comment bien choisir ses certificats ssl

38
Alice and Bob est membre du Clusif Comment bien choisir ses certificats SSL Accroitre la confiance des Internautes en vos sites webs 26/06/2014 www.aliceandbob.fr 1

Upload: alice-and-bob

Post on 28-Nov-2014

2.407 views

Category:

Internet


0 download

DESCRIPTION

Certificats SSL

TRANSCRIPT

Page 1: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Comment bien choisir ses certificats SSL

Accroitre la confiance des Internautes en vos sites webs

26/06/2014 www.aliceandbob.fr 1

Page 2: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Sommaire

1. Pourquoi un certificat SSL ? (page 3)

2. Fonctionnement détaillé et mise en œuvre (page 8)

3. Outils (page 13)

4. Les différents types parmi lesquels choisir (page 16)

5. Annexe – Le SSL techniquement (page 37)

26/06/2014 www.aliceandbob.fr 2

Page 3: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

1. Pourquoi un certificat SSL ?

retour au sommaire

26/06/2014 www.aliceandbob.fr 3

Page 4: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Un certificat SSL pour :

• chiffrer les échanges entre un site web et le navigateur Internet de l’Internaute

• éviter que les informations circulent en clair • authentifier le propriétaire du site web

26/06/2014 www.aliceandbob.fr 4

Page 5: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

SSL pour l’Internaute

https et non plus http Un cadenas dans la navigateur

Informations sur le propriétaire du site web quand on clique sur le cadenas

Si le certificat est de type Extended Validation la barre d’adresse devient verte

26/06/2014 www.aliceandbob.fr 5

Page 6: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

A quoi sert le SSL? • Rassurer les utilisateurs et clients de sites web et

messageries électroniques • Protéger contre les utilisations frauduleuses de sites

web et messageries électroniques

6

• Crypter les échanges d’informations entre les serveurs web et les navigateurs Internet des utilisateurs et clients

• Faire reconnaître une organisation comme organisation de confiance sur le web

• Sécuriser les messageries électroniques

26/06/2014 www.aliceandbob.fr

Page 7: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif 7

Types de risques adressés par le SSL

• Login / mot de passe • Formulaires • E-commerce • Payement en ligne • Messagerie Electronique (exemple OWA) • Extranets • Intranets • Etc…

Sans le SSL les informations circulent en clair sur l’Internet Le SSL accroît la confiance des Internautes et les taux de conversions

26/06/2014 www.aliceandbob.fr

Page 8: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

2. Fonctionnement détaillé et mise en œuvre

retour au sommaire

26/06/2014 www.aliceandbob.fr 8

Page 9: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Fonctionnement détaillé • Les certificats SSL peuvent être utilisés pour des serveurs web, mais

également pour chiffrer des VPN ou des messageries électroniques. • Pour obtenir un certificat SSL, vous devez tout d’abord créer la clé privée

et la clé publique sur le serveur. Pour ceci vous pouvez utiliser des commandes du type OpenSSL ou l’interface graphique du serveur en fonction des serveurs.

• Vous installez alors la clé privée sur le serveur et envoyez la clé publique via la CSR à l’Autorité de Certification (AC) que vous avez choisie. Ne jamais laisser quoiqu'onques avoir même potentiellement accès à cette clé.

• Cette Autorité de Certification effectuera les vérifications d’usage, qui peuvent inclure un KBis, une vérification des noms dans le whois un appel via le standard trouvé via les pages jaunes à la personne qui se trouve sur le KBis, etc. en fonction du type de certificat.

• Les vérifications peuvent prendre plusieurs jours aussi il convient de s’y prendre à l’avance. Vérifiez que votre whois est à jour.

• L’AC vous délivre le certificat correspondant à votre CSR et donc votre clé privée que vous installez sur votre serveur.

