Https, certificat SSL, SV SSL, cadenas vert… : l’essentiel à savoir sur la sécurité de la connexion d’un site

Un nombre sans cesse croissant de personnes font actuellement leur l’achat en ligne. Une hausse de 14,3% des ventes ont été d’ailleurs, enregistrée sur internet en 2015. Cela implique la circulation d’une énorme quantité d’informations personnelles et de transactions. Il va sans dire que pour rassurer les acheteurs, les sites e-commerce ont intérêt à leur fournir un site hautement sécurisé. De nombreux procédés de sécurisation peuvent être adoptés. Pour en savoir un peu plus, nous vous invitons à poursuivre la lecture.

Et si l’on commence par le protocole Https ?

Vous le savez peut-être déjà que le « S » qui se trouve à la fin de HTTPS a comme signification en anglais « Secure ». HTTPS est l’abréviation de Hyper Text Transfer Protocol Secure. De là, on comprend qu’un site http n’est pas plus sécurisé qu’un site https.

Il faut savoir que lorsqu’on se connecte à un site internet, des données transitent entre le navigateur utilisé et le site internet visité. Sur un site https, un protocole de cryptage est effectué pour sécuriser les informations personnelles émises par l’internaute. Voilà ce qui explique l’utilisation de l’https sur les sites de vente en ligne et les banques virtuelles.

Pour mieux comprendre le fonctionnement de https

Le cryptage des informations sur les sites https se fait via le SSL (Secure Sockets Laeyer). Il s’agit d’un protocole utilisant un système ICP asymétrique (Infrastructure à clés publiques). Ce dernier emploie une clé publique et une clé privée pour coder les communications. Ce qui rend la sécurité des sites https plus performants, c’est que le décryptage des informations qui sont cryptées avec la clé publique n’est possible qu’avec la clé privé, et inversement.

Vous l’aurez sans doute deviné, la clé privée est la clé dont l’accès est réservé au propriétaire. Pour un site internet, le serveur web est donc celui qui assure sa sécurisation. Quant à la clé publique, c’est la clé dont l’accès est autorisé à tout le monde ayant besoin de déchiffrer les communications chiffrées avec la clé privée.

site ecommerce securise

Que doit-on savoir du certificat https ?

Un internaute qui demande à être connecté à une page web https d’un site web recevra sur son navigateur le certificat SSL du site en question. Ce dernier embarque la clé publique indispensable pour s’assurer de la confidentialité de la connexion.

Une fois le certificat transmis, le protocole « handshake SSL » s’active pour permettre des échanges uniques et sécurisés d’informations entre le site web et le navigateur utilisé par l’internaute.

Quel est le réel intérêt du certificat ssl ?

La connexion demeure transparente sur un site http qui n’utilise pas le protocole SSL. Il n’est point difficile pour une personne peu scrupuleuse de voler les informations que vous pourriez transmettre sur ce genre de site. Imaginez les conséquences que pourraient entrainer le vol de vos informations bancaires sur une page de transaction ou sur un site e-commerce ! Un site utilisant le protocole https vous protégera des vols de codes de carte bancaires. Vos données d’identification, comme le mot de passe et le nom d’identifiant, seront aussi mieux préservées sur un site https.

Sur un site bénéficiant d’un certificat SSL, les échanges de données s’effectuent donc dans un environnement sécurisé. Il est possible de pénétrer dans la communication, mais en revanche, il est impossible de déchiffrer les données cryptées que l’internaute transmet au site. Il convient de souligner que l’utilisation du https est obligatoire sur l’ensemble du site pour sécuriser convenablement la connexion des utilisateurs. La page de paiement ne doit pas être la seule à profiter de ce protocole.

Comment savoir si le site vous fait profiter d’une connexion SSL ?

Le système de cryptage SSL est installé sur le serveur web à l’initiative du webmaster qui en aura fait l’achat auprès d’un organisme de certification. Lors d’une requête, le certificat du serveur est capté par le navigateur web utilisé par l’internaute, ce qui permettra à celui-ci d’établir une connexion sécurisée avec le serveur web du site concerné.

Lorsqu’une page ou un site web est sécurisé via SSL, le navigateur web le fait savoir aux utilisateurs par le biais de signaux visuels. Il peut s’agir d’une icône, d’une couleur ou autre. Ainsi, lors d’une connexion https, si le protocole SSL est actif, les utilisateurs vont pouvoir constater sur la barre d’adresse de leur navigateur un cadenas.

