Comment reconnaître un certificat SSL valide ?

Tous les navigateurs modernes affichent l’utilisation des connexions HTTPS encodées dans la barre d’adresse et indiquent si le certificat SSL est valide ou pas.

Regarde bien la barre d’adresse de ton navigateur

La capture d’écran suivante montre Internet Explorer qui accède à deux sites Web de banques différentes :

HTTP vs HTTPS dans la barre de navigation dans Internet Explorer

  • En demandant le premier domaine, santander.co.uk, l’utilisateur arrive à l’adresse URL http://www.santander.co.uk/uk/index – une connexion non encodée.
  • En demandant le second domaine, db.com, l’utilisateur arrive à l’adresse URL https://www.db.com/index_e.htm – une connexion encodée.

Exemple de certificats SSL invalides dans le navigateur Chrome

Pour les deux domaines dans la capture d’écran suivante, le certificat SSL n’est pas valide et le navigateur Chrome indique ce qui suit :

Deux certificats invalides

Deux certificats invalides

Pourquoi est-ce que les deux certificats SSL sont invalides et donc créent une connexion non encodée ?

  • Marqué en rouge : un certificat SSL auto-signé dont l’identité ne peut pas être confirmée.
  • Marqué en jaune : Un certificat SSL délivré par un AC (Autorité de Certification) dont l’identité peut être confirmée. Mais toutes les ressources ne sont pas chargées sur la connexion encodée, ce qui veut dire qu’il y a un risque potentiel de sécurité et que le navigateur ne valide pas le certificat. .

Attention : Pourquoi il est important d’avoir un certificat SSL valide

En utilisant un certificat SSL on peut établir des connexions HTTPS encodée. Ce n’est sûr que si le certificat SSL utilisé valide le site Web à 100 %. Sans encodage, des tiers peuvent accéder à toutes les données envoyées et reçues par ton site et peuvent même les modifier en transit.

De plus, même si ce n’est pas aussi important que ce que nous avons statué ci-dessus, l’HTTPS est un facteur de classement pour Google. En cas de certificat invalide, ton site ne recevra pas d’accélérateur de classement.

Avec la vérification de certificat gratuite de globalsign.ssllabs.com, on sera capable de mieux comprendre le certificat SSL du domaine.

Exemple d’un certificat fiable :

Certificat SSL fiable

Certificat SSL fiable

Exemple d’un certificat pas fiable :

Certificat SSL pas fiable

Certificat SSL pas fiable

Les pièges des certificats SSL – pourquoi il leur arrive de ne pas être validés

Un navigateur ne validera peut-être pas un certificat SSL et le considèrera comme pas fiable dans les circonstances suivantes :

  • Certificat auto-signé
  • Pas de racines de certificat connues (pas reconnu par l’autorité de certification (Certification Authority ou AC))
  • Le certificat a expiré
  • Le domaine ouvert ne correspond pas à la plage valide pour le domaine enregistré dans le certificat
  • Le site Web contient des ressources non encodées, qui sont, par exemple, chargées par des sites tiers sans support HTTPS
  • Dans le certificat, il n’y a pas le support pour l’indication du nom du serveur (SNI)
  • Vieille version du protocole à cause de l’utilisation d’une vieille version de OpenSSL. Il faut toujours utiliser la dernière bibliothèque TLS !
    • SSL v2 n’est pas sûr et ne devrait pas être utilisé
    • SSL v3 et