Qu'est-ce qu'un certificat de sécurité de site Web et pourquoi devriez-vous vous en soucier?
Jamais vu l'erreur, “Il y a un problème avec le certificat de sécurité de ce site” et je me demandais ce que cela voulait dire? Je vais expliquer ce qu'est un certificat de sécurité et comment il fonctionne - pour que vous puissiez revenir à votre navigation - sans souci.
La sécurité Internet est assez complexe, aussi cet article ne donne-t-il qu'un simple aperçu du sujet pour les lecteurs non techniques et des conseils sur les mesures à prendre en cas d'erreurs de sécurité.
Pourquoi les certificats de sécurité sont importants
Lorsque vous accédez à un site Web sur lequel vous devez vous connecter et gérer un compte, il est important que les détails de votre compte restent entre vous et votre fournisseur de services afin que votre argent, votre identité et vos informations personnelles restent en sécurité. Votre fournisseur de services en ligne peut être votre banque, une boutique en ligne ou un site de commerce électronique, PayPal, votre adresse e-mail ou votre blog privé..
Lorsque vous accédez à ces types de sites Web, vous remarquerez que l’URL commence par une icône de verrou et “https: //” au lieu de juste “http: //”.
HTTPS (HyperText Transfer Protocol Secure) indique que le site Web est protégé par Secure Socket Layer / Transport Layer Security. Les données échangées entre vous et le site Web sont cryptées, de sorte que les informations sont confidentielles et que le site Web est identifié comme étant celui qu'il prétend être. Tout comme la vérification de votre identité (à l'aide d'un nom d'utilisateur et d'un mot de passe, ainsi que d'autres informations demandées, telles que l'authentification à deux facteurs. Qu'est-ce qu'une authentification à deux facteurs et pourquoi utiliser l'authentification à deux facteurs?). Pourquoi devriez-vous l'utiliser? L'authentification à deux facteurs (2FA) est une méthode de sécurité qui nécessite deux façons différentes de prouver votre identité. Elle est couramment utilisée dans la vie quotidienne. Par exemple, payer avec une carte de… En savoir plus ), le site Web doit également. Le site Web prouve qu'il est exploité par ses véritables propriétaires en présentant un certificat de sécurité à votre navigateur Internet, qui vous indique ensuite que le site est légitime grâce au symbole de verrouillage..
Si vous ne voyez pas ces choses alors que vous devriez être sur un site sécurisé, ou si vous voyez un avertissement, cela signifie que le site Web pourrait être un faux. Sur un site comme celui-ci, vous envoyez peut-être vos données à de mauvaises personnes, ce qui ferait de vous une victime d'une attaque de type "homme du milieu". Qu'est-ce qu'une attaque de type "Man-in-the-Middle"? Le jargon de la sécurité a expliqué Qu'est-ce qu'une attaque de type homme au milieu? Le jargon de la sécurité expliqué Si vous avez entendu parler d'attaques de type "homme au milieu" mais que vous n'êtes pas certain de ce que cela signifie, cet article est pour vous. Lire la suite . Vous pouvez cliquer sur le symbole de cadenas pour plus de détails, s'il n'apparaît pas en vert ou s'il comporte un symbole d'avertissement jaune.
Les symboles de sécurité diffèrent: consultez les explications de Google pour celles utilisées dans Chrome, tandis que les utilisateurs d'Internet Explorer doivent consulter la clé de Microsoft. Les boutons de sécurité du navigateur Safari apparaissent à la fin de l'URL, comme expliqué par Apple.
Propriétaires de site, navigateurs et autorités de certification
Les propriétaires de sites Web de commerce électronique paient un tiers, appelé autorité de certification, pour vérifier l'identité de l'entreprise et l'authenticité de ses transactions..
Les navigateurs Web, tels que Google Chrome, Firefox et Internet Explorer, maintiennent une liste des autorités de certification qu'ils considèrent comme dignes de confiance. Lorsque vous accédez à ce qui devrait être un site Web sécurisé, le site présente son certificat de sécurité à votre navigateur. Si le certificat est à jour et émanant d'une autorité de certification de confiance, vous êtes autorisé à vous connecter et à terminer vos transactions, sans avertissement..
Si vous démarrez un site Web sécurisé, vous avez le choix entre plusieurs autorités de certification. Ils peuvent inclure Norton, GoDaddy, Microsoft et de nombreux autres. Leur travail consiste à vérifier que vous êtes propriétaire du site pour lequel ils émettent un certificat, également appelé Vérification de domaine. Pour ce faire, vous pouvez envoyer un courrier électronique contenant les instructions de mise à jour des paramètres du serveur de noms de domaine (DNS) de votre site Web, ou des fichiers de votre serveur Web, à l'adresse électronique associée au domaine du site Web. L’idée est que seule la personne qui a reçu ce courrier électronique aurait les instructions exactes pour mettre à jour le site Web, et serait capable de le faire..