La couleur du cadenas peut se différencier selon le navigateur web utilisé ou le type de certificat SSL procuré par le webmaster.

Les avantages d’un site https avec SSL

Nombreux sont les avantages de naviguer sur un site https et bénéficiant du protocole de sécurité SSL. Tout d’abord, notez que toutes les données échangées entre le navigateur et le site web sont cryptées de manière à rendre impossible l’accès à tous ceux qui n’ont en pas l’autorisation.

Avant de faire une transaction ou fournir des informations personnelles sur votre site, le visiteur a la possibilité de s’informer un peu plus sur le sérieux de votre entreprise. Est-ce que le domaine vous appartient ? Est-ce que votre entreprise est enregistrée ? Etc.

Pour les entreprises, notamment les sites e-commerce, opérer un site https avec un certificat SSL est un moyen de rassurer les clients et de gagner leur confiance. La présence du cadenas dans la barre d’adresse de votre navigateur leur donne la certitude que les transactions qu’ils vont effectuer se dérouleront en toute sécurité.

Quel type de certificat SSL peut-on prétendre auprès d’une autorité de certification ?

Trois types de certificat SSL existent. Le premier est gratuit et non approuvé. Auto-signé par le site internet, ce type de certificat n’est pas installé par défaut sur le navigateur web. Le niveau de sécurisation offert par ce certificat est limité.

Le certificat SSL approuvé est par contre payant. Celui-ci est signé par une Autorité de Certification. Pré-installé sur les navigateurs web, ce certificat est plus sécurisé que celui non approuvé et gratuit. Cela ne signifie pourtant pas qu’on peut s’y fier à 100%. La raison est simple, en effet, les autorités de certification ne peuvent pas recourir à un processus d’authentification particulière vis à vis des entreprises leur réclamant un certificat SSL signé. Il est alors possible pour tout le monde, y compris les demandeurs malhonnêtes d’accéder à un certificat SSL approuvé.

Le troisième c’est le certificat Extended Validation (EV) SSL. C’est certainement le certificat offrant le plus haut niveau de sécurité aux utilisateurs. La délivrance de ce certificat est conditionnée par plusieurs critères. D’ailleurs, une enquête plus approfondie est menée sur l’entité demandeuse avant qu’elle puisse faire profiter à ses clients de cette certification.

Où peut-on se procurer un certificat SSL approuvé ? On peut citer parmi les fournisseurs majeurs : Comodo, GeoTrust, RapidSSL, Globalsign, Thawte et Symantec.

En savoir un peu plus sur le certificat EV SSL

Le certificat EV SSL est créé de manière à sécuriser de la meilleure façon qui soit les transactions en ligne. Il est né de la concertation entre les principaux éditeurs de navigateurs web et les Autorités de Certification. Ce sont alors ces derniers qui établissent les normes auxquelles doivent se soumettre les fournisseurs de certificat EV SSL.

Le certificat SSL s’adresse principalement aux sites web sur lesquels sont censés transiter des données confidentielles, à savoir les sites des banques, les plateformes de paiement en ligne (Paypal, Skrill, etc.) et les sites de vente en ligne à forte popularité comme ceux appartenant à des grandes marques. Ils peuvent également servir aux sites e-commerce peu connus, mais souhaitant se distinguer des concurrents en proposant un plus haut niveau de sécurité vis-à-vis des paiements. D’après des enquêtes, l’utilisation du certificat EV SSL a un impact positif sur le taux de conversion. Elle permet de diminuer le taux d’abandon de panier.

Comme évoqué plus haut, il est plus difficile d’obtenir un certificat EV SSL qu’un simple certificat SSL approuvé. En effet, avant l’attribution du certificat, de nombreuses signatures peuvent être exigées auprès de l’entité qui en fait la demande. Il faut aussi que l’entreprise soit à même de prouver qu’elle existe juridiquement. Un long processus d’authentification devra être alors accompli pour jouir d’un site proposant une connexion EV SSL. Il comprend plusieurs étapes dont la réalisation peut prendre plusieurs jours.

Pour savoir si le site ou la page visitée bénéficie d’un certificat EV SSL, c’est que la barre d’adresse est en vert. C’est justement le cas de Paypal.

Besoin d’un devis pour la migration de votre site en HTTPS ? Contactez-nous !