comment bien choisir ses certificats ssl
DESCRIPTION
Certificats SSLTRANSCRIPT
Alice and Bob est membre du Clusif
Comment bien choisir ses certificats SSL
Accroitre la confiance des Internautes en vos sites webs
26/06/2014 www.aliceandbob.fr 1
Alice and Bob est membre du Clusif
Sommaire
1. Pourquoi un certificat SSL ? (page 3)
2. Fonctionnement détaillé et mise en œuvre (page 8)
3. Outils (page 13)
4. Les différents types parmi lesquels choisir (page 16)
5. Annexe – Le SSL techniquement (page 37)
26/06/2014 www.aliceandbob.fr 2
Alice and Bob est membre du Clusif
1. Pourquoi un certificat SSL ?
retour au sommaire
26/06/2014 www.aliceandbob.fr 3
Alice and Bob est membre du Clusif
Un certificat SSL pour :
• chiffrer les échanges entre un site web et le navigateur Internet de l’Internaute
• éviter que les informations circulent en clair • authentifier le propriétaire du site web
26/06/2014 www.aliceandbob.fr 4
Alice and Bob est membre du Clusif
SSL pour l’Internaute
https et non plus http Un cadenas dans la navigateur
Informations sur le propriétaire du site web quand on clique sur le cadenas
Si le certificat est de type Extended Validation la barre d’adresse devient verte
26/06/2014 www.aliceandbob.fr 5
Alice and Bob est membre du Clusif
A quoi sert le SSL? • Rassurer les utilisateurs et clients de sites web et
messageries électroniques • Protéger contre les utilisations frauduleuses de sites
web et messageries électroniques
6
• Crypter les échanges d’informations entre les serveurs web et les navigateurs Internet des utilisateurs et clients
• Faire reconnaître une organisation comme organisation de confiance sur le web
• Sécuriser les messageries électroniques
26/06/2014 www.aliceandbob.fr
Alice and Bob est membre du Clusif 7
Types de risques adressés par le SSL
• Login / mot de passe • Formulaires • E-commerce • Payement en ligne • Messagerie Electronique (exemple OWA) • Extranets • Intranets • Etc…
Sans le SSL les informations circulent en clair sur l’Internet Le SSL accroît la confiance des Internautes et les taux de conversions
26/06/2014 www.aliceandbob.fr
Alice and Bob est membre du Clusif
2. Fonctionnement détaillé et mise en œuvre
retour au sommaire
26/06/2014 www.aliceandbob.fr 8
Alice and Bob est membre du Clusif
Fonctionnement détaillé • Les certificats SSL peuvent être utilisés pour des serveurs web, mais
également pour chiffrer des VPN ou des messageries électroniques. • Pour obtenir un certificat SSL, vous devez tout d’abord créer la clé privée
et la clé publique sur le serveur. Pour ceci vous pouvez utiliser des commandes du type OpenSSL ou l’interface graphique du serveur en fonction des serveurs.
• Vous installez alors la clé privée sur le serveur et envoyez la clé publique via la CSR à l’Autorité de Certification (AC) que vous avez choisie. Ne jamais laisser quoiqu'onques avoir même potentiellement accès à cette clé.
• Cette Autorité de Certification effectuera les vérifications d’usage, qui peuvent inclure un KBis, une vérification des noms dans le whois un appel via le standard trouvé via les pages jaunes à la personne qui se trouve sur le KBis, etc. en fonction du type de certificat.
• Les vérifications peuvent prendre plusieurs jours aussi il convient de s’y prendre à l’avance. Vérifiez que votre whois est à jour.
• L’AC vous délivre le certificat correspondant à votre CSR et donc votre clé privée que vous installez sur votre serveur.