26/06/2014 www.aliceandbob.fr 9

Page 10: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Schéma de fonctionnement

Tiers de Confiance (DigiCert)

Autorité Compétentes

1) Jean demande un certificat SSL à DigiCert pour company 2) Il envoie sa CSR et les documents requis

Site Web

3) DigiCert effectue les vérifications et validations requises

4) DigiCert envoie le certificat SSL à Jean

5) Jean installe le certificat SSL sur le serveur web

6) Marie accède au site web

Serveur Web

8) Le protocole est https

26/06/2014 www.aliceandbob.fr 10

Page 11: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

L ’Autorité de Certification

• délivre les certificats • signe un accord avec les éditeurs de navigateurs

Internet, qui lui font confiance • suit des procédures très strictes • fait partie du CABForum www.cabforum.org • est auditée pour vérifier qu’elle suit bien les

procédures à la lettre

26/06/2014 www.aliceandbob.fr 11

Page 12: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Certificat électronique

Nom

Autorité ayant délivré le certificat

Dates de validité

La « carte électronique du site web » Affiché quand on clique sur le cadenas

26/06/2014 www.aliceandbob.fr 12

Page 13: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

3. Outils

retour au sommaire

26/06/2014 www.aliceandbob.fr 13

Page 14: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

SSL Checker

• Vous pouvez vérifier la qualité de l’installation de votre certificat SSL via : http://www.digicert.com/help/

26/06/2014 www.aliceandbob.fr 14

Page 15: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Certificate Inspector • Découvrez et analysez chaque certificat dans

votre entreprise: https://www.digicert.com/cert-inspector.htm

26/06/2014 www.aliceandbob.fr 15

Page 16: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Vérification de l’installation

• Nous vous recommandons aussi de bien vérifier l’installation de votre certificat SSL via par exemple : https://www.ssllabs.com/ssltest/

• Nous pouvons vous accompagner pour optimiser cette installation.

26/06/2014 www.aliceandbob.fr 16

Page 17: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

4. Les différents types parmi lesquels choisir

retour au sommaire

26/06/2014 www.aliceandbob.fr 17

Page 18: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Types de certificats • Les certificats Domain Validated (DV) pour lesquels l’AC vérifie

que le nom de domaine appartient bien à son propriétaire. C’est le plus bas niveau de sécurité. Il peut être utilisé pour un Intranet par exemple. Il est délivré très rapidement.

• Les certificats Organisation Validated (OV) pour lesquels l’AC vérifie en plus l’existence de l’organisation à qui appartient le nom de domaine. C’est le plus utilisé aujourd’hui. Il peut être utilisé pour un site web non e-commerce.

• Les certificats Extended Validation (EV) pour lesquels l’AC vérifie en plus l’existence physique, légale et opérationnelle de l’organisation. C’est le plus haut niveau de sécurité. Il est de plus en plus utilisé. Il possède l’avantage d’afficher une barre verte dans le navigateur afin de rassurer les clients. Les sites e-commerce utilisent aujourd’hui ces certificats.

26/06/2014 www.aliceandbob.fr 18

Page 19: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Les SAN

• Vous pouvez définir des Subject Alternative Names pour votre certificat.

• Par exemple pour le certificat de http://www.digicert.comvous pouvez choisir comme SAN : – www.DigiCert.fr, – www.monDigiCert.com, – shop.DigiCert.com, etc.

• Le même certificat peut alors être installé pour sécuriser plusieurs sites web avec des noms de domaines différents

26/06/2014 www.aliceandbob.fr 19

Page 20: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Les certificats wildcard • Vous pouvez choisir de créer un certificat pour tous les noms

de domaines du type *.DigiCert.com par exemple. • Ce certificat pourra alors être utilisé pour sécuriser les noms

de domaine du type: – shop.DigiCert.com – http://www.digicert.com/ – extranet.DigiCert.com – etc.

