Si vous êtes fournisseur de services Cloud, la question du déploiement de la sécurité SSL a dû déjà se poser. Dans le secteur, le chiffrement par défaut est en passe de devenir la norme. Et plus votre base de clients est importante, plus vous devrez déployer de certificats pour répondre à la demande de vos clients. Avec un nombre d’adresses IP limité et des impératifs de performance, comment garantir au mieux la sécurité par défaut ?
Pourquoi devrais-je m’intéresser au SSL ?
Même si cela peut sembler évident, la question est légitime lorsque le SSL n’est pas votre cœur de métier. Vous doutez toujours ? Voici de quoi y voir plus clair :
- Les menaces en ligne atteignent des niveaux record : 100 % des internautes ont déjà été victimes d’actes de cybercriminalité*, ou connaissent une victime
- Les navigateurs signalent désormais les sites Web non sécurisés
- Les initiatives comme le Always On SSL et le HTTPS Everywhere se multiplient
- Le protocole SSL améliore le référencement SEO des sites Web
- L’utilisation du protocole SSL a augmenté de 63 % partout dans le monde ces trois dernières années**
EN BREF : le SSL n’est plus un simple atout, il est aujourd’hui indispensable. Vous devez protéger vos clients et votre infrastructure. Vos concurrents ont déjà probablement sauté le pas et valorisent leur offre avec l’argument de sécurité du SSL. Il ne vous reste plus qu’à trouver la bonne solution pour leur emboîter le pas.
Les restrictions d’IP sont-elles rédhibitoires ?
La bonne nouvelle est que non ! Même si à l’origine, les restrictions d’IP posaient effectivement problème, elles n’empêchent plus la mise en œuvre du protocole SSL par défaut aujourd’hui.
Autrefois, il fallait une adresse IP pour chaque certificat SSL, ce qui compliquait la tâche dans les environnements Cloud. Aujourd’hui, grâce à la technologie SNI (Server Name Indication), ce n’est plus le cas. Le nom d’hôte du serveur étant inclus dans la procédure de handshake SSL, chaque site Web peut avoir son propre certificat SSL (quel que soit le niveau d’authentification).
Les certificats multi-domaines pour fournisseurs Cloud facilitent le déploiement de certificats SSL en masse. On peut ainsi ajouter ou supprimer dynamiquement des domaines appartenant au client. Particulièrement adaptée à la dimension « à la demande » des environnements Cloud, cette option présente l’avantage d’être entièrement compatible pour les utilisateurs plus anciens qui ne prennent pas en charge la technologie SNI.
EN BREF : utilisées indépendamment ou en association, ces solutions vous permettent désormais d’héberger des certificats pour plusieurs milliers de clients sans vous préoccuper des questions d’adresses IP dédiées ou de rétrocompatibilité. Discutez avec votre AC pour définir la configuration la mieux adaptée à votre infrastructure et votre base de clients.
Quel sera l’impact du SSL sur les performances de votre CDN ?
Les vitesses de chargement en SSL sont un sujet d’inquiétude, notamment pour les fournisseurs de CDN. Dans un monde où les performances des sites Web doivent être optimisées, chaque milliseconde compte.
Ce n’est plus un problème : Avec HTTP2 et SPYDY, les sites Web consultés via une connexion SSL se chargent bien plus rapidement que les sites non sécurisés, car le transfert des requêtes peut être multiplexé au sein d’une seule connexion :
Le choix de votre fournisseur SSL peut également faire la différence. Chaque fois qu’un visiteur se connecte en SSL, le navigateur envoie une demande pour connaître le statut de validité du certificat auprès de l’AC émettrice. Assurez-vous que votre AC utilise une infrastructure performante pour transmettre le statut des certificats et/ou travaillez avec elle pour activer l’estampillage OCSP (OCSP Stapling).
EN BREF : discutez avec votre AC des possibilités d’optimisation des performances SSL. Avec les progrès technologiques, vous n’avez plus à choisir entre sécurité et performance.
Pour en savoir plus sur les solutions pour fournisseurs Cloud, rendez-vous sur notre site ou contactez-nous aujourd’hui.
Sources :
Enquête du Conseil de Sécurité des Autorités de Certification https://casecurity.org/wp-content/uploads/2015/04/CASC-Consumer-Survey-Report-2015.pdf
** www.netcraft.com
*** www.httpvshttps.com
