Certificat SSL

15.05.2019 08:39

Depuis le lancement de «Let’s encrypt» fin 2015, le protocole gratuit SSL est le sujet numéro un dans le monde entier, y compris bien sûr la Suisse. Est-ce que Let’s encrypt, avec ses certificats gratuits, résout tous les problèmes de sécurité lors de transactions sur le web? La réponse est simple : non. Des attaques de l’homme du milieu HDM (anglais: Man-in-the-Middle MiTM) sont toujours encore possibles lorsque l’HDM (ou MiTM) est en possession d’un certificat signé pour le domaine correspondant. De plus, Let’s encrypt est encore dans la phase beta, si bien que, logiquement, on ne dispose pas encore de données fiables à long terme. 

L’attribution d’un certificat avec Let’s encrypt est basée sur la validation du domaine. Les entrées sur la Toile doivent déjà être auprès de l’hébergeur. C’est seulement à ce moment-là que les certificats sont délivrés. Lors de la validation d’un domaine, l’autorité de certification(AC) envoie le lien de confirmation par mail à une adresse qui doit correspondre au domaine. Le point faible de toute validation de domaine qui se déroule de cette manière : si un pirate informatique (hacker) peut accéder à un compte de messagerie, il accède également au certificat et peut ainsi en abuser à son profit.

Parmi les certificats SSL, EV (Extendet Validation) jouit de la meilleure réputation au sein de la branche. Le domaine est de couleur verte dans barre d’adresse du navigateur comme vous pouvez par exemple le voir sous  https://webstyle.ch . La vérification de l’autorité de certification (AC) se fait par téléphone. EV garanti le plus haut niveau de fiabilité et ce sera le meilleur choix pour des sites Internet comportant des transactions sensibles comme le E-Banking, les magasins en ligne avec paiement par carte de crédit, Extranet avec les données de patients, etc. 

Il est certainement intéressant du point de vue sécurité, que les certificats pour Let’s encrypt ne sont valables que 90 jours et doivent être renouvelés manuellement ou par Cron Job, ce qui engendre une nouvelle vérification. 

Let's encrypt, Standard (DV),Wildcard, Extended Validation (EV): Aperçu des certificats SSL – ce qu’ilsoffrent et leur coût.

0  Commentaires

écrivez un commentaire pour ce site.

Répondre à: répondre au sujet