Si la sécurisation des échanges est au centre des attentions depuis plusieurs années déjà, elle est devenue encore plus centrale depuis le début d’année et les élections présidentielles américaines. Les mails échangés de manière non-sécurisée par l’un des candidats est quelque chose qui a occupé l’espace médiatique et a fait prendre conscience au grand public de l’importance de protéger ses messages et plus généralement ses données numériques, aussi bien personnelles que professionnelles. Ces débats autour de la protection des données vont sans nul doute faire franchir le pas de la sécurisation des messages à de nombreux propriétaires de sites internet.
Si le chiffrement des messages est aujourd’hui présent dans de plus en plus de cahiers des charges de sites internet, les administrateurs de boutiques en ligne connaissent parfaitement cette problématique et ont adopté massivement cette bonne pratique. Le verrou indiquant aux internautes dans leur navigateur la sécurisation des échanges est en effet un minimum requis pour développer une activité commerciale. Sans cet indicateur, il est en effet impossible de convaincre un internaute d’enfiler ses habits de client et surtout de transmettre des informations relatives à un moyen de paiement.
Si les internautes ont pendant longtemps été uniquement attentif à la sécurisation au moment du passage en caisse, les prochains mois vont sans nul doute voir les habitudes évoluer. Chacun perçoit désormais très bien la valeur de ses données personnelles numériques. La présence du verrou assurant une transmission sécurisée et également l’attention portée par l’administrateur du site internet à la sécurisation pourraient être scrutées par l’internaute avant de se créer un simple compte utilisateur.
Cette vigilance va être également renforcée par la démocratisation de la sécurisation des échanges entre serveurs web et internautes. A terme, le chiffrement des données va, à n’en pas douter, devenir un standard. La voie conduisant à une standardisation est d’autant plus certaine qu’elle est encouragée par Google. Les sites internet ne proposant pas ce service sont déjà a priori moins bien classés que leurs homologues « non-chiffrés » dans les résultats des recherches.
Let’s Encrypt a favorisé et va favoriser la sécurisation des échanges effectués avec les sites internets
La sécurisation des échanges entre un site internet et les utilisateurs est réalisée au moyen d’un certificat et du protocole TLS. Le certificat permet notamment aux navigateurs des internautes de contrôler l’intégrité des données transmises. Il est ainsi impossible pour un pirate de substituer un message pendant son acheminement. Ce certificat peut uniquement être délivré à un site internet par une autorité de certification. Cet organisme est en charge notamment de signer le certificat délivré au site internet et de vérifier l’identité du propriétaire.
L’administrateur du site internet est en charge d’installer le certificat et de configurer son serveur web afin d’utiliser le protocole de chiffrement TLS. Cette installation et le coût du certificat ont été un frein majeur à la démocratisation du chiffrement des échanges. Let’s Encrypt est alors entré en jeu en novembre 2015. Ce projet soutenu par des acteurs majeurs d’internet permet aux administrateurs de sites internet d’installer un certificat gratuit et, mieux encore, de manière automatisée.
Let’s Encrypt – non content de fournir gratuitement un certificat – met également à disposition un script de création et d’installation du certificat mais aussi de configuration du serveur web. Apache2 et Nginx sont notamment supportés. Un script de renouvellement automatique est également disponible.
Cette gratuité et cette facilité d’installation ont déjà permis à plusieurs dizaine de millions de sites internet de proposer des échanges sécurisés à leurs utilisateurs.
Différents types de certificats
Si les certificats fournis par Let’s Encrypt permettent de chiffrer facilement et rapidement les échanges, ils ne garantissent pas aux internautes le plus haut niveau de sécurité ou plus exactement de confiance.
Let’s Encrypt fournit en effet des certificats dits à validation de domaine (DV). Il est délivré à une condition; le demandeur doit être un contact mentionné sur le WHOIS ou être dans la capacité de gérer le site internet.
Le deuxième niveau de certificat est dit à validation d’organisation (OV). Il est délivré par une autorité de certification après validation téléphonique auprès du contact administratif, contrôle du WHOIS et contrôle d’enregistrement à la Chambre de Commerce.
Le troisième niveau de certificat est dit à validation étendue (EV). Le niveau de vérification est plus élevé. Une validation téléphonique supplémentaire est notamment réalisée par rapport au certificat OV. Le certificat EV permet de passer la barre d’adresse des navigateurs en verte et d’afficher le détendeur du certificat à côté de l’url. Les géants d’internet disposent tous de ce type de certificat, relativement onéreux.
Les certificats à validation d’organisation et à validation étendue garantissent non seulement aux internautes une sécurisation des échanges grâce aux certificats et à TLS mais également une identification fiable et forte des responsables du site.
Les certificats SSL peuvent être multi-domaines ou multi-IPs. Ils peuvent alors être utilisés pour sécuriser un ensemble de sites internet mais aussi pour sécuriser plusieurs services comme par exemple un serveur mail. Let’s Encrypt ne propose malheureusement pas cette fonctionnalité.
Quel certificat choisir?
Si les certificats fournis par Let’s Encrypt permettent à tous les administrateurs de site internet de proposer des échanges sécurisés et cryptés, le service de part son mode de fonctionnement ne peut répondre à tous les besoins.
Une boutique en ligne a tout intérêt à opter pour un certificat au moins de deuxième niveau – un certificat à validation d’organisation – afin de transformer facilement les visiteurs en clients grâce à l’augmentation du niveau de confiance. De plus, une entreprise souhaitant lancer de nombreux sites internet ou mettre en place différents services devra également se tourner vers une autorité de certification délivrant des certificats multi-domaines/multi-ips.
Chez Amen, tous les hébergements cPanel possèdent la Certification SSL de Let’s Encrypt. Si vous avez besoin d’une certification plus complète, nous offrons aussi d’autres Certificats SLL à validation entreprise et étendue, émis par Thawte.
