il y a toutes sortes de problèmes liés à l’identité et à la fiabilité, mais ceci est une toute autre histoire.
- Google et votre référencement (SEO)
Le géant du web Google a inévitablement changé la donne dans le domaine de la sécurité web. Tout d’abord En janvier 2017, Google chrome a apporté un changement et a commencé à marquer toutes les pages HTTP, c’est-à-dire les pages non sécurisées, qui comportent un mot de passe ou un champ de carte de crédit, comme étant non sécurisées, juste pour donner un avertissement important.
“Hey utilisateur, cette page web sur laquelle vous allez entrer votre mot de passe ou votre carte de crédit, n’est pas une page sécurisée.”
En octobre 2017, ils ont fait un autre pas en avant, et ils ont commencé à marquer toutes les pages web avec un formulaire dessus comme n’étant pas sécurisée, et aussi, si vous pensiez être en mode privé, et que vous pourriez naviguer en privé, ils ont aussi marqué ces pages web comme n’étant pas sécurisées sur leur navigateur web en mode privé.
Ce n’est pas tout, en juillet 2018, ils ont décidé de marquer toutes les pages HTTP comme non sécurisées. Leur objectif général est d’aider les utilisateurs à comprendre que les sites HTTP ne sont pas sécurisés.
Ensuite ils ont décidé que si votre page web n’est pas HTTPS, vous devez être classé dans les sites les moins prioritaire dans les résultats de recherches en ligne.
Et en réalité, il ne sont pas les seuls tous les autres robots des moteurs de recherches tels que Bing, Yahoo, etc… ont tous fait pareil.
- Ce n’est pas cher et même parfois gratuit
Avec Let’s Encrypt vous n’avez plus de raison financières de ne pas vous munir de certicats SSL pour vos projets web car il est totalement gratuit.
Let’s Encrypt est un projet du Groupe de recherche sur la sécurité Internet, un consortium soutenu par un grand nombre de ces grandes entreprises technologiques, qui a été lancé en avril 2016 et dont l’objectif était de faire en sorte que tous les serveurs Web utilisent le protocol HTTPS.
Il n’a donc jamais été aussi facile de mettre en œuvre le HTTPS qu’à l’heure actuelle.
Ensuite pour des solutions payantes vous avec ssls.com qui offre des prix plutots interessant et bien d’autres le font.
- C’est plus rapide
Ce facteur est aussi un facteur clé en terme de référencement SEO, et la rapidité de chargement des pages en HTTPS est meilleure a celle en HTTP.
7 – TLS ou SSL ?
En réalité le fait de dire SSL est un peu un abus de langage car tout ce dont nous avons parlé en haut en fait est le TLS.
Le TLS, ou Transport Layer Security, est considéré comme une version supérieure et bien plus répandue que le SSL.
Même si TLS existe maintenant depuis cinq fois plus longtemps que SSL, plus personne n’utilise vraiment SSL pour communiquer, ils utilisent vraiment TLS, mais nous les appelons toujours des certificats SSL.
Le plus souvent, ce sont des certificats SSL, mais certaines personnes les appellent certificats SSL/TLS. Certaines personnes les appellent simplement des certificats TLS. D’autres essaient d’éviter d’inclure le protocole et les appellent simplement des certificats numériques. Ou parce qu’ils certifient la clé publique, vous pouvez les voir appelés certificats de clé publique, ou parce qu’ils certifient l’identité de la personne qui possède la clé publique, vous pouvez les voir appelés certificats d’identité.
Ce sont tous des noms valides, ils sont tous interchangeables. Cependant, SSL est le nom le plus courant que vous observerez sur le marché, mais vous devriez les reconnaître tous et comprendre pourquoi ces différents noms existent et qu’il s’agit de la même chose.
Le but premier d’un certificat est d’être utilisés avec le cryptage. C’est pour que nous puissions chiffrer les communications et communiquer en toute sécurité entre deux ordinateurs différents, généralement un navigateur et un serveur distant.
Conclusion
Pour récapituler, le certificat SSL protège vos données, confirme votre identité, améliore votre référencement et améliore votre image de marque et tout ceci gratuitement si vous le souhaitez.
La méthode la plus répandu et standard est de passer par une autorités de certification ou CA en format abrégé. Les certificats SSL ne sont pas valides pour toujours, heureusement d’ailleurs, ils sont donc certifiés pour un certain temps seulement et ils sont certifiés par un émetteur.
Avec un certificats SSL vous protégez, vos utilisateurs ou visiteurs, vos données et bien sur vous-même.