Une plus grande sécurité
Il existe d'autres types de certificats plus rigoureux qu'une autorité de certification peut offrir (qui coûte plus cher) pour vérifier qui vous êtes et votre entreprise, tels que la validation étendue qui peut coûter des centaines de dollars (les grandes entreprises payent parfois des milliers de dollars). La validation étendue inclut la vérification d'informations telles que l'identité légale du propriétaire du site Web, le nom de la société, l'adresse physique, l'enregistrement et la juridiction de constitution. La sécurité de ce site Web est une mesure de confiance importante si vous exploitez une entreprise Qu'est-ce qu'un certificat de sécurité de site Web et pourquoi vous en soucier? Qu'est-ce qu'un certificat de sécurité de site Web et pourquoi devriez-vous vous en soucier? Lire la suite .
Lorsque vous visitez un site qui a subi une validation étendue, les navigateurs modernes incluent le nom de la société en vert dans la barre d’URL pour vous indiquer que vous traitez avec la bonne compagnie..
Autorités de certification gratuites
Il existe des autorités de certification gratuites, mais comme le service est gratuit, elles ne disposent pas des mêmes couches de sécurité et de stratégie de marque que les grands noms. En outre, leur omniprésence de reconnaissance du navigateur leur fait souvent défaut. Cela signifie que si vous recevez un certificat de sécurité gratuit, les lecteurs de votre site Web peuvent entendre que les navigateurs de leur site Web leur avertissent lorsqu'ils visitent votre site que l'autorité de certification de votre site n'est pas fiable. Vous pouvez obtenir une vérification de domaine gratuite auprès de StartSSL (sans validation d'identité), ce qui permettra à votre site d'être approuvé par les navigateurs Mozilla, Safari et Internet Explorer. Cependant, vous n’obtiendrez pas la barre verte pour les packages de validation étendue, qui coûtent environ 200 USD. Cependant, la société est basée en Israël et doit conserver vos documents de vérification pendant plusieurs années..
CACert est une autorité de certification gratuite, dirigée par la communauté. Les assureurs bénévoles de CACert rencontrent les propriétaires de sites pour examiner vos documents d’identité en personne. Malheureusement, les certificats de CAcert ne sont pas approuvés dans les principaux navigateurs et ne sont inclus que dans quelques systèmes d'exploitation à source ouverte..
L'utilisation de CACert et de StartSSL offrira toutefois le cryptage de votre site. Par conséquent, si vous avez une simple interaction utilisateur sur votre site (comme un forum ou un wiki), ces services gratuits peuvent être exactement ce dont vous avez besoin..
Que faire si vous voyez un avertissement de certificat
La chose importante à faire lorsque vous recevez l'avertissement de votre navigateur est de vérifier les détails. Vous serez en mesure de savoir pourquoi le certificat a été rejeté et de décider vous-même si vous souhaitez continuer et utiliser le site de toute façon. Si le certificat est expiré, le propriétaire du site Web peut avoir simplement oublié de le renouveler à temps. Si vous voyez souvent cette erreur, vérifiez la date de l'horloge de votre ordinateur et assurez-vous qu'elle est exacte..
Toutefois, si le certificat de sécurité a été révoqué, cela signifie que le site utilise le certificat de manière frauduleuse et vous ne devez pas lui faire confiance. Vous pouvez également avoir l’avertissement que l’autorité de certification n’est pas fiable. Si vous pensez comprendre et faire confiance au modèle de vérification entre homologues de CACert ou à la vérification de domaine de StartSSL, vous pouvez indiquer à votre navigateur de faire confiance à ces autorités de certification. Il y a d'autres types d'avertissements et d'erreurs, alors gardez les yeux ouverts et lisez les détails en détail.
Lorsque vous voyez un avertissement de certificat provenant d'un site de confiance, vous pouvez également essayer de consulter le fil Twitter du site Web, souvent à la maison avec des mises à jour concernant le site, les temps d'arrêt, la sécurité et d'autres problèmes..
S'ils ne disposent pas de mises à jour et si vous en avez la possibilité, il peut être utile de contacter le propriétaire du site Web pour savoir ce qui se passe. Vous économiserez peut-être beaucoup de problèmes au propriétaire du site Web et à d'autres utilisateurs s'ils ne sont pas déjà au courant de l'avertissement de certificat..
En bref, soyez vigilant (parce que les tentatives de phishing se font jour par une nouvelle escroquerie par hameçonnage. Page de connexion Google trop précise par une nouvelle escroquerie par hameçonnage par Google. Vous obtenez un lien Google Doc. Vous cliquez sur ce lien, puis vous vous connectez à votre compte Google. Apparemment, une configuration sophistiquée de phishing enseigne au monde une autre leçon de sécurité en ligne. Découvrez-en plus), mais soyez également curieux. Allez-y et découvrez pourquoi vous voyez des avertissements de sécurité.
Avez-vous déjà rencontré un avertissement de certificat de sécurité? Prenez-vous le temps de savoir pourquoi vous le voyez? Quels sont ceux qui vous inquiètent le plus et avez-vous des conseils pour les résoudre??
En savoir plus sur: la sécurité en ligne, les achats en ligne.