Aller au contenu principal

Certificat SSL sur votre site Drupal

À quoi sert un certificat SSL ?

Rappel sur le SSL / TLS

Le SSL / TLS est un protocole qui permet de chiffrer les données transmises entre un client (navigateur Internet ou logiciel) et un serveur (site Web, messagerie, NAS…).

L’objectif est de ne pas transférer des informations « en clair » sur le réseau afin d’éviter qu’un pirate informatique ne puise intercepter et lire ces informations (avec un sniffer, par exemple).

Un certificat SSL est indispensable afin de pouvoir utiliser le protocole SSL / TLS. D’un point de vue navigateur web, le SSL / TLS active le cadenas de sécurité et le fameux « https ».

Parfois, le nom de l’entreprise est affichée dans la barre d’adresse URL avec sa localisation. Il s’agit alors d’un certificat SSL EV (à Validation Etendue), qui est émis au nom de l’entreprise :

certificat ssl drupal securer

Dans quels cas est-ce que le SSL / TLS est utile ?

Le SSL / TLS est indispensable à partir du moment ou des données confidentielles (identifiants, informations bancaires, coordonnées, contenu d’un e-mail…) sont renseignés sur un réseau (Internet / Intranet).

Prenons trois exemples très simple d’un internaute connecté via un réseau public ou privé (HotSpot WiFi dans un hôtel, sur le réseau d’une entreprise ou d’une université…).

Exemple n°1 – Une transaction sur un site e-commerce

Il s’apprête à effectuer un achat sur un site e-commerce. Pour cela, il y renseigne ses coordonnées puis son numéro de carte bancaire pour payer la commande. Deux possibilités :

  • Soit le formulaire de paiement est intégré sur le site e-commerce : Le site e-commerce à l’obligation d’être sécurité en SSL ;
  • Soit le site e-commerce redirige l’internaute vers le site Internet sa banque : Qui est obligatoirement sécurisé en SSL ;

Si la page de paiement n’était pas sécurisée en SSL, n’importe quel pirate connecté sur le même réseau Internet serait en mesure d’intercepter très facilement le numéro de carte bancaire renseigné par l’internaute ainsi que ses coordonnées.

Exemple n°2 – Consulter son compte de messagerie

Il consulte sa boite e-mail à l’aide de son smartphone ou de son PC. Si l’option SSL n’est pas activé, le pirate est en mesure d’intercepter l’adresse e-mail, le mot de passe de messagerie, le contenu des e-mails …
Il peut également envoyer des e-mails via l’adresse e-mail dont les identifiants ont été interceptés et en usurpant l’identité du propriétaire… Retrouver des mots de passe dans des e-mails archivés, tout est imaginable !

Les conséquences de ce type de piratage est catastrophique pour l’utilisateur, mais aussi pour la réputation de l’entreprise qui édite le service non sécurisé.

Exemple n°3 – Connexion à votre site Drupal

Vous vous connectez au panel d’administration Drupal pour éditer votre site web qui n’est pas sécurisé en SSL (absence de https:// dans la barre d’adresse).
Là encore, un pirate connecté sur le même réseau serait en mesure d’intercepter votre identifiant / mot de passe… Il en est de même pour toutes les informations que vos utilisateurs renseignent sur votre site.

L’affaire Snowden montre également qu’un pirate (ou la NSA) n’a nullement besoin d’être connecté sur même réseau afin d’intercepter des données confidentielles…

C’est par exemple le cas si un routeur situé entre votre box ADSL et le serveur auquel vous accédez est piraté. A titre d’exemple, lorsque je m’identifie sur wpchannel.com, mon identifiant / mot de passe transite sur plus de 10 réseaux différents avant d’arriver sur le serveur qui héberge wpchannel.com…

Le SSL assure donc la confidentialité et l’intégrité des données qui transitent sur les protocoles (https, pops, imaps, smtps …) sécurisés en SSL.

Mais alors, à quoi sert un certificat SSL ?

Comme indiqué, un certificat SSL permet l’utilisation du SSL / TLS sur divers protocoles (https, pops, imaps, smtps …).
Le certificat SSL permet également à son propriétaire de prouver son identité à l’internaute : L’utilisateur est ainsi certain de se trouver sur le officiel de l’entreprise et non sur un site de phishing.

Il existe 4 types de certificats SSL.

Le certificat SSL auto-signé

il s’agit d’un certificat SSL gratuit, mais tous les navigateurs internet affichent une alerte de sécurité lorsque vous tentez de vous connecté à un site Internet utilisant ce type de certificat.
Ce message indique que le site n’est pas sécurisé, ce qui fait fuire la quasi intégralité des visiteurs… Ce certificat n’est vraiment pas recommandé !

Le certificat SSL DV

Il s’agit d’un certificat SSL pas cher, accessible aux particuliers comme aux entreprises. Il active le cadenas de sécurité et permet l’utilisation du protocole HTTPS. Ce certificat SSL est émis au nom du domaine. L’Autorité de Certification qui délivre le certificat SSL doit simplement s’assurer que le demandeur du certificat SSL a le droit d’utiliser le nom de domaine / sous-domaine qu’il souhaite sécuriser.

L’identité du propriétaire du site sécurisé n’est donc ni vérifiée, ni inscrite dans le certificat SSL. La plupart des revendeurs et des Autorités de Certification sérieuses effectuent un contrôle anti-phishing afin de s’assurer que le certificat n’est pas délivré à un pirate pour une adresse ressemblant à celle d’un site réputé.

Le certificat SSL OV (réservés aux entreprises / organisations)

Le certificat SSL OV est émis au nom de l’entreprise / organisation. L’identité de l’entreprise est inscrite dans le certificat SSL, mais pas dans la barre d’adresse URL.

Pour que ce type de certificat soit émis, l’Autorité de Certification va s’assurer :

  1. De l’existence légale de l’entreprise (Infogreffe) ;
  2. Que cette entreprise à le droit d’utiliser le nom de domaine à sécuriser (Whois) ;
  3. Que le dirigeant de l’entreprise a bien donné son accord pour qu’un certificat SSL soit émis au nom de son entreprise (Appel téléphonique) ;

Le certificat SSL EV (réservés aux entreprises / organisations)

Il active la barre d’adresse URL verte et y affiche la raison sociale de l’entreprise.

La procédure d’émission est identique aux certificats SSL OV, mais la raison sociale et le pays du siège social de l’organisation est inscrite dans la barre d’adresse URL de la plupart des navigateurs web.

Le certificat SSL EV permet de lutter très efficacement contre les sites de phishing car l’identité de l’entreprise est affichée dans la barre d’adresse URL, à la vue de tous les internautes.

Prenons le cas d’un des plus importants revendeurs de certificats SSL français : Wistee. Si un pirate enregistre nom de domaine « vvistee.fr » (deux V au lieu d’un W) et qu’il commande un certificat SSL DV pour cette adresse, il pourrait très facilement reproduire une copie conforme de « wistee.fr ».

Le cadenas de sécurité SSL et le https serait alors présent, mais pas la barre URL verte… L’attention des visiteurs que le pirate pourrait rediriger vers cette fausse page serait alors indiquée par l’absence de la barre d’adresse verte qu’ils consultent quotidiennement.

Impossible pour le pirate d’obtenir un certificat SSL EV car il ne pourrait pas se soumettre à la procédure de contrôle d’identité que l’Autorité de Certification doit effectuer.

Quelles différences entre un certificat gratuit fourni par Let’s Encrypt et un certificat payant ?

Let’s Encrypt est une Autorité de Certification qui distribue gratuitement, automatiquement et exclusivement des certificat SSL DV. Impossible d’obtenir un certificat SSL OV et EV avec Let’s Encrypt. L’objectif de Let’s Encrypt est de permettre un déploiement d’une sécurité SSL via un processus automatisé d’émission et d’installation du certificat SSL.

Mais il suffit d’une recherche sur Google « Let’s Encrypt avis », pour s’apercevoir que tout n’est pas si rose que ça !

Le seul interêt de Let’s Encrypt est d’obtenir un certificat SSL gratuitement et automatiquement, ce qui est déjà bien, me direz-vous ! Mais il faut tenir compte de son lot d’inconvénient.

L’émission de certificats SSL DV uniquement

Les autres Autorités de Certification distribuent du DV (identique à Let’s Encrypt), OV (émis au nom de l’entreprise) et EV (émis au nom de l’entreprise + barre URL verte).

De sécuriser un seul nom de domaine par certificat SSL

Les autres Autorités de Certification permettent le Multi Domaine (jusqu’à 99 adresses / certificat SSL), ainsi que le Wildcard (sous-domaine illimités), ce qui facilite la gestion et l’évolution du certificat.

Let’s Encrypt émet le certificat SSL pour 3 mois maximum (renouvelable)

Les autres Autorités de Certification émettent les certificats SSL pour 1 an, 2 ans ou 3 ans. Une fois installé, il est en place pour la durée indiquée.

L’émission et l’installation automatique d’un certificat SSL

Pour le moment, les outils sur lesquels Let’s Encrypt permet l’installation automatique est relativement limité mais la quantité d’outils va évoluer dans les années à venir. Sachant que Let’s Encrypt ré-installe le certificat SSL tous les 3 mois, que se passe t’il si la ré-installation automatique échoue : Le service (site web, par exemple) affichera un avertissement de sécurité jusqu’à ce que vous interveniez manuellement.

Dans tous les cas, la ré-installation du certificat SSL nécessite le redémarrage du service pour la prise en compte du nouveau certificat.

Bien souvent, le redémarrage du service ne dure que quelques dixièmes de secondes (quand tout se passe bien), donc l’impact pour un serveur web n’est pas significatif mais cela peut-être problématique pour d’autres outils qui ne peuvent pas être coupés.

La question à se poser est : pouvons-nous prendre le risque d’avoir une interruption de service si Let’s Encrypt échoue ?

Les autres Autorités de Certification ne permettent pas l’installation totalement automatisé, mais une seule installation est à faire tous les 1 à 3 ans (durée moyenne d’installation : 10 minutes).

L’absence de contrôle anti-phishing AVANT l’émission du certificat SSL (puisque la procédure est automatisée)

Let’s Encrypt à conscience que si un certificat SSL DV est émis pour un site de phishing, la quantité de victimes va augmenter de manière très significative comparé à un site non sécurisé.

Pourquoi ? Car dans l’esprit d’une majorité d’internautes, la seule présence du cadenas de sécurité suffit à les rassurer concernant leur sécurité, ce qui est faux : Les données sont chiffrées entre la victime et le serveur, mais décodées et transmises clair pour l’escroc !

Nous l’avons vu plus haut, seul le certificat SSL EV permet de lutter très efficacement contre le phishing, par l’affichage de l’identité du propriétaire du site sécurisé dans la barre d’adresse URL. Le certificat SSL DV ne prouve nullement qu’il s’agit du site officiel.

En tant que revendeur de certificats SSL, nous estimons qu’il est du devoir du revendeur et de l’Autorité de Certification d’effectuer un minimum de contrôle afin de limiter la quantité de certificats SSL émis pour des sites frauduleux.

Let’s Encrypt à un avis complètement contraire :

« The fight against phishing and malware content is an important one, but it does not make sense for CAs to be on the front lines, at least when it comes to DV certificates. »

La présence du cadenas de sécurité doit rester autant que possible un gage de sécurité dans l’esprit d’un internaute non avertit. Il serait dommage que cet élément visuel perde de son efficacité.

Est-ce correct qu’en 2017 il sera obligatoire de déployer un certificat SSL sur son site sous peine d’être identifié « à risque » par les principaux navigateurs Internet ?

Oui, c’est officiel ! Google Chrome affichera en Janvier 2017 (sur Chrome 56) un message indiquant que le site n’est pas sécurisé afin d’inciter les webmasters à utiliser le protocole SSL / TLS.

Rappelons nous qu’en août 2014, Google avait aussi annoncé sur le Webmaster Central Blog que le SSL était désormais un des critères utilisé par ses algorithmes SEO.

Une seule solution : Obtenir un certificat SSL et sécuriser son site Internet en SSL.

Comment déployer un certificat SSL sur son site ? Quels sont les points sur lesquels je dois faire attention ?

La chaine doit être complète

La façon dont le certificat SSL est installé est primordiale. Si elle est mal effectuée, le site sera inaccessible sur certaines versions de navigateurs (et tout particulièrement sur les outils mobiles).

Ceci se produit très souvent lorsque le certificat SSL est mal installé et que la chaine n’est pas complète.

Les protocoles SSL v2 et v3 doivent être désactivés

Les protocoles SSL v2 et SSL v3 doivent être désactivés, au profit du protocole TLS 1.0, TLS 1.1 et TLS 1.2.

Les ciphers (méthodes de chiffrement) doivent être à jour et présentés dans l’ordre au navigateur (du plus sécurisé au moins sécurisé)

Pour que la sécurité soit optimale et que le site soit accessible par tous les navigateurs, les méthodes de chiffrement utilisés par le serveur (appelés Ciphers) doivent être correctement renseignés et à jour.

Dans tous les cas, nous recommandons fortement de tester la sécurité SSL de votre site.

Share this post

Comments (0)