• Attention : ne marche pas pour http://DigiCert.com ou moncompte.shop.DigiCert.com

• Note: N’est pas disponible pour les certificats Extended Validation

26/06/2014 www.aliceandbob.fr 20

Page 21: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Différents types de certificats SSL Plus™ Extended Validation Unified

Communications EV Multi-Domaines Wildcard Plus™

Un seul nom de domaine Avec la barre verte Sécuriser plusieurs domaines Plusieurs domaines avec la barre verte (Extended Validation)

Sécurisez la totalité de votre domaine

Affichage de la barre verte √ √Sécurise plusieurs domains (jusqu’à 25) √ √

Sécurise un nombre illimité de sous-domaines √Certificat pour www.example.com valuable aussi

pour example.com √ √ √Chiffrement 2048-bit, 128-bit, et 256-bit √ √ √ √ √

Compatible SSL v3/TLS √ √ √ √ √Compatible avec tous les navigateur, smartphone

et tablettes √ √ √ √ √

Sceau “secure site” gratuit √ √ √ √ √Nombre illimité de licences serveur gratuites √ √ √ √ √

Nombre illimité de réémission pendant toute la durée de vie du certificat - gratuit √ √ √ √ √

Nombre illimité de copies du certificate – gratuit. √ √ √ √

Essai gratuit sans frais pendant 30 jours. Satisfait ou remboursé. √ √ √ √ √

Authentification forte de la propriété du nom de domaine et identité de l’organisation. √ √ √ √ √

Support en 3 tiers via chat en live, email, et lignes directes en 24/7 √ √ √ √ √

$1,000,000 de garantie √ √ √ √ √

Le Produit

Faites des économies

Nous vous proposons

26/06/2014 www.aliceandbob.fr 21

Page 22: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

SSL Plus

• Un seul nom de domaine • Type: Organization Validated • Pas de SAN possible • A partir de 103€ / an HT Parfait pour les site web standards

26/06/2014 www.aliceandbob.fr 22

Page 23: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Extended Validation

• Un seul nom de domaine • Type: Extended Validated • Affiche la barre verte • Pas de SAN possible • A partir de 173€/an HT Parfait pour les sites requérant un fort niveau de confiance comme les sites e-commerces

26/06/2014 www.aliceandbob.fr 23

Page 24: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Unified Communication

• Plusieurs noms de domaine (4 inclus) • Plusieurs SAN possibles • Type: Organization Validated • A partir de 177€ / an HT Parfait pour les messageries électroniques

26/06/2014 www.aliceandbob.fr 24

Page 25: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Extended Validation multi-domaines

• Plusieurs noms de domaine (3 inclus) • Plusieurs SAN possibles • Type: Extended Validation • A partir de 288€ / an HT Parfait pour les sites requérant un fort niveau de confiance comme les sites e-commerces

26/06/2014 www.aliceandbob.fr 25

Page 26: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Wildcard

• Un seul nom de domaine • Une infinité de nom de sous-domaines • Pas de SAN possibles • Type: Organization Validated • A partir de 352€ / an HT Parfait pour les sites pour lesquels vous ne savez pas à l’avance quels seront les noms de sous-domaines

26/06/2014 www.aliceandbob.fr 26

Page 27: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Les certificats Extended Validation

• Sur les sites qui ont besoin de rassurer les Internautes

• Sur un site e-commerce ils permettent d’ accroître les taux de conversion de quelques %

• Ils sont un peu plus difficiles à obtenir (vérifications plus poussées de la part de l’Autorité de Certification) – cela peut typiquement prendre 72h.

26/06/2014 www.aliceandbob.fr 27

Page 28: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Quel site choisiriez-vous pour vous connecter ?

