SSL by Keynectis

DateIntervenant KEYNECTIS

3

Croissance de la fraude  sur Internet

3

 ‐

 50 000

 100 000

 150 000

 200 000

 250 000

 300 000

 350 000

 400 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012

Plaintes reçues par l'IC3

Plaintes reçues

Graphiques basés sur des données IC3 www.ic3.org ‐ avec des extrapolations

 ‐

 1 000

2000 2005 2006 2007 2008 2009 2010 2011

Pertes en Million de dollars

Plaintes reçues

4

Croissance du SSL

4

Graphique basé sur des données Netcraft  www.netcraft.com ‐ avec des extrapolations

 ‐

 200 000

 400 000

 600 000

 800 000

 1 000 000

 1 200 000

 1 400 000

 1 600 000

1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012

SSL

Nombre de certificats

5

Rassurer les clients

• 83% des Internautes veulent plus d’assurance sur le fait que leurs informations sont sécurisées

• 86% des clients en ligne se sentent plus rassurés quand ils saisissent leurs informations personnelles sur des sites qui montrent des indicateurs de sécurité

(Sources: Synovate/GMI Research, September 2008; Javelin Strategy and Research, March 2009)

6

Objectifs du SSL

Pages web à risque

• Login / mot de passe• Formulaires• Paiement en ligne• Messageries électroniques• …

7

Expérience Utilisateur

8

https et non http Cadenas

https et non http Cadenas

Barre verte Nom légal de l’organisation et code pays

SSL

SSL Extended Validation 

Certificat non valide

Certificats auto‐signés ou non valides

9

Les certificats SSL 

10

« Carte d’identité » du site web

Chaine de confiance

11

Le navigateur fait confiance à Keynectis qui fait confiance à votre site web

Reconnaissance dans les navigateurs

12

SSL en action

13

Autorité de Certification

Organisation

1) demande de certificat SSL

2) installe

Internaute

4) Echange d’information chiffréSite web authentifié

3) Validation en temps réel (OCSP) 

Processus de création

14

Serveur Web Autorité de CertificationCertificate Signing Request

fichier.csr

ValidationsCertificatfichier.cer ou base 64 

1) Extrait 2) Envoie

5) Installe

Clé privée

Clé publique

3) Génère4) Envoie

Informations dans la CSR

CN = www.keynectis.comOU = Departement MarketingO = KeynectisSTREET = 11‐13 Rue Rene JacquesL = Issy les MoulineauxPostalCode = 92130S = IDFKey=3082010A0282010100BF9F9F71CE4F4….Taille de la clé = 2048 ...

15

Extraire

Types de certificats

16

Domain Validated

Organization Validated

Extended Validation

RGS 1 étoile

Unified Communication

Wildcard

Simple et économique Pour le secteur public

Inspire la confiance

Avec la barre verte Avec un nombre illimité de sous‐domaines

Pour les messageries

17

L’Offre SSL (1/2)

SSL Domain Validated Organization Validated Extended Validation RGS *

Niveau de confiance Basic (+) Optimum (++) Maximum (++++) Optimum (+++)

Cadenas √ √ √ √

Barre verte √ X

Validité 1 à 3 ans 1 à 3 ans 1 à 2 ans 1 à 3 ans

Garantie 10 000€ 50 000€ 100 000€ 50 000€

SAN (jusqu’à 99) √ √ √ √

Adresses IP √ √

Wildcard √ √

Support En ligne En ligne et téléphonique

En ligne et téléphonique

En ligne et téléphonique

Vérification Domaine Organisation Etendue Organisation +

Sceau dynamique √ √ √ √

Remplacement Gratuit Gratuit Gratuit Gratruit

Nom de l’organisation dans le certificat √ √ √

Délais de livraison 2 jours ouvrés 2 jours ouvrés 3 jours ouvrés 3 jours ouvrés

17

18

L’Offre SSL (2/2)

SSL Domain Validated Organization Validated Extended Validation RGS *

Taille de la clé 2048 2048 2048 2048

Nombre de licences 3 pour le prix d’une 3 pour le prix d’une 3 pour le prix d’une 3 pour le prix d’une

