La sécurité de votre site Web est essentielle au succès de votre entreprise sur Internet. Une façon de protéger vos données (et vos clients) consiste à utiliser des protocoles de communication cryptés. Secure Socket Layer (ou SSL) était la méthode originale de fournir un cryptage de base entre les serveurs et les clients. L'industrie utilise principalement les protocoles Transport Layer Security (ou TLS) maintenant, mais le processus est fondamentalement le même, et la plupart des utilisateurs se réfèrent à ce type de cryptage par l'ancien nom :SSL. Dans le cadre de notre boîte à outils d'hébergement Web, Liquid Web fournit un outil SSL pour vous aider à vérifier que votre SSL est installé correctement et à jour. Vous trouverez ci-dessous un aperçu de l'utilisation de cet outil, ainsi que certains concepts de base et types de certificats à connaître lorsqu'il s'agit de SSL.
Vérificateur de certificat SSL
Vous voudrez confirmer que tout fonctionne correctement sur le serveur une fois que vous avez commandé et installé avec succès votre SSL. À ce stade, vous voudrez vérifier les SSL de votre domaine pour confirmer les dates d'expiration, les sous-domaines couverts ou d'autres informations. Bien que vous puissiez utiliser divers vérificateurs SSL tiers sur Internet, Liquid Web simplifie la collecte de ces informations sur votre domaine. Allez simplement sur la page Liquid Web Internet Webhosting Toolkit et cliquez sur Outil SSL .
Comment puis-je vérifier si mon certificat SSL est valide ?
Entrez votre nom de domaine dans la case prévue et cliquez sur Soumettre . Vous pouvez saisir soit votre nom de domaine principal (comme mondomaine.com) soit l'un des sous-domaines pour lesquels vous avez créé des certificats SSL (comme blog.mondomaine.com). Si un certificat SSL est installé sur le serveur du domaine, la page affichera l'état du certificat et des informations supplémentaires.
Dans cet exemple, vous pouvez voir que le certificat est valide et approuvé par les navigateurs et que le domaine testé correspond au certificat.
Vous pouvez également voir quelle autorité de certification a émis le certificat et les dates pour lesquelles le certificat est valide.
Enfin, vous pouvez voir quel algorithme de signature a été utilisé pour générer le certificat (indiquant à quel point le certificat est complexe et sécurisé) et quels domaines et sous-domaines sont couverts par le certificat.
Fonctionnement des SSL
Les connexions SSL fonctionnent grâce à une série d'outils qui existent sur votre serveur et sur le navigateur Web d'un client. Au niveau le plus simple, le serveur et un ordinateur client échangent des informations et conviennent d'une « prise de contact » secrète qui permet à chaque ordinateur de faire confiance à l'autre ordinateur. Cette poignée de main est établie grâce à l'utilisation de clés de certificat SSL privées et publiques. La clé privée réside sur le serveur et la clé publique est disponible pour un ordinateur client. Toutes les informations transmises entre les ordinateurs sont codées et ne peuvent être décodées que si les clés correspondent. Ces clés sont générées par une autorité de certification (comme GlobalSign) et peuvent varier en complexité et en date d'expiration. Ces clés correspondantes existent pour empêcher ce que l'on appelle les attaques "man in the middle" lorsqu'un tiers intercepte le trafic Internet dans le but de voler des données précieuses (comme des mots de passe ou des informations de carte de crédit). Étant donné que le tiers ne possède pas les clés correspondantes, il ne pourra lire aucune des informations interceptées.
En utilisant un certificat de confiance, les utilisateurs de votre site Web peuvent entrer leurs informations en toute confiance que leurs données sont en sécurité. Les autorités de certification n'accordent des certificats SSL qu'aux opérateurs qui peuvent prouver qu'ils sont le propriétaire légitime d'un domaine et que le domaine est hébergé sur le serveur pour lequel le certificat est émis. Cette preuve est généralement obtenue en modifiant les enregistrements DNS d'un domaine lors du processus de vérification de la transaction de commande de certificat. Pour en savoir plus sur la façon de commander un SSL via votre compte Web Liquid, consultez Comment commander ou renouveler un certificat SSL dans Gérer.
Types de certificats SSL
Alors que les certificats SSL fournissent tous les mêmes fonctions essentielles, il existe plusieurs types de certificats parmi lesquels choisir. Vous voudrez déterminer quel certificat répond à vos besoins avant de décider d'en commander un pour votre domaine. Les types dont nous parlerons ici sont les certificats auto-signés, les certificats de domaine standard, les certificats génériques, les certificats à validation étendue.
Certificats auto-signés
La plupart des serveurs ont la capacité de générer un certificat SSL auto-signé. Ces certificats fournissent les mêmes types de communication cryptée que ceux fournis par les certificats fournis par les autorités de certification. Cependant, parce qu'ils sont auto-signés, il n'y a aucune preuve que le serveur est le « vrai » serveur associé à un site Web. De nombreux panneaux de contrôle utilisent des certificats auto-signés car le propriétaire du serveur connaît l'adresse IP du serveur et peut être sûr qu'il se connecte au bon site lorsqu'il utilise cette adresse IP. L'avantage des certificats auto-signés est qu'ils sont faciles à générer et que vous pouvez les utiliser aussi longtemps que vous le souhaitez.
Certificats de domaine standard
Si vous n'avez besoin de sécuriser qu'un seul domaine ou sous-domaine, un certificat SSL de domaine standard est approprié. Les certificats standard sont généralement l'option la moins chère des autorités de certification et sont conçus pour couvrir un domaine ou un sous-domaine (généralement, domaine.com et www.domaine.com sont couverts par un certificat standard).
Certificats génériques
Si vous avez plusieurs sous-domaines, vous pourrez peut-être gagner du temps et de l'argent en obtenant un certificat SSL générique. Les certificats génériques couvrent un domaine et tous ses sous-domaines. Par exemple, si vous avez un site Web de domaine qui a également un sous-domaine de messagerie, un blog, un site d'actualités et un site intermédiaire que vous souhaitez protéger par la communication SSL, un seul caractère générique protégera tous les sites.
RemarqueUn certificat générique ne protège qu'un seul niveau de sous-domaines. Ainsi, blog.mydomain.com est couvert, mais new.blog.mydomain.com ne serait pas couvert.
Certificats de validation étendue
Les certificats SSL sont généralement délivrés aux entreprises qui peuvent prouver qu'elles ont le droit d'utiliser un nom de domaine sur Internet (normalement parce qu'elles peuvent modifier les enregistrements DNS de ce domaine). Bien que ce niveau de vérification soit suffisant pour la plupart des entreprises, vous devrez peut-être disposer de preuves supplémentaires que votre entreprise est une entité fiable à des fins commerciales. Les certificats SSL organisationnels nécessitent une vérification supplémentaire par une autorité de certification, y compris des vérifications de l'emplacement physique de votre entreprise et de votre droit de faire des affaires. Les détails SSL organisationnels peuvent être visibles sur votre site Web si vous installez un sceau de site sécurisé. Une vérification supplémentaire est disponible pour les entreprises qui choisissent les certificats SSL Extended Validation. Les processus de validation étendue sont souvent utilisés par les banques et les institutions financières pour rassurer davantage leurs clients sur la légitimité de leur site Web. Les SSL EV feront passer la barre d'adresse du navigateur du client au vert et afficheront le nom de l'entreprise sur le côté droit de la barre d'adresse.
Si vous avez besoin d'aide pour déterminer quel type de SSL convient à votre entreprise, discutez avec notre équipe Solutions pour plus d'informations.
Maintenant que vous avez vérifié les détails de votre certificat SSL et confirmé que toutes les informations sont correctes, vous serez sûr que les communications entre votre serveur et les ordinateurs de vos clients sont sécurisées car ces informations circulent sur Internet. Pour plus d'informations sur l'amélioration de la sécurité globale de votre serveur, consultez Meilleures pratiques :protéger votre site Web contre les compromis.