Un guide de l'acheteur du certificat SSL / TLS

Article écrit par:
  • D'affaires en ligne
  • Mise à jour: mai 10, 2019

Personne n'aime se faire dire qu'ils doivent faire quelque chose. C'est juste la nature humaine de se rebeller contre cela, mais parfois, le mieux que vous puissiez faire est de vous mordre la lèvre et de partir avec. Tel est le cas avec le mandat HTTPS qui a été transmis par Google et l’autre navigateur de l’été dernier.

De nos jours, tout site Web encore desservi via HTTP est étiqueté «Non sécurisé», une épithète qui menace le trafic et les conversions. Cela signifie que chaque site Web a maintenant besoin d'un certificat SSL / TLS, ce qui facilite la migration vers HTTPS et permet de sécuriser la communication entre votre site Web et ses visiteurs.

À partir de juillet 2018, Chrome a marqué tous les sites HTTP comme «non sécurisés» (en savoir plus).

Ce guide passera en revue les éléments à prendre en compte lors de l’achat d’un certificat SSL / TLS. Nous allons commencer par un bref aperçu de la technologie avant d’aborder en détail les détails que vous devrez trier pour choisir le bon certificat pour vous et votre site Web.

SSL / TLS 101: Un aperçu

Pour pouvoir communiquer en toute sécurité sur Internet, le serveur qui héberge le site Web et le client essayant de se connecter à celui-ci doivent utiliser le cryptage. Le chiffrement est un processus mathématique qui rend les données illisibles à quiconque sauf à une partie autorisée. Elle est effectuée à l’aide de clés de chiffrement et permet à un client et à un serveur de se connecter en toute sécurité au serveur. les deux doivent posséder une copie de la même clé.

Cela pose cependant un problème. Comment pouvez-vous échanger ces clés en toute sécurité? Si un attaquant parvient à compromettre une clé de cryptage, il rend ce cryptage inutile car il peut toujours voir toutes les données échangées comme si elles étaient en texte brut.

SSL / TLS est la solution au problème d’échange de clés.

SSL / TLS accomplit deux choses:

  1. Il authentifie le serveur afin que les clients sachent à quelle entité ils se connectent.
  2. Il facilite l'échange d'une clé de session qui peut être utilisée pour communiquer en toute sécurité.

Cela peut sembler un peu abstrait alors mettons-le en mouvement.

Chaque fois qu'un client tente de se connecter à un site Web via HTTPS, il s'agit de la version sécurisée du protocole HTTP (Hypertext Transfer Protocol) qui Internet a utilisé pendant des décennies - une série d'interactions se produit en coulisse entre ledit client et le serveur hébergeant le site.

Le cryptage SSL / TLS comporte deux types de clés de cryptage. Il y a les clés de session symétriques que nous venons de mentionner. Ceux-ci peuvent à la fois chiffrer et déchiffrer et sont utilisés pour communiquer pendant la connexion elle-même. Les autres clés sont la paire de clés publique / privée. Cette forme de cryptage est appelée cryptographie à clé publique. La clé publique peut chiffrer, la clé privée décrypte.

Au départ, le client et le serveur choisiront une suite de chiffrement mutuellement prise en charge. Une suite de chiffrement est l'ensemble des algorithmes qui régissent le chiffrement qui sera utilisé lors de la connexion.

Une fois la suite de chiffrement convenue, le serveur envoie son certificat SSL et sa clé publique. Après une série de vérifications, le client authentifie le serveur en vérifiant son identité et le fait qu'il est le propriétaire légitime de la clé publique associée.

Après cette vérification, le client génère une clé de session (ou le secret pouvant être utilisé pour en extraire une) et utilise la clé publique du serveur pour la chiffrer avant de l'envoyer au serveur. En utilisant sa clé privée, le serveur décrypte la clé de session et la connexion cryptée commence (il s’agit de la forme la plus courante d’échange de clé, telle qu’elle est réalisée avec RSA - L'échange de clés Diffie-Hellman diffère légèrement).

Si cela semble encore un peu compliqué, simplifions encore plus.

  • Pour communiquer en toute sécurité, les deux parties doivent partager des clés de session symétriques.
  • SSL / TLS facilite l'échange de ces clés de session avec la cryptographie à clé publique
  • Après vérification de l'identité du serveur, une clé de session ou un secret est crypté avec la clé publique.
  • Le serveur utilise sa clé privée pour déchiffrer la clé de session et commencer la communication chiffrée.