Support des vieuxnavigateurs à risque (CGC)

Non Non  Non Non

Algorithme de hachage SHA1 SHA1 SHA1 SHA1

Documents requis Non Oui Oui Oui

Validation en temps réel (OCSP) √ √ √ √

Responsable de compte dédié Non Non Oui Non

domainname.com offert avec www.domainname.com

√ √ √ √

Strict respect du standard  SSL X509 √ √ √ √

Réductions jusqu’à 30% sur le multi‐années

√ √ √ √

Renouvellement 10% de réduction 10% de réduction 10% de réduction 10% de réduction

18

Vérifications

19

Domain Validated

Organization ValidatedVérification  de l’existence de l’organisation en utilisant des bases de données tierces telles que infogreffe et les pages jaunes. Vérification auprès du contact administratif par téléphone en passant par le standard.

Vérification par email que la personne possédant le nom de domaine accepte la création du certificat SSL (whois ou noms prédéfinis tels que webmaster@nomdedomaine.com)

Vérifications

20

Extended ValidationVérification étendue de l’existence légale, physique et opérationnelle via des bases de données tierces telles que infogreffe et les pages jaunes. Vérification téléphonique auprès du manager du signataire du contrat en passant par le standard .

RGS *Vérification  de l’existence de l’organisation en utilisant des bases de données tierces telles que infogreffe et les pages jaunes. Vérification auprès du contact administratif par téléphone en passant par le standard. Vérification de l’identité du signataire du contrat via une pièce d’identité.  

Une offre SSL complète

21

Quelle est la vraie page ? 

22

Quelle est la vraie page ? 

23

Pourquoi le SSL Extended Validation

• Phishing :  https://www.mabanque.com

• Typo‐squatting :   

https://www.mabanques.comhttps://www.mzbanque.com

• Utilisation du locahost : https://mabanque.moncompte.com

24

https://www.mabanqueS.comLien hypertexte vers 

https://*.moncompte.comSur le nom de domaine

Sécurité maximum avec le SSL EV

25

https et non http Cadenas

Barre verte Nom légal de l’organisation et code pays

SSL Extended Validation 

www.keynectis.com appartient formellement à l’organisation Keynectis enregistrée en France

Guides pour les utilisateurs

26

Le SSL EV accroit la confiance

• 100% des participants remarquent si le site présente ou pas la barre verte

• 93% des participants préfèrent acheter sur des sites qui présentent la barre verte

• 97% sont plus enclins à partager les informations relatives à leur carte de crédit sur les sites avec la barre verte

• 77% des participants reportent qu’ils hésiteraient à acheter en ligne sur des sites qui avaient avant la barre verte et ne l’ont plus

In January 2007, Tec‐Ed5 researched usage and attitudes of 384 online shoppers and measured their responses to Web sites with and without green bars

27

L’offre Club

28

Principe de l’offre Club

29

Organisation Autorité de Certification

1) Communique une liste blanche de nom de domaines

2) Met à disposition une interface pour gérer les certificats en 24 / 7

3) Gère ses certificats SSL

Offre Club : Gestion des demandes

30

Web Master

Opérateur

1) Soumet

2) Valide

Sceau dynamique

31

Clique sur le sceau dynamique

Guides pour les utilisateurs

32

Server‐Gated Cryptographie ? 

• Permet d’être en 128 ou 256 bits pour les très anciens navigateurs (10 ans et +)

• 99,9% des navigateurs supportent le 128 et 256 bits• Typologie d’utilisateurs sans sécurité et à risque• Très anciens navigateurs avec des trous de sécurité• Exemple de navigateur:  IE 5 – RTM en Mars 1999

– Dernière version sans le 128 et 256 bits• Recommandation:  Ne pas installer le SGC