26/06/2014 www.aliceandbob.fr 9
Alice and Bob est membre du Clusif
Schéma de fonctionnement
Tiers de Confiance (DigiCert)
Autorité Compétentes
1) Jean demande un certificat SSL à DigiCert pour company 2) Il envoie sa CSR et les documents requis
Site Web
3) DigiCert effectue les vérifications et validations requises
4) DigiCert envoie le certificat SSL à Jean
5) Jean installe le certificat SSL sur le serveur web
6) Marie accède au site web
Serveur Web
8) Le protocole est https
26/06/2014 www.aliceandbob.fr 10
Alice and Bob est membre du Clusif
L ’Autorité de Certification
• délivre les certificats • signe un accord avec les éditeurs de navigateurs
Internet, qui lui font confiance • suit des procédures très strictes • fait partie du CABForum www.cabforum.org • est auditée pour vérifier qu’elle suit bien les
procédures à la lettre
26/06/2014 www.aliceandbob.fr 11
Alice and Bob est membre du Clusif
Certificat électronique
Nom
Autorité ayant délivré le certificat
Dates de validité
La « carte électronique du site web » Affiché quand on clique sur le cadenas
26/06/2014 www.aliceandbob.fr 12
Alice and Bob est membre du Clusif
3. Outils
retour au sommaire
26/06/2014 www.aliceandbob.fr 13
Alice and Bob est membre du Clusif
SSL Checker
• Vous pouvez vérifier la qualité de l’installation de votre certificat SSL via : http://www.digicert.com/help/
26/06/2014 www.aliceandbob.fr 14
Alice and Bob est membre du Clusif
Certificate Inspector • Découvrez et analysez chaque certificat dans
votre entreprise: https://www.digicert.com/cert-inspector.htm
26/06/2014 www.aliceandbob.fr 15
Alice and Bob est membre du Clusif
Vérification de l’installation
• Nous vous recommandons aussi de bien vérifier l’installation de votre certificat SSL via par exemple : https://www.ssllabs.com/ssltest/
• Nous pouvons vous accompagner pour optimiser cette installation.
26/06/2014 www.aliceandbob.fr 16
Alice and Bob est membre du Clusif
4. Les différents types parmi lesquels choisir
retour au sommaire
26/06/2014 www.aliceandbob.fr 17
Alice and Bob est membre du Clusif
Types de certificats • Les certificats Domain Validated (DV) pour lesquels l’AC vérifie
que le nom de domaine appartient bien à son propriétaire. C’est le plus bas niveau de sécurité. Il peut être utilisé pour un Intranet par exemple. Il est délivré très rapidement.
• Les certificats Organisation Validated (OV) pour lesquels l’AC vérifie en plus l’existence de l’organisation à qui appartient le nom de domaine. C’est le plus utilisé aujourd’hui. Il peut être utilisé pour un site web non e-commerce.
• Les certificats Extended Validation (EV) pour lesquels l’AC vérifie en plus l’existence physique, légale et opérationnelle de l’organisation. C’est le plus haut niveau de sécurité. Il est de plus en plus utilisé. Il possède l’avantage d’afficher une barre verte dans le navigateur afin de rassurer les clients. Les sites e-commerce utilisent aujourd’hui ces certificats.
26/06/2014 www.aliceandbob.fr 18
Alice and Bob est membre du Clusif
Les SAN
• Vous pouvez définir des Subject Alternative Names pour votre certificat.
• Par exemple pour le certificat de http://www.digicert.comvous pouvez choisir comme SAN : – www.DigiCert.fr, – www.monDigiCert.com, – shop.DigiCert.com, etc.
• Le même certificat peut alors être installé pour sécuriser plusieurs sites web avec des noms de domaines différents
26/06/2014 www.aliceandbob.fr 19
Alice and Bob est membre du Clusif
Les certificats wildcard • Vous pouvez choisir de créer un certificat pour tous les noms
de domaines du type *.DigiCert.com par exemple. • Ce certificat pourra alors être utilisé pour sécuriser les noms
de domaine du type: – shop.DigiCert.com – http://www.digicert.com/ – extranet.DigiCert.com – etc.
• Attention : ne marche pas pour http://DigiCert.com ou moncompte.shop.DigiCert.com
• Note: N’est pas disponible pour les certificats Extended Validation
26/06/2014 www.aliceandbob.fr 20
Alice and Bob est membre du Clusif
Différents types de certificats SSL Plus™ Extended Validation Unified
Communications EV Multi-Domaines Wildcard Plus™
Un seul nom de domaine Avec la barre verte Sécuriser plusieurs domaines Plusieurs domaines avec la barre verte (Extended Validation)
Sécurisez la totalité de votre domaine
Affichage de la barre verte √ √Sécurise plusieurs domains (jusqu’à 25) √ √
Sécurise un nombre illimité de sous-domaines √Certificat pour www.example.com valuable aussi
pour example.com √ √ √Chiffrement 2048-bit, 128-bit, et 256-bit √ √ √ √ √
Compatible SSL v3/TLS √ √ √ √ √Compatible avec tous les navigateur, smartphone
et tablettes √ √ √ √ √
Sceau “secure site” gratuit √ √ √ √ √Nombre illimité de licences serveur gratuites √ √ √ √ √
Nombre illimité de réémission pendant toute la durée de vie du certificat - gratuit √ √ √ √ √
Nombre illimité de copies du certificate – gratuit. √ √ √ √
Essai gratuit sans frais pendant 30 jours. Satisfait ou remboursé. √ √ √ √ √
Authentification forte de la propriété du nom de domaine et identité de l’organisation. √ √ √ √ √
Support en 3 tiers via chat en live, email, et lignes directes en 24/7 √ √ √ √ √
$1,000,000 de garantie √ √ √ √ √
Le Produit
Faites des économies
Nous vous proposons
26/06/2014 www.aliceandbob.fr 21
Alice and Bob est membre du Clusif
SSL Plus
• Un seul nom de domaine • Type: Organization Validated • Pas de SAN possible • A partir de 103€ / an HT Parfait pour les site web standards
26/06/2014 www.aliceandbob.fr 22
Alice and Bob est membre du Clusif
Extended Validation
• Un seul nom de domaine • Type: Extended Validated • Affiche la barre verte • Pas de SAN possible • A partir de 173€/an HT Parfait pour les sites requérant un fort niveau de confiance comme les sites e-commerces
26/06/2014 www.aliceandbob.fr 23
Alice and Bob est membre du Clusif
Unified Communication
• Plusieurs noms de domaine (4 inclus) • Plusieurs SAN possibles • Type: Organization Validated • A partir de 177€ / an HT Parfait pour les messageries électroniques
26/06/2014 www.aliceandbob.fr 24
Alice and Bob est membre du Clusif
Extended Validation multi-domaines
• Plusieurs noms de domaine (3 inclus) • Plusieurs SAN possibles • Type: Extended Validation • A partir de 288€ / an HT Parfait pour les sites requérant un fort niveau de confiance comme les sites e-commerces
26/06/2014 www.aliceandbob.fr 25
Alice and Bob est membre du Clusif
Wildcard
• Un seul nom de domaine • Une infinité de nom de sous-domaines • Pas de SAN possibles • Type: Organization Validated • A partir de 352€ / an HT Parfait pour les sites pour lesquels vous ne savez pas à l’avance quels seront les noms de sous-domaines
26/06/2014 www.aliceandbob.fr 26
Alice and Bob est membre du Clusif
Les certificats Extended Validation
• Sur les sites qui ont besoin de rassurer les Internautes
• Sur un site e-commerce ils permettent d’ accroître les taux de conversion de quelques %
• Ils sont un peu plus difficiles à obtenir (vérifications plus poussées de la part de l’Autorité de Certification) – cela peut typiquement prendre 72h.
26/06/2014 www.aliceandbob.fr 27
Alice and Bob est membre du Clusif
Quel site choisiriez-vous pour vous connecter ?
26/06/2014 www.aliceandbob.fr 28
Alice and Bob est membre du Clusif 29
Rassurer vos clients avec Extended Validation
• 100% des participants ont remarqué si le site présente ou pas la barre verte
• 93% des participants préfèrent acheter sur des sites qui présentent la barre verte
• 97% sont plus enclins à partager les informations relatives à leur carte de crédit sur les sites avec la barre verte
• 77% des participants reportent qu’ils hésiteraient à acheter en en ligne sur des sites qui avaient avant la barre verte et ne l’ont plus
In January 2007, Tec-Ed5 researched usage and attitudes of 384 online shoppers and measured their responses to Web sites with and without green bars
26/06/2014 www.aliceandbob.fr
Alice and Bob est membre du Clusif
Progression de l’utilisation de l’EV • En 2011, l'étude de l'Online Trust Alliance indiquait une
augmentation de 7,1 % de l'utilisation des certificats SSL Extended Validation sur les sites e-commerce et des établissements bancaires par rapport à 2010.
• Aujourd'hui 45 % des sites Web de ces secteurs sont sécurisés.
• Avec plus de 35 000 certificats émis globalement, ce chiffre était en progression de 68 % par rapport à l'année précédente.
• Cette évolution significative s'explique par une prise de conscience accrue des entreprises quant à l'importance d’utiliser un certificat EV SSL en standard sur les pages Web accessibles au public..
26/06/2014 www.aliceandbob.fr 30
Alice and Bob est membre du Clusif
Les Tailles de Clés
• Les tailles de clé des certificats SSL étaient autrefois de 1024 bits.
• Aujourd’hui il est possible d’attaquer avec succès (en y mettant les moyens certes), des clés de 1024 bits.
• Les clés des certificats SSL sont donc aujourd’hui de 2048 bits. Des tailles de clés au-delà sont actuellement inutiles.
• Les algorithmes de chiffrement peuvent être SHA1 (128bits) ou SHA2 (256bits). Il est vivement recommandé d’utiliser SHA2 car SHA1 ne sera bientôt plus supporté par certains serveurs.
26/06/2014 www.aliceandbob.fr 31
Alice and Bob est membre du Clusif
Le sceau dynamique
Le sceau est disposé en bas sur votre page web Quand on clique dessus les informations relatives à votre site web sont affichées
26/06/2014 www.aliceandbob.fr 32
Alice and Bob est membre du Clusif
Exemple de clients DigiCert
26/06/2014 www.aliceandbob.fr 33
Alice and Bob est membre du Clusif
26/06/2014 www.aliceandbob.fr 34
Alice and Bob est membre du Clusif
Conclusion
• Les certificats SSL permettent de protéger les sites web et de rassurer les Internautes
• Les sites web les utilisent de plus en plus • Il en existe de tous types parmi lesquels
choisir
Accroître la confiance des Internautes en vos sites webs 26/06/2014 www.aliceandbob.fr 35
Alice and Bob est membre du Clusif
Merci ! Voir toutes nos présentations et documents sur Slideshare:
• L’avènement de la signature électronique : en 2014 • La cryptographie et la PKI enfin expliquées simplement • Comment bien choisir ses certificats SSL • L’authentification forte ou vers la fin du mot de passe • Pourquoi migrer ses certificats de Symantec vers une autre Autorité de Certification • Accroitre la confiance dans les personnes et les machines qui se connectent à votre
réseau d’entreprise • Les solutions SaaS permettent l’avènement des usages des certificats électroniques • La vérité sur HeartBleed • La NSA et les Autorités de Certification : Mythe ou réalité ?
26/06/2014 www.AliceAndBob.fr 36
Alice and Bob est membre du Clusif
5. Annexe
retour au sommaire
26/06/2014 www.aliceandbob.fr 37
Alice and Bob est membre du Clusif
Le SSL techniquement
Vérifier le certificat serveur et la signature
Envoi du certificat et de l’aléa C signé et d’un aléa S
Négociation de l’algorithme de chiffrement
Négociation de l’algorithme de chiffrement
Génération d’une clé de session
Chiffrement de la clé de session avec la clé publique du serveur
Déchiffrement de la clé de session avec la clé privée
Envoi de la clé de session chiffrée
Client (Navigateur) Serveur (Web)
Envoi d’un aléa C
Envoi du certificat client et de l’aléa S signé
Vérification du certificat client et de la signature
26/06/2014 www.aliceandbob.fr 38