Passons maintenant à ce que vous, propriétaire de site Web, devez prendre en compte lors de l’achat ou de l’acquisition d’un certificat SSL / TLS.

Que faut-il prendre en compte lors de l'achat d'un certificat SSL / TLS?

Lorsque vous achetez un certificat SSL / TLS, vous prenez une décision concernant deux questions principales:

  1. Quelle surface devez-vous couvrir?
  2. Combien d'identité voulez-vous affirmer?

Lorsque vous pourrez répondre à ces questions, choisir un certificat devient une question de marque et de coût, vous connaissez déjà le type de produit dont vous avez besoin.

Maintenant, avant d'aller plus loin, établissons un fait très important: quelle que soit la façon dont vous répondez à ces deux questions, tous les certificats SSL / TLS offrent la même force de cryptage.

La puissance de chiffrement est déterminée par une combinaison des suites de chiffrement prises en charge et de la puissance de calcul du client et du serveur à l'une des extrémités de la connexion. Le certificat SSL / TLS le plus cher du marché et un certificat entièrement gratuit vont permettre le même niveau de cryptage standard.

Ce qui varie avec les certificats, c'est le niveau d'identité et leurs fonctionnalités.

Commençons par les surfaces à couvrir.

Fonctionnalité des certificats SSL / TLS 1

Les sites Web modernes ont évolué bien au-delà de ce qu’ils étaient dans les premiers jours d’Internet, alors que vous placiez toujours des compteurs au bas d’une page pour suivre le trafic. De nos jours, les organisations disposent d'infrastructures Web complexes, tant internes qu'externes. Nous parlons de plusieurs domaines, sous-domaines, serveurs de messagerie, etc.

Heureusement, les certificats SSL / TLS ont évolué parallèlement aux sites Web modernes afin de mieux les sécuriser. Il existe un type de certificat pour chaque cas d'utilisation, mais il vous incombe de savoir quel sera votre cas d'utilisation spécifique.

Regardons les quatre types de certificat SSL / TLS et leurs fonctionnalités:

  • Domaine unique - Comme son nom l’indique, ce certificat SSL / TLS s’applique à un seul domaine (versions WWW et non-WWW).
  • Multi-domaine - Ce type de certificat SSL / TLS est destiné aux organisations ayant plusieurs sites Web. Elles peuvent sécuriser simultanément jusqu'à différents domaines 250.
  • Wildcard - Sécurité pour un seul domaine, ainsi que tous ses sous-domaines de premier niveau, autant que vous en avez (nombre illimité).
  • Wildcard multi-domaine - Un certificat SSL / TLS avec toutes les fonctionnalités, peut chiffrer simultanément jusqu'à différents domaines 250 et tous les sous-domaines qui les accompagnent.

Un mot rapide sur les certificats Wildcard. Les caractères génériques sont extrêmement polyvalents, ils peuvent chiffrer un nombre illimité de sous-domaines et sont même capables de sécuriser de nouveaux sous-domaines ajoutés après leur émission. Lors de la génération d'un caractère générique, un astérisque (parfois appelé caractère générique) est utilisé au niveau du sous-domaine que vous souhaitez chiffrer. Cela indique que tout sous-domaine situé à ce niveau d'URL du domaine vérifié est associé valablement à la paire de clés publique / privée du certificat.

2 - Niveau de validation du certificat SSL / TLS

Une fois que vous avez déterminé quelles surfaces vous devez couvrir, il est temps de déterminer le degré d'identité que vous souhaitez affirmer. Il existe trois niveaux de validation, ceux-ci se rapportant au nombre de contrôles effectués par l'autorité de certification qui émet votre certificat SSL / TLS.

Trois niveaux de validation: validation de domaine, validation d'organisation et validation étendue.

Le niveau de validation le plus fondamental s'appelle Validation de domaine. Cette validation et l'émission du certificat ne prennent que quelques minutes, mais elles fournissent le moins d'informations d'identité: authentifier uniquement le serveur. Les certificats DV SSL / TLS sont les plus couramment utilisés, mais en raison de leur manque d’identité, les sites Web qui les utilisent font l’objet d’un traitement neutre de la part du navigateur.

Validation de l'organisation fournit plus d'informations sur l'organisation, ce qui donne aux visiteurs de votre site une meilleure idée de leurs interlocuteurs, à condition qu'ils sachent où chercher. Les certificats OV SSL / TLS nécessitent une quantité modérée de contrôles, mais ils ne revendiquent pas assez d'identité pour éviter un traitement neutre par un navigateur. Les certificats SSL OV peuvent également sécuriser des adresses IP dédiées. Ils sont couramment utilisés dans les environnements d'entreprise et sur les réseaux internes.

La plupart des identités qu'un certificat SSL / TLS peut affirmer sont au Validation étendue niveau. Les certificats SSL / TLS EV requièrent un contrôle approfondi de la part de l'autorité de certification, mais ils fournissent suffisamment d'informations d'identification que les navigateurs Web attribueront aux sites Web qui les déploieront de manière unique, en affichant leur nom d'organisation vérifié dans la barre d'adresse du navigateur.

Une chose à considérer rapidement en ce qui concerne les niveaux et les fonctionnalités de validation est que les certificats EV / SSL / TLS ne sont jamais vendus avec la fonctionnalité Wildcard. Cela est dû à la nature ouverte des certificats Wildcard, dont nous avons discuté dans la dernière section.

Choisir les autorités de certification et les prix

Maintenant que vous savez de quoi vous avez besoin, parlons de l'endroit où l'obtenir. Tout le monde ne peut pas émettre de certificats SSL / TLS valides. Par valide, nous entendons confiance. Vous devez passer par une autorité de certification approuvée ou une autorité de certification. Les autorités de certification sont soumises à des exigences strictes du secteur et sont soumises à des audits et à des contrôles réguliers. La raison en est liée au fonctionnement de l’infrastructure à clé publique. La PKI est le modèle de confiance qui sous-tend SSL / TLS. C'est pourquoi le navigateur d'un utilisateur peut vérifier l'authenticité d'un certificat SSL / TLS donné et en faire confiance.

Tandis que plonger dans l'ICP et ses racines En dehors de cet article, il est important de savoir que seules les autorités de certification approuvées peuvent émettre des certificats sécurisés. C'est pourquoi vous ne pouvez pas simplement émettre votre propre signature et l'auto-signer. Les navigateurs n'auraient aucun moyen de lui faire confiance sans ajuster manuellement leurs paramètres.

Mais quel CA devriez-vous choisir?

Cela dépend de ce que vous recherchez.

Pour de nombreux sites Web simples nécessitant peu d’affirmation d’identité, un certificat DV / SSL / TLS gratuit de Chiffrons (ou d’autres autorités de certification gratuites) est un bon choix. Cela ne coûte rien et c'est suffisant pour ce dont vous avez besoin.

N'importe quoi au nord, ou si vous n'êtes pas particulièrement doué en technologie, vous devriez vous adresser à une autorité de certification commerciale telle que DigiCert, Sectigo, Entrust Datacard, etc.

Mais voici le problème: vous n'obtenez pas le meilleur prix en achetant directement auprès des autorités de certification.

Vous obtenez la meilleure combinaison de prix et de sélection en achetant via un service SSL proposant des certificats SSL / TLS provenant de plusieurs autorités de certification. La raison en est simple, ces services SSL acheter des certificats des CA en gros à des prix bien inférieurs à ceux des clients de détail. Cela leur permet de vendre les certificats à des taux fortement réduits, en transmettant les économies réalisées aux consommateurs.

Dans certains cas, vous pouvez économiser autant que 85% sur le prix de détail suggéré par le fabricant en passant par un service SSL au lieu d'acheter en direct.

N'oubliez pas que les services SSL dédiés se spécialisent dans SSL / TLS, ils vont offrir un meilleur support client, ils peuvent vous aider à l'installer et savent comment optimiser vos implémentations pour fournir à votre site web la meilleure sécurité possible.

Comparez cela aux CA gratuits (et même à des sociétés commerciales) où vous devez utiliser un système de tickets ou passer au crible d’anciens messages de forum pour trouver un soutien externalisé et où la valeur est évidente.

Certes, pour certains propriétaires de sites Web férus de technologie, le problème de l'assistance technique n'est pas un problème. Et il n’ya certainement rien de mal à choisir la voie libre si vous savez comment tout supporter vous-même.

Mais pour les autres propriétaires de site, vous payez moins pour le certificat lui-même et plus pour l'appareil de support qui a été construit autour de celui-ci. Vous n'avez également pas accès à des niveaux de validation plus élevés (OV / EV) ou à des fonctionnalités avancées (multi-domaines, caractères génériques) avec SSL / TLS gratuit. Vous devez les obtenir des autorités de certification commerciales ou des services SSL.

Alors, payant ou gratuit? Cela dépend des compétences techniques de votre entreprise ou de votre entreprise, en plus de savoir si vous souhaitez une fonctionnalité et une validation allant au-delà de la DV à domaine unique.

FAQ du guide de l'acheteur SSL / TLS

Q1. La validation étendue en vaut-elle la peine?

Pour de nombreux sites Web, un certificat EV SSL / TLS représente davantage un investissement qu'une dépense. Il n'y a pas d'autre moyen d'affirmer une identité maximale et d'obtenir le traitement préférentiel de votre site Web. Lorsque les visiteurs arrivent sur un site Web et voient le nom de l'organisation affiché dans la barre d'adresse, son effet psychologique est profond. Bien que cet effet soit difficile à quantifier sur papier, les enquêtes montrent régulièrement que les personnes qui visitent des sites avec EV sont plus à l'aise que de visiter les sites qui n'en contiennent pas.

Chaque élément compte sur Internet. Si vous êtes une entreprise qui souhaite affirmer son identité sur le Web, les certificats EV / SSL / TLS sont la meilleure méthode disponible pour le faire.

Q2. Vous continuez à écrire SSL / TLS, qu'est-ce que cela signifie?

SSL signifie Secure Sockets Layer, et c’était la version originale du protocole de cryptage que nous utilisons pour sécuriser nos connexions à ce jour. Nous sommes arrivés à SSL 3.0 avant que les vulnérabilités ne forcent l’industrie à revenir à la table d’élaboration, où Transport Layer Security (TLS) a été conçu pour être le successeur de SSL.

Aujourd'hui, nous sommes sur TLS 1.3, SSL 3.0 est presque entièrement obsolète et par 2020 TLS 1.0 et 1.1 le seront également. Bien que l'Internet d'aujourd'hui repose presque exclusivement sur le protocole TLS, il est toujours connu sous le nom de SSL.

Q3. Quelles sont les versions du protocole SSL / TLS?

Cela nous ramène à notre dernière question: SSL et TLS sont les deux protocoles qui facilitent les connexions HTTPS. Comme avec toute autre technologie, ces protocoles doivent être mis à jour périodiquement à mesure que de nouvelles vulnérabilités et attaques sont découvertes. Lorsque vous voyez SSL 3.0 ou TLS 1.2, cela fait référence à une version spécifique des protocoles SSL / TLS.

À l'heure actuelle, il est recommandé de prendre en charge TLS 1.2 et TLS 1.3, car toutes les versions précédentes se sont révélées vulnérables à un exploit ou à un autre.

Q4. Que devrais-je savoir sur les suites de chiffrement?

Une suite de chiffrement est une collection d'algorithmes qui sera utilisé pendant le processus de cryptage SSL / TLS. Ils incluent généralement une sorte d'algorithme de clé publique, un algorithme d'authentification de message et un algorithme de chiffrement symétrique (bloc / flux).

Avant de pouvoir déterminer le type de suites Cipher à prendre en charge, vous devez connaître les capacités de vos serveurs, ce qui peut impliquer de mettre à jour votre bibliothèque OpenSSL (ou un autre logiciel SSL) à sa version la plus moderne. Un mot de conseil, l'utilisation de la cryptographie à courbe elliptique est préférable à la RSA.

Q5. Les garanties sont-elles importantes?

Il est agréable d’avoir une garantie importante sur chaque produit, et l’industrie SSL / TLS fournit certaines des garanties les plus généreuses sur le marché. Ils paient au cas où l'autorité de certification qui a délivré votre certificat rencontrait un problème coûtant de l'argent à votre organisation. Certes, ce n’est pas si courant, c’est une sorte d’approbation pour les certificats SSL / TLS en général, mais c’est aussi quelque chose que nous ne voudrions pas signaler.


Patrick Nohe
À propos de l'auteur: Patrick Nohe

Patrick Nohe a commencé sa carrière en tant que chroniqueur et chroniqueur pour le Miami Herald. Il sert également de gestionnaire de contenu pour Le SSL Store ™.

Article de WHSR Guest

Cet article a été écrit par un contributeur invité. Les opinions de l'auteur ci-dessous sont entièrement les siennes et peuvent ne pas refléter les vues de WHSR.