Devant la grande cacophonie des offres de certificats SSL (Secure Socket Layer) , je tenais à rappeler quelques points:
- La sécurité d’ un site internet ne dépends pas du prix du certificat SSL mais du niveau d’ encryption (256 bits mini)
- Openssl est un programme open source permettant de générer gratuitement et librement un certificat SSL ( même avec une clé de 2048 bits.)
- Les autorités de certification sont simplement garant de l’ origine du souscripteur du certificat ( qui est il ? , as t il la accès à suffisamment d’ informations sur le domaine pour être légitime) et NON pas du contenu du site utilisant le ssl.
- Un avertissement du navigateur indiquant que le certificat n’ est pas reconnu ne comporte pas forcément un risque pour le visiteur.
Cela mérite bien quelques petites explications:
Pour chiffrer la connexion entre le visiteur et le serveur hébergeant le site, un mécanisme appelé SSL est alors utilisé. Pour allez vite, il s ‘agit d ‘un clé générée (appelé CSR) souvent par le webmaster indiquant
les informations relatives à l’adresse du site (ex: www.monsite.com) et éventuellement sur la société (adresse, telephone, ).
Une fois ce CSR crée, il faut alors soumettre cette clé que l’on peut générer soit même via Openssl, à une Autorité de certification. Celle ci va vérifier par des procédures automatiques si votre demande est légitime (envoi de mail par le whois au propriétaire du nom de domaine ).
Des liens d’ approbations sont donc sont donc envoyés pour vérifier cela, si vous validé ce lien , le certificat est alors délivré pas l’ Autorité de certification et envoyé par e-mail.
Le choix de l’ autorité consiste en faite à s’ assurer que le certificat qu ‘ elle délivre sera bien reconnu par l’ ensemble des navigateurs, pour cela regarder dans le gestionnaire des certificats si l’ autorité s’ y trouve.
Pour conclure,
Vous l’ avez compris, si les racines des certificats (Root Certificates) des différentes Autorité de certification ne sont pas par défaut dans cette liste, le navigateur u visiteur affichera un avertissement de navigation (de plus en plus rédhibitoire) , en clair si il n ‘ y pas de deal entre l ‘ éditeur du navigateur et l’ autorité de certification, votre site sera toujours considéré comme un site non sécurisé même si la connexion est bel est bien chiffrée avec une clé de 2048 bits.
Si vous avez des remarques ou un site à sécuriser via ssl, ecrivez moi !
Liens complémentaires:
