Si vous n’êtes pas encore passé du HTTP au HTTPS, il est temps de renforcer la sécurité de votre site.
Comment les éditeurs de navigateurs encouragent-ils le chiffrement ?
Google encourage l’utilisation de sites Web chiffrés depuis quelque temps maintenant. La généralisation de l’HTTPS (« HTTPS Everywhere ») a été abordée pour la première fois en 2014 par Ilya Gregorik (Ingénieur spécialisé dans la performance Web) et Pierre Far (Chef de produit) lors de la conférence annuelle des développeurs « Google I/O ». Dans leur vidéo, ils expliquent en quoi le chiffrement est nécessaire, et invitent tous les sites Web à l’utiliser. Ils annonçaient également que Google envisageait de considérer le chiffrement comme un critère de référencement.
Mozilla et Apple ont également fait part de leur intention de soutenir le chiffrement sur Internet.
Le 8 juin 2015, la Maison-Blanche a officiellement demandé à tous les sites gouvernementaux américains de chiffrer et sécuriser davantage leurs sites publics d’ici la fin 2016.
Contrairement à certaines rumeurs, Google ne marquera pas les sites HTTP d’un humiliant cadenas rouge. Chris Palmer, ingénieur chez Google, a proposé quelques modifications à apporter à l’interface utilisateur pour que les internautes soient informés plus clairement lorsqu’ils naviguent sur un site Web non sécurisé. Les modifications de l’interface n’en sont encore qu’au stade des discussions, pas plus. On sait en revanche que Google prône l’utilisation du chiffrement, et souhaite sensibiliser et former les utilisateurs à la question. On ignore encore si les sites Web non sécurisés seront à l’avenir marqués d’une grosse croix rouge.
Trois niveaux de certificats numériques
Les certificats SSL/TLS proposent trois niveaux de sécurité et de vérification d’identité.
L’idéal serait que les chefs d’entreprise chiffrent leurs données pour protéger leurs clients et les données personnelles de ces derniers. De leur côté, les clients voudront connaître l’identité du propriétaire de l’entreprise pour faire leur choix en toute confiance. Chaque chef d’entreprise doit par conséquent se poser deux questions : comment souhaite-t-il que son entreprise soit perçue par ses clients potentiels et quel est le degré de confiance qu’il pense devoir inspirer à ses clients pour qu’ils acceptent de lui communiquer leurs données personnelles. Les réponses varieront suivant la marque et le secteur d’activité.
Validation étendue (EV)
Les certificats SSL EV offrent le niveau de sécurité maximum. Ils représentent la bonne pratique pour un site e-commerce ou financier. Le certificat SSL EV offre le niveau de vérification d’identité le plus élevé avec l’affichage de la « barre verte » dans le navigateur qui indique le nom du propriétaire. Les internautes sont instantanément rassurés de pouvoir voir l’identité du propriétaire du site. Vous trouverez ici plus d’informations sur les différents types de certificats SSL.
Validation d’organisation (OV)
Les certificats SSL avec validation d’organisation contiennent le nom et la localisation de l’entreprise. Les internautes peuvent ainsi choisir en toute connaissance de cause les sites qu’ils souhaitent consulter. L’autorité de certification (AC) s’assure que l’acheteur du certificat est bien le propriétaire du domaine, que l’entreprise est dûment immatriculée et que la personne est habilitée à demander un certificat pour le compte de cette organisation (ou entreprise). Si votre entreprise a besoin de communiquer son identité à l’extérieur ou aux visiteurs de son site Web, ce choix de certificat est parfaitement adapté.
Validation de domaine (DV)
Si vous souhaitez uniquement chiffrer votre site, sans communiquer votre identité à vos clients, le certificat SSL DV suffit amplement. Utilisant plusieurs méthodes de validation de domaine, le processus de commande est entièrement automatisé et vous permet de passer commande en quelques minutes seulement. Si le niveau de chiffrement proposé est le même pour chaque type de certificat, les certificats SSL DV ne valident que le domaine, comme leur nom l’indique. Ils n’offrent aucune garantie de vérification des identités. De ce fait, les internautes ne peuvent pas savoir avec qui ils communiquent.
Quel certificat me convient le mieux ?
Google et d’autres grands éditeurs de navigateurs prônent le chiffrement de tous les sites Web, mais peu d’actions sont mises en place pour inciter les entreprises à demander des certificats de niveau de sécurité supérieur. Les certificats DV SSL vous demandent uniquement de prouver que vous êtes bien le propriétaire du domaine concerné. Ils sont, de ce fait, beaucoup moins chers, et plus rapides à acquérir. C’est également la solution idéale pour les entreprises qui souhaitent combler rapidement les carences de leurs sites Web en matière de sécurité.
Toutefois, les critères essentiels ne sont pas tant la rapidité d’acquisition d’un certificat ni même les économies sur le coût d’achat ; il s’agit surtout d’évaluer l’impact de la sécurité sur votre marque, et l’importance que vos clients et prospects accordent aux questions d’identité et de confiance. Nous vous invitons à choisir le certificat qui répondra le mieux à vos besoins, en fonction de votre site Web et du public visé.
Autres facteurs de dégradation de l’expérience utilisateur pour vos visiteurs
Parfois, avoir un certificat SSL ne suffit pas à éviter les messages d’alerte qui contribuent à dégrader l’expérience utilisateur. D’autres aspects de votre site peuvent également rendre les internautes méfiants :
- Contenus mixtes - si votre page contient à la fois des contenus sécurisés et non sécurisés, il est possible que les utilisateurs voient s’afficher un message d’alerte.
- SHA-1 : si votre site utilise toujours un certificat signé en SHA-1, l’accès au site s’effectuera en HTTP simple dans la plupart des navigateurs.
- Si la communication est sécurisée à l’aide d’un algorithme de chiffrement faible, ou d’une version obsolète de SSL (versions 1.0, 2.0 et 3.0 de SSL, et aujourd’hui TLS 1 également mal cotées aujourd’hui), l’expérience utilisateur s’en trouve également dégradée.
- Si le certificat que vous utilisez n’est pas configuré pour votre site. Par exemple, si le nom figurant sur le certificat diffère du nom sur votre site, vous recevez un signal d’alerte, comme celui que vous obtenez en cliquant sur le lien ci-dessus.
Quelle est l’incidence du HTTPS sur le classement des résultats de recherche ?
Dans un récent Mozcast, les sites HTTPS représentaient 25,9 % des premiers résultats de recherche – un chiffre qui progresse régulièrement.
L’augmentation du nombre d’attaques de type phishing (hameçonnage) ou de l’homme du milieu (Man-in-the-Middle) a mis en évidence la nécessité de pouvoir prouver son identité en ligne de manière à rassurer les internautes et leur proposer des expériences de navigation plus sûres. L’éducation des utilisateurs finaux y contribuerait de manière significative. En pesant sur les classements des résultats de recherche, Google dispose d’un levier important pour sensibiliser les chefs d’entreprise et les administrateurs de sites Web au sujet.
Comment savoir si mon chiffrement doit être revu à la hausse ?
De manière générale, tous les sites Web devraient comporter un certain niveau de chiffrement. Lorsque vous récupérez des informations de vos visiteurs (comme leur nom, adresse, coordonnées de carte bancaire, etc.), vous êtes responsable de la gestion de ces données ; c’est donc à vous qu’il revient de chiffrer votre site Web et les données récupérées par ce biais.
Vous pouvez également soumettre votre site Web au test de serveur SSL. Cet outil vous indiquera précisément ce que vous devez faire pour obtenir une évaluation positive de votre chiffrement.
Vous pouvez également utiliser les outils de développement de votre navigateur pour vérifier si votre certificat SSL est périmé. Google a annoncé un nouveau panneau de sécurité dans les outils de développement de Chrome qui permet de vérifier le statut du certificat SSL d’un site Web, les données de connexion et la présence de contenus mixtes (HTTP et HTTPS) sur un site. Ce panneau a été introduit dans Chrome 48.
Dans les traces de Google
En bref, si votre site Web n’est pas déjà chiffré, nous vous invitons à contacter rapidement votre autorité de certification pour corriger le tir en mettant en place le certificat SSL approprié. Si votre site est chiffré, pensez à monter en gamme vos certificats pour respecter les bonnes pratiques et rassurer pleinement vos clients lorsqu’ils effectuent leurs transactions sur votre site Internet.
GlobalSign est une autorité de certification de confiance depuis 25 ans. Contactez-nous dès aujourd'hui, nous serons ravis de vous aider à trouver les solutions de chiffrement appropriées pour votre activité.