33

Part de marché des navigateurs

Microsoft Internet Explorer 8,0 30,07%Firefox 4,0 10,46%Microsoft Internet Explorer 6,0 10,18%Chrome 12,0 7,32%Firefox 3,6 7,08%Microsoft Internet Explorer 7,0 6,58%Microsoft Internet Explorer 9,0 5,63%Safari 5,0 5,04%Chrome 11,0 3,93%Firefox 5,0 2,05%Opera 11,x 1,37%Safari 4,0 1,33%Firefox 3,5 1,10%Netscape 6,0 0,87%Firefox 3,0 0,75%Chrome 10,0 0,62%Opera Mini 4,1 0,35%Opera Mini 4,2 0,31%Safari on Windows 53 ‐Maxthon Edition 0,26%Opera 10,x 0,25%Safari on Windows 5,0 0,24%Chrome 13,0 0,24%Opera Mini 5,1 0,23%Chrome 9,0 0,21%Chrome 8,0 0,21%Opera Mini 6,2 0,21%Microsoft Internet Explorer 8,0 ‐Maxthon Edition 0,20%Safari 4,1 0,19%Microsoft Internet Explorer 6,0 ‐ Tencent Traveler Edition 0,18%Firefox 2,0 0,18%Microsoft Internet Explorer 6,0 ‐ TheWorld Edition 0,17%Microsoft Internet Explorer 8,0 ‐ TheWorld Edition 0,17%Chrome 6,0 0,16%Microsoft Internet Explorer 8,0 ‐ Tencent Traveler Edition 0,14%Safari 41 0,13%Microsoft Internet Explorer 6,0 ‐Maxthon Edition 0,12%Microsoft Internet Explorer 7,0 ‐Maxthon Edition 0,11%Chrome 5,0 0,10%Opera 9,x 0,10%Chrome 7,0 0,09%

34

Microsoft InternetExplorer 8,0

Firefox 4,0

Microsoft InternetExplorer 6,0

Chrome 12,0

Firefox 3,6

données   http://marketshare.hitslink.com/

Support des Navigateurs

35

Navigateur SSL SSL EV Version actuelle

Internet Explorer 5+ 8+ 9

FireFox 2+ 3.5+ 4

Safari (Mac OSX) 4+ 4+ 5

Opera 9.5+ 11+ 11

Chrome/Android 1+ 6+ 12

Windows Phone 7+ N/A 7

Safari Mobile 1+ 5+ 5

Mini‐Opera 5+ N/A 6.2

RIM Black Berry 6.1+ N/A 6.0

pour le support d’autres navigateurs – nous contacter. 

Promo: Signez les documents sur votre site !

36

Pour l’achat d’un certificat SSL Extended Validation 2 ansUne clé K.Sign 2 ans offerte* (Valeur de 299€) 

* Offre valable jusqu’au 31 décembre 2011.

Merci de votre attention.

11‐13 rue René Jacques ‐ 92131 Issy‐les‐Moulineaux Cedex France+33 (0)1 55 64 22 00 ‐ www.keynectis.com

Les rôles

• Contact Technique :  – Fait la demande de certificat, peut ne pas faire partie de l’organisation

• Contact Administratif : (lister dans le whois)– Approuve la demande de certificat, peut nommer le Contact Technique, 

fait partie de l’organisation

• Contact Facturation : – Paie la facture, peut ne pas faire partie de l’organisation

• Signataire du contrat : – Signe le contrat, peut ne pas faire partie de l’organisation

• Propriétaire du nom de domaine: – Est listé dans le whois, peut ne pas faire partie de l’organisation

38

Domain Validated

• Vérifications : le propriétaire du nom de domaine accepte bien la création du certificat

• Méthode: Envoi d’un email pour confirmation à l’adresse email dans le whois (Technical Contact, Administrative Contact, Registrant Contact) ou à admin, administrator, webmaster, hostmaster, or postmaster (admin@domainname.com for example)

• Documents requis:  Aucun• Champs requis:  CN, SAN, C• Champs optionnels:  OU (O, STREET et S sont vides) 

39

Organization Validated

• Vérifications : le propriétaire du nom de domaine accepte bien la création du certificat et l’organisation possède bien le nom de domaine.

• Méthode: Appel téléphonique en passant par le standard identifié via les pages jaunes. L’organisation est bien celle mentionnée dans le whois. 

• Documents requis:  K.Bis ou équivalent• Champs requis:  CN, O, SAN, C• Champs optionnels :  STREET, S, OU

40