Avez-vous déjà vu l'erreur "Il y a un problème avec le certificat de sécurité de ce site Web" et vous êtes-vous demandé ce que cela signifiait ? Les certificats de sécurité peuvent être un peu compliqués, mais cela vaut la peine d'apprendre ce qu'ils sont et comment ils nous aident.
Alors, que sont les certificats de sécurité et pourquoi devrions-nous nous en soucier ?
Lorsque vous accédez à un site Web sur lequel vous devez vous connecter et gérer un compte, il est important de protéger les communications entre vous et le service. Ce service peut être votre banque, une boutique en ligne ou un site de commerce électronique, PayPal, votre adresse e-mail ou votre blog privé.
Lorsque vous accédez à ces types de sites Web, vous remarquerez que l'URL commence par une icône de verrouillage et "https ://" au lieu de simplement "http://".
Ce "S" supplémentaire signifie que vous utilisez HTTPS (HyperText Transfer Protocol Secure). Une connexion HTTPS est protégée par Secure Socket Layer/Transport Layer Security. Les données échangées entre vous et le site Web sont cryptées et gardent les informations privées.
Tout comme la façon dont vous vous connectez à un site Web pour prouver que vous êtes la vraie affaire, un site Web doit également vous prouver qu'il est réel. Pour ce faire, il affiche un certificat de sécurité Internet sur votre navigateur. Si le navigateur accepte le certificat, il vous indique que le site est légitime avec le symbole du cadenas.
S'il manque à un site Web sécurisé le protocole HTTPS ou son certificat, vous avez peut-être affaire à un faux. La connexion à ce site Web peut envoyer vos données aux mauvaises personnes, ce qui ferait de vous une victime d'une attaque de l'homme du milieu.
Si vous voulez vérifier si tout est conforme, vous pouvez cliquer sur le cadenas pour voir plus de détails sur le certificat. Cette icône de cadenas changera également pour vous informer en cas de problème.
Consultez les explications de Google pour celles utilisées dans Chrome et les descriptions Firefox de Mozilla. Au moment de la rédaction, les deux navigateurs afficheront un verrou normal si tout va bien. Si le cadenas a ou est remplacé par une icône quelconque, cela indique que quelque chose s'est mal passé.
Si un site Web n'a pas de certificat de sécurité, l'erreur "Votre connexion n'est pas privée" peut s'afficher.
Les propriétaires de sites de commerce électronique paient une tierce partie appelée autorité de certification (CA) pour vérifier qui est l'entreprise et que ses transactions sont authentiques.
Les navigateurs Web, tels que Google Chrome et Firefox, conservent des listes d'autorités de certification qu'ils considèrent dignes de confiance. Lorsque vous accédez à un site Web sécurisé, le site présente son certificat de sécurité à votre navigateur. Si le certificat du site Web est à jour et provient d'une autorité de certification de confiance, vous êtes autorisé à vous connecter et à effectuer vos transactions.
Il existe de nombreux sites Web de certificats de sécurité qui aident les propriétaires de sites Web à se sécuriser. Cela inclut Norton, GoDaddy, Microsoft et bien d'autres. Leur travail consiste à effectuer une vérification de domaine, où ils s'assurent que la personne qui demande un certificat est également le propriétaire du site Web. Nous avons expliqué en détail ce qui se passe dans notre guide sur les avantages de la vérification de votre domaine sur Google et Bing.
Cela se fait généralement en envoyant des instructions à l'adresse e-mail du site Web pour s'assurer que seul le propriétaire du site les lit. L'expéditeur demandera à l'administrateur de modifier les paramètres ou les fichiers du serveur de noms de domaine (DNS) sur le site Web pour prouver qu'il s'agit bien d'eux. Si l'administrateur a demandé un certificat, il peut suivre les instructions pour vérifier son identité.
Il existe des types de certificats plus stricts qu'une autorité de certification peut proposer pour vérifier les entreprises, telles que la validation étendue. Cela peut coûter des centaines de dollars, et les grandes entreprises en paieront parfois des milliers.
