Qu'est-ce qu'un certificat de sécurité de site Web et pourquoi devriez-vous vous en soucier?

Publicité

Avez-vous déjà vu l'erreur «Il y a un problème avec le certificat de sécurité de ce site Web» et vous êtes-vous demandé ce que cela signifiait? Je vais vous expliquer ce qu'est un certificat de sécurité et comment il fonctionne - afin que vous puissiez revenir à votre navigation - sans souci.

La sécurité sur Internet est assez complexe, donc cet article ne donne qu'un simple aperçu du sujet pour les lecteurs non techniques et des conseils sur ce qu'il faut faire lorsque vous rencontrez des erreurs de sécurité.

Pourquoi les certificats de sécurité sont importants

Lorsque vous accédez à un site Web sur lequel vous devez vous connecter et gérer un compte, il est important que votre compte les détails restent entre vous et votre fournisseur de services, donc votre argent, votre identité et vos informations personnelles restent sûr. Votre fournisseur de services en ligne peut être votre banque, une boutique en ligne ou un site Web de commerce électronique, PayPal, votre courrier électronique ou votre blog privé.

Lorsque vous accédez à ces types de sites Web, vous remarquerez que l'URL commence par une icône de verrouillage et "https: // "au lieu de simplement" http://”.

HTTPS (HyperText Transfer Protocol Secure) indique que le site Web est protégé par Secure Socket Layer / Transport Layer Security. Les données transmises entre vous et le site Web sont cryptées, de sorte que les informations sont privées et que le site Web est identifié comme étant celui qu'il prétend être. Tout comme la façon dont vous vérifiez votre identité (au moyen d'un nom d'utilisateur et d'un mot de passe et d'autres informations qu'ils peuvent demander, comme dans authentification à deux facteurs Qu'est-ce que l'authentification à deux facteurs et pourquoi l'utiliser?L'authentification à deux facteurs (2FA) est une méthode de sécurité qui nécessite deux façons différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple, payer avec une carte de crédit ne nécessite pas seulement la carte, ... Lire la suite ), le site Web doit également le faire. Le site Web prouve qu'il est exploité par ses véritables propriétaires en montrant un certificat de sécurité à votre navigateur Internet, qui vous indique alors que le site est légitime avec le symbole de verrouillage.

Si vous ne voyez pas ces choses alors que vous devriez être sur un site sécurisé, ou si vous voyez un avertissement, cela signifie que le site Web pourrait être un faux. Sur un site comme celui-ci, vous envoyez peut-être vos données à de mauvaises personnes, ce qui vous rendrait victime d'un attaque de l'homme du milieu Qu'est-ce qu'une attaque d'homme au milieu? Explication du jargon de sécuritéSi vous avez entendu parler d'attaques de type "homme du milieu" mais n'êtes pas sûr de ce que cela signifie, cet article est pour vous. Lire la suite . Vous pouvez cliquer sur le symbole du cadenas pour plus de détails, s'il n'apparaît pas en vert ou s'il a une marque d'avertissement jaune dessus.

Les symboles de sécurité diffèrent: vérifiez Explications de Google sur celles utilisées dans Chrome, tandis que les utilisateurs d'Internet Explorer devraient consulter Clé de Microsoft. Les boutons de sécurité du navigateur Safari apparaissent à la fin de l'URL, comme expliqué par Apple.

Propriétaires de sites, navigateurs et autorités de certification

Les propriétaires de sites Web de commerce électronique paient un tiers appelé autorité de certification (CA) pour vérifier l'identité de l'entreprise et l'authenticité de ses transactions.

Les navigateurs Web, tels que Google Chrome, Firefox et Internet Explorer, tiennent à jour des listes d'autorités de certification qu'ils considèrent fiables. Lorsque vous accédez à ce qui devrait être un site Web sécurisé, le site présente son certificat de sécurité à votre navigateur. Si le certificat est à jour et d'une autorité de certification de confiance, vous êtes autorisé à vous connecter et à terminer vos transactions, sans avertissement.

Si vous lancez un site Web sécurisé, vous pouvez choisir parmi de nombreuses autorités de certification différentes. Ils peuvent inclure Norton, GoDaddy, Microsoft et bien d'autres. Leur tâche consiste à vérifier que vous êtes propriétaire du site pour lequel ils émettent un certificat, également appelé vérification de domaine. Cela peut être fait en envoyant un e-mail avec des instructions pour mettre à jour le nom de domaine de votre site Web Paramètres du serveur (DNS), ou fichiers sur votre serveur Web, à l'adresse e-mail associée au site Web domaine. L'idée est que seule la personne qui a reçu cet e-mail aurait les instructions exactes pour mettre à jour le site Web et serait en mesure de le faire.

Plus de sécurité

Il existe d'autres types de certificats plus rigoureux qu'une autorité de certification peut offrir (qui coûtent plus cher) pour vérifier qui vous et votre sont, comme Extended Validation, qui peuvent coûter des centaines de dollars (les grandes entreprises paieront parfois milliers). La validation étendue comprend la vérification d'informations telles que l'identité juridique du propriétaire du site Web, le nom de l'entreprise, l'adresse physique, l'enregistrement et la juridiction d'incorporation. Ce la sécurité d'un site Web est une mesure de confiance importante si vous dirigez une entreprise Qu'est-ce qu'un certificat de sécurité de site Web et pourquoi devriez-vous vous en soucier? Lire la suite .

Lorsque vous visitez un site qui a subi une validation étendue, les navigateurs modernes incluent le nom de la société en vert dans la barre d'URL, pour vous faire savoir que vous traitez avec la bonne société.

Autorités de certification gratuites

Il existe des autorités de certification gratuites, mais comme le service est gratuit, elles n'ont pas les mêmes niveaux de sécurité et de marque que les grands noms. En outre, ils manquent souvent de leur ubiquité de reconnaissance de navigateur. Cela signifie que si vous obtenez un certificat de sécurité gratuit, vous pourrez entendre les lecteurs de votre site Web que leur le navigateur présente un avertissement lorsqu'ils visitent votre site que l'autorité de certification de votre site est non fiable. Vous pouvez obtenir la vérification de domaine gratuite à partir de StartSSL (sans validation d'identité), et cela effacera votre site pour qu'il soit approuvé par les navigateurs Mozilla, Safari et Internet Explorer. Cependant, vous n’obtiendrez pas la barre verte pour les packages Extended Validation, qui coûtent environ 200 $. Cependant, la société est basée en Israël et est tenue de conserver vos documents de vérification pendant plusieurs années.

CACert est une autorité de certification communautaire gratuite. Les assureurs bénévoles de CACert rencontrent les propriétaires du site pour examiner vos documents d'identité en personne. Malheureusement, les certificats CAcert ne font pas confiance aux principaux navigateurs et ne sont inclus que dans quelques systèmes d'exploitation open source.

L'utilisation de CACert et StartSSL offrira cependant le cryptage de votre site, donc si vous avez une interaction simple avec l'utilisateur sur votre site (comme un forum ou un wiki), ces services gratuits peuvent être exactement ce dont vous avez besoin.

Que faire si vous voyez un avertissement de certificat

La chose importante à faire lorsque vous recevez cet avertissement du navigateur est de vérifier les détails. Vous pourrez découvrir pourquoi le certificat a été rejeté et décider par vous-même si vous souhaitez continuer et utiliser le site de toute façon. Si le certificat a expiré, le propriétaire du site Web peut avoir juste oublié de le renouveler à temps. Si vous voyez souvent cette erreur, vous devez vérifier la date de l'horloge de votre ordinateur et vous assurer qu'elle est exacte.

Cependant, si le certificat de sécurité a été révoqué, cela signifie que le site utilise le certificat de manière frauduleuse et vous ne devriez pas lui faire confiance. Vous pouvez également recevoir l'avertissement que l'autorité de certification n'est pas approuvée. Si vous sentez que vous comprenez et faites confiance au modèle de vérification peer-to-peer de CACert ou à la vérification de domaine StartSSL, vous pouvez le dire votre navigateur pour faire confiance à ces autorités de certification. Il existe d'autres types d'avertissements et d'erreurs, alors gardez les yeux ouverts et lisez détails.

Lorsque vous voyez un avertissement de certificat provenant d'un site auquel vous faites confiance, vous pouvez également essayer de consulter le flux Twitter du site Web, qui contient souvent des mises à jour sur le site, les temps d'arrêt, la sécurité et d'autres problèmes.

S'ils ne disposent d'aucune mise à jour et si vous le pouvez, il peut être utile de contacter le propriétaire du site Web et de lui demander ce qui se passe. Vous pourriez épargner beaucoup de peine au propriétaire du site Web et aux autres utilisateurs, s'ils ne sont pas déjà au courant de l'avertissement du certificat.

Bref, soyez vigilant (car les escroqueries par phishing Une nouvelle escroquerie par phishing utilise une page de connexion Google extrêmement préciseVous obtenez un lien Google Doc. Vous cliquez dessus, puis vous connectez à votre compte Google. Semble assez sûr, non? Mal, apparemment. Une configuration de phishing sophistiquée enseigne au monde une autre leçon de sécurité en ligne. Lire la suite sont là-bas), mais aussi être curieux. Allez-y et découvrez pourquoi vous voyez des avertissements de sécurité.

Avez-vous déjà rencontré un avertissement de certificat de sécurité? Prenez-vous le temps de découvrir pourquoi vous le voyez? Lesquelles vous inquiètent le plus, et avez-vous des conseils pour savoir quoi faire à leur sujet?