Alioze

Site sécurisé https : cadenas vert, certificat EV SSL… comment ça marche ?

Site sécurisé https

En se penchant, sur les chiffres communiqués par la Fevad, il va sans dire que le e-commerce français se porte à merveille :

De ce fait, un nombre considérable de transactions et paiements bancaires ont lieu en ligne et, avec eux, de plus en plus de données personnelles transitent sur le web. La sécurité du site internet doit donc se situer au coeur des préoccupations d’une entreprise.

Plusieurs niveaux de sécurisation existent. Mais, entre le protocole HTTPS, les cadenas verts, orange ou gris et la barre d’adresse du navigateur surlignée en vert, il peut être difficile de comprendre à quoi correspondent chacune de ces attestations visuelles qui rassurent les internautes à différents degrés.

 

Tour d’horizon des différentes façon de garantir un site sécurisé

 

Le protocole HTTPS

L’HyperText Transfer Protocol Secure, abrégé HTTPS, est la version sécurisée de HTTP, le protocole sur lequel les données sont envoyées entre votre navigateur et le site web auquel vous êtes connecté.

Le « S » à la fin de HTTPS signifie « Secure ». Il indique que toutes les communications entre votre navigateur et le site web sont cryptées. C’est la raison pour laquelle HTTPS est souvent utilisé pour protéger les transactions en ligne hautement confidentielles telles que les opérations bancaires et les formulaires de commande sur un e-commerce.

 

 

Comment fonctionne HTTPS ?

Les pages HTTPS utilisent le protocole sécurisé SSL (Secure Sockets Layer) pour crypter les communications. Ce protocole recourt à un système d’infrastructure à clés publiques (ICP) « asymétrique ».

Un système asymétrique utilise deux « clés » pour chiffrer les communications : une clé « publique » et une clé « privée ». Concrètement, tout ce qui est chiffré avec la clé publique ne peut être déchiffré que par la clé privée et vice-versa.

Comme son nom le suggère, la clé « privée » doit être strictement protégée, et accessible uniquement par son propriétaire. Dans le cas d’un site web, la clé privée reste sécurisée sur le serveur web. Inversement, la clé publique est destinée à être distribuée à quiconque devant pouvoir décrypter des informations cryptées avec la clé privée.

 

Qu’est-ce qu’un certificat HTTPS ?

Lorsque vous demandez une connexion HTTPS à une page web, le site envoie initialement son certificat SSL à votre navigateur. Ce certificat contient la clé publique nécessaire pour commencer la session sécurisée.

Sur la base de cet échange initial, votre navigateur et le site web lancent alors le protocole « handshake SSL ». Celui-ci implique la génération de secrets partagés pour établir une connexion unique entre l’internaute et le site web.

 

Pourquoi un certificat SSL est-il requis ?

Toutes les communications envoyées sur des requêtes HTTP classiques transitent en « clair » et peuvent être facilement interceptées et lues par une personne mal intentionnée. Le danger est évident si la « communication » a lieu sur un site e-commerce vis à vis de transaction bancaire et des codes de cartes bleues associés. Mais il subsiste sur tout type de site nécessitant une authentification. Sans HTTPS, les logins / mots de passe transitent en clair dans les échanges clients / serveurs, sans être chiffrés.

Avec une connexion HTTPS, toutes les communications sont cryptées de manière sécurisée. Ainsi, même si quelqu’un réussit à percer dans la connexion, il sera incapable de décrypter les données échangées entre l’internaute et le site web.

Notez qu’il est possible d’utiliser HTTPS uniquement pour la partie transaction de votre site e-commerce.

 

Affichage d’une connexion SSL dans le navigateur : cadenas vert

Pour utiliser SSL, un webmaster achète un certificat d’une autorité de certification et l’installe sur son serveur web. Lors de la visite du site, un navigateur web lira le certificat du serveur et utilisera ses informations clés pour configurer une connexion cryptée entre le navigateur et le serveur.

Chacun des navigateurs web modernes, Internet Explorer, Chrome et Firefox, notifient aux utilisateurs que SSL est actif grâce à l’utilisation d’icônes, de couleurs ou d’autres notifications visuelles.