La validation étendue comprend la vérification d'informations telles que l'identité juridique du propriétaire du site Web, le nom de l'entreprise, l'adresse physique, l'enregistrement et la juridiction d'incorporation. La sécurité de ce site Web est une mesure de confiance importante si vous dirigez une entreprise.
En 2019, vous aviez l'habitude de voir le nom de l'entreprise dans la section certificat d'un navigateur Chrome ou Firefox ; cependant, en 2019, les deux navigateurs ont supprimé cette fonctionnalité. Cependant, vous pouvez toujours le voir si vous utilisez Opera.
Il existe des autorités de certification gratuites, mais elles n'ont pas les mêmes couches de sécurité et de marque que les grands noms. De plus, ils manquent souvent dans leur ubiquité de reconnaissance du navigateur. Cela signifie que si quelqu'un obtient un certificat de sécurité gratuit, les visiteurs peuvent voir un avertissement indiquant que le certificat n'est pas valide.
Vous pouvez obtenir une vérification de domaine gratuite de StartSSL sans validation d'identité. Les navigateurs Mozilla et Chrome feront confiance à votre site Web avec ce certificat. Cependant, il n'y aura pas de barre verte comme les packages Extended Validation, qui coûtent environ 200 $.
CACert est une autorité de certification communautaire gratuite. Les assureurs bénévoles de CACert rencontrent les propriétaires du site pour examiner vos documents d'identité en personne. Malheureusement, les principaux navigateurs ne font pas confiance à CACert, et ils ne sont inclus que dans quelques systèmes d'exploitation open source.
L'utilisation de CACert et StartSSL offrira cependant le cryptage de votre site, donc si vous avez une simple interaction utilisateur sur votre site (comme un forum ou un wiki), ces services gratuits peuvent être exactement ce dont vous avez besoin.
Il est possible que vous rencontriez une alerte de certificat lorsque vous naviguez sur Internet. Vous pouvez voir à quoi ils ressemblent sur BadSSL, qui contient des liens vers de mauvais certificats que vous pouvez essayer.
Lorsque vous recevez une alerte sur un vrai site Web, vérifiez les détails du certificat en cliquant sur le cadenas. Vous pourrez découvrir pourquoi votre navigateur a rejeté le certificat et décider vous-même si vous souhaitez continuer. Si le certificat a expiré, le propriétaire du site Web a peut-être oublié de le renouveler à temps. Vous devriez vérifier la date de l'horloge de votre ordinateur si vous voyez souvent cette alerte.
Si le navigateur a révoqué le certificat de sécurité, cela signifie que le site utilise le certificat de manière frauduleuse et vous ne devez pas lui faire confiance. Si le navigateur n'aime pas l'autorité de certification, cela dépend de vous. Si vous sentez que vous comprenez et faites confiance au modèle de vérification peer-to-peer de CACert ou à la vérification de domaine de StartSSL, vous pouvez dire à votre navigateur de faire confiance à ces autorités de certification.
Lorsque vous voyez un avertissement de certificat provenant d'un site de confiance, vous pouvez également essayer de consulter le flux Twitter du site Web, qui contient souvent des mises à jour sur le site, les temps d'arrêt, la sécurité et d'autres problèmes.
S'ils n'ont pas de mises à jour, et si vous le pouvez, il peut être utile de contacter le propriétaire du site Web et de lui demander ce qui se passe. Vous pourriez épargner beaucoup de tracas au propriétaire du site Web et aux autres utilisateurs, au cas où ils ne seraient pas déjà au courant de l'avertissement du certificat.
Les certificats de sécurité de site Web peuvent sembler ennuyeux, mais ils sont essentiels pour identifier un site Web sécurisé. Vous savez maintenant comment vérifier un certificat si quelque chose ne va pas, et comment sécuriser votre propre site Web si vous le souhaitez.
Vous souhaitez naviguer sur Internet en toute sécurité ? Pourquoi ne pas essayer l'une des meilleures extensions de sécurité Google Chrome ?