Quelle est la note de votre certificat SSL ?
Présentation
Le protocole SSL (Secure Sockets Layer) est un protocole de sécurité qui permet de chiffrer les communications entre un navigateur web et un serveur web pour protéger les données sensibles telles que les informations de carte de crédit et les mots de passe des utilisateurs.
Il a été remplacé par le protocole TLS (Transport Layer Security) en 2015. Notez que ce protocole est transparent pour l’utilisateur en ce sens qu’il ne doit rien “activer” pour en bénéficier, il sera juste averti de son utilisation par la présence d’un petit cadenas dans la barre d’adresse du navigateur, juste devant le nom de domaine de la page qu’il consulte.
Un certificat SSL, également appelé certificat de sécurité, est un document numérique qui permet de vérifier l’identité d’un site web. Il contient des informations sur le propriétaire du site ainsi que sur l’autorité de certification qui a vérifié ces informations.
Les certificats SSL sont nécessaires pour établir une connexion sécurisée à l’aide du protocole SSL/TLS.
Suivant la solution d’hébergement utilisée, l’installation du certificat se réalise depuis l’espace d’administration de votre hébergeur ou “manuellement”, en exécutant quelques commandes sur votre serveur (installation et exécution d’un programme, définition des domaines, etc.).
Qui peut “émettre” un certificat SSL ?
Les certificats sont émis par des autorités de certification, qui sont des tierces parties qui valident les informations qu’ils contiennent.
Voici quelques exemples connus : Comodo, DigiCert, Entrust, GeoTrust, GlobalSign, GoDaddy, Sectigo, Symantec, Let’s Encrypt, Thawte, VeriSign, …
Certains sont gratuits comme Let’s Encrypt, d’autres non.
Notez qu’il existe différents types de certificat SSL, tels que les certificats de domaine standard (Domain Validation), les certificats EV (Extended Validation) qui donnent plus d’informations sur la propriété du domaine ainsi que les certificats Wildcard qui couvre tous les sous-domaines d’un domaine donné.
Les avantages du SSL
- Assurer la sécurité des transactions : L’absence de certificat peut rendre le site web vulnérable mais également servir de support à de l’hameçonnage (phishing) ;
- Maintenir la confiance des utilisateurs : Certains navigateurs peuvent afficher des avertissements de sécurité pour les sites web avec des certificats SSL de classification faible et/ou bloquer complètement l’accès au site ;
- Réduire les temps de chargement : A la grosse louche, c’est dix fois plus rapide ;
- Garantir un meilleur référencement : Pour toutes les raisons précitées (sécurité, confiance, temps de chargement).
Le système de notation
Installer un certificat est une chose, le faire correctement en est une autre.
En ce qui nous concerne, nous vérifions la qualité de nos certificats avec Geocertssl de SSL Labs (Qualys). Ce dernier exécute une série de tests dont la vérification de la comptabilité avec les navigateurs, la validité de la chaîne de certificat, les algorithmes et la longueur de la clé utilisée lors de la signature, les protocoles supportés, la configuration des données, etc.
A l’issue de ces tests, on obtient un résultat, une lettre entre A et F. Certains chanceux pourront même être gratifiés d’un A+.
| Score | Grade | Description |
|---|---|---|
| Score >= 90 | A+ | Ce grade est attribué aux certificats qui ont passé tous les tests avec succès et qui ont une configuration très sécurisée. |
| Score >= 80 | A | Ce grade est attribué aux certificats qui ont passé tous les tests avec succès et qui ont une configuration sécurisée. |
| Score >= 65 | B | Ce grade est attribué aux certificats qui ont passé la plupart des tests avec succès, mais qui ont une configuration moins sécurisée que les certificats de grade A. |
| Score >= 50 | C | Ce grade est attribué aux certificats qui ont passé certains tests avec succès, mais qui ont des problèmes de configuration et de sécurité importants. |
| Score >= 35 | D | Ce grade est attribué aux certificats qui ont échoué à certains tests et qui ont des problèmes de configuration et de sécurité critiques. |
| Score >= 20 | E | Ce grade est attribué aux certificats qui ont échoué à de nombreux tests et qui ont des problèmes de configuration et de sécurité très graves. |
| Score < 20 | F | Ce grade est attribué aux certificats qui ont échoué à tous les tests et qui ont des problèmes de configuration et de sécurité extrêmes. |
Rappelons que cette notation est basée sur des critères spécifiques et des algorithmes définis par SSL Labs, et qu’il peut y avoir des variations dans les systèmes de notation utilisés par d’autres organisations.
Conclusion
Les certificats SSL font partie du paysage numérique et aucun service, quel qu’il soit, ne devrait se soustraire à son utilisation. Cependant, sa présence n’est pas forcément un gage de sécurité. A vous de faire le test à présent.
Pour celles et ceux qui désirent approfondir le sujet dans la langue de Shakespeare, nous vous recommandons la lecture du rapport de télémétrie TLS 2021 sur F5 Labs, son contenu est assez édifiant.
Lancement du site FVR Concept Nous avons le plaisir de vous présenter le site de FVR Concept, un cabinet d'expertise immobilière bruxellois. Un projet conçu, hébergé et maintenu par nos soins.
Un site et un logo pour les Universalistes Le site des Universalistes, un site Wordpress robuste au design accessible, optimisé pour le référencement et respectueux de la vie privée. 