Par exemple, lorsqu’un certificat SSL sécurisé est utilisé pendant une connexion HTTPS, les utilisateurs verront un cadenas dans la barre d’adresse du navigateur.

 

Cadenas vert d’un site sécurisé

L’affichage ou la couleur du cadenas varieront en fonction du type de certificat SSL utilisé sur le site, mais également du navigateur web.

 

Avantages du HTTPS et du certificat SSL

 

Les différentes certifications SSL

 

6 fournisseurs leaders sur le marché des certificats SSL approuvés (non gratuit)

 

Focus sur le certificat EV SSL : paiement bancaire sous haute sécurité

Disponible pour toutes les entités commerciales et gouvernementales, la norme EV SSL est née de la volonté des éditeurs de navigateur web et Autorités de Certifications d’assurer une sécurité optimale des transactions en ligne.

Dans cet esprit, ils créent le CA/Browser Forum, un regroupement volontaire d’Autorités de Certification et d’éditeurs de navigateurs. Ensemble, ils définissent des normes strictes que doivent respecter toutes les CA délivrant le certificat EV SSL.

Le processus EV est plus rigoureux et plus détaillé que n’importe quel autre certificat SSL et nécessitera des étapes supplémentaires qui peuvent inclure l’obtention de signatures de plusieurs personnes au sein de l’entreprise demandeuse ou encore la vérification juridique de l’existence de l’entreprise.

Avant d’obtenir la certification EV SSL, les sites sécurisés doivent ainsi passer par un processus d’authentification rigoureux, tel que définit pas le forum CA/Browser. Sa mise en place prend généralement plusieurs jours, le temps nécessaire à la validation de toutes les étapes du processus.

 

Certificat EV SSL : mode d’emploi

Le fonctionnement d’un certificat EV SSL se décortique en 4 étapes :

 

Affichage d’une connexion EV SSL dans le navigateur web : barre d’adresse en vert et nom de l’entreprise

L’obtention d’un certificat SSL de validation étendue nécessite une authentification complète de l’entreprise. Ce processus garanti que la barre d’adresse verte n’est associée qu’aux sociétés les plus fiables. Les sites web utilisant un certificat EV amèneront donc les navigateurs web à modifier la barre d’adresse en vert, mais également à afficher le nom de l’organisation à laquelle le certificat a été délivré.

Affichage dans la barre d’adresse du navigateur Chrome : cadenas vert et nom de l’entreprise en vert grâce au certificat EV SSL

Cette fonctionnalité de sécurité a été spécialement mis en place pour permettre à l’internaute de vérifier que le site web sécurisé est effectivement desservie par la société à laquelle il prétend être affilié.

 

Pourquoi un certificat EV SSL ?

Le cadenas et la barre d’adresse du navigateur en vert ainsi que l’affichage du nom de l’entreprise aident les e-commerçants à accroître la confiance des consommateurs, à réduire le taux d’abandon de panier, à augmenter les taux de conversion et à générer des revenus à long terme grâce au paiement bancaire sécurisé.

 

Certificat EV SSL : pour qui ?

Ce certificat de validation étendue doit être utilisé par tous les sites web exigeants une sécurité accrue du fait d’un échange de données confidentielles. Les sites de transactions bancaires et e-commerce de grandes marques en font partie, étant souvent la cible d’attaque par hameçonnage. Il n’y a donc rien d’étonnant à voir que plusieurs grandes marques et entreprises utilisent le certificat EV SSL. Parmi elles figurent notamment Paypal ou Zalando.

Si les prix des certificats EV varient, ils ne sont généralement pas bon marché. La question mérite donc d’être posée : en avez-vous vraiment besoin ?

Ce certificat peut être utile à de petites marques procédant à des paiements en ligne, qui gagneraient à se démarquer de la concurrence en affichant une sécurité accrue. Afin de se décider, il convient de peser le manque à gagner par des paniers abandonnés dus à la méfiance des internautes, face au prix du certificat EV SSL.

Quitter la version mobile