26/06/2014 www.aliceandbob.fr 28

Page 29: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif 29

Rassurer vos clients avec Extended Validation

• 100% des participants ont remarqué si le site présente ou pas la barre verte

• 93% des participants préfèrent acheter sur des sites qui présentent la barre verte

• 97% sont plus enclins à partager les informations relatives à leur carte de crédit sur les sites avec la barre verte

• 77% des participants reportent qu’ils hésiteraient à acheter en en ligne sur des sites qui avaient avant la barre verte et ne l’ont plus

In January 2007, Tec-Ed5 researched usage and attitudes of 384 online shoppers and measured their responses to Web sites with and without green bars

26/06/2014 www.aliceandbob.fr

Page 30: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Progression de l’utilisation de l’EV • En 2011, l'étude de l'Online Trust Alliance indiquait une

augmentation de 7,1 % de l'utilisation des certificats SSL Extended Validation sur les sites e-commerce et des établissements bancaires par rapport à 2010.

• Aujourd'hui 45 % des sites Web de ces secteurs sont sécurisés.

• Avec plus de 35 000 certificats émis globalement, ce chiffre était en progression de 68 % par rapport à l'année précédente.

• Cette évolution significative s'explique par une prise de conscience accrue des entreprises quant à l'importance d’utiliser un certificat EV SSL en standard sur les pages Web accessibles au public..

26/06/2014 www.aliceandbob.fr 30

Page 31: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Les Tailles de Clés

• Les tailles de clé des certificats SSL étaient autrefois de 1024 bits.

• Aujourd’hui il est possible d’attaquer avec succès (en y mettant les moyens certes), des clés de 1024 bits.

• Les clés des certificats SSL sont donc aujourd’hui de 2048 bits. Des tailles de clés au-delà sont actuellement inutiles.

• Les algorithmes de chiffrement peuvent être SHA1 (128bits) ou SHA2 (256bits). Il est vivement recommandé d’utiliser SHA2 car SHA1 ne sera bientôt plus supporté par certains serveurs.

26/06/2014 www.aliceandbob.fr 31

Page 32: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Le sceau dynamique

Le sceau est disposé en bas sur votre page web Quand on clique dessus les informations relatives à votre site web sont affichées

26/06/2014 www.aliceandbob.fr 32

Page 33: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Exemple de clients DigiCert

26/06/2014 www.aliceandbob.fr 33

Page 34: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Facebook

26/06/2014 www.aliceandbob.fr 34

Page 35: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Conclusion

• Les certificats SSL permettent de protéger les sites web et de rassurer les Internautes

• Les sites web les utilisent de plus en plus • Il en existe de tous types parmi lesquels

choisir

Accroître la confiance des Internautes en vos sites webs 26/06/2014 www.aliceandbob.fr 35

Page 36: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Merci ! Voir toutes nos présentations et documents sur Slideshare:

• L’avènement de la signature électronique : en 2014 • La cryptographie et la PKI enfin expliquées simplement • Comment bien choisir ses certificats SSL • L’authentification forte ou vers la fin du mot de passe • Pourquoi migrer ses certificats de Symantec vers une autre Autorité de Certification • Accroitre la confiance dans les personnes et les machines qui se connectent à votre

réseau d’entreprise • Les solutions SaaS permettent l’avènement des usages des certificats électroniques • La vérité sur HeartBleed • La NSA et les Autorités de Certification : Mythe ou réalité ?

[email protected]

26/06/2014 www.AliceAndBob.fr 36

Page 37: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

5. Annexe

retour au sommaire

26/06/2014 www.aliceandbob.fr 37

Page 38: Comment bien choisir ses certificats ssl

Alice and Bob est membre du Clusif

Le SSL techniquement

Vérifier le certificat serveur et la signature

Envoi du certificat et de l’aléa C signé et d’un aléa S

Négociation de l’algorithme de chiffrement

Négociation de l’algorithme de chiffrement

Génération d’une clé de session

Chiffrement de la clé de session avec la clé publique du serveur

Déchiffrement de la clé de session avec la clé privée

Envoi de la clé de session chiffrée

Client (Navigateur) Serveur (Web)

Envoi d’un aléa C

Envoi du certificat client et de l’aléa S signé

Vérification du certificat client et de la signature

26/06/2014 www.aliceandbob.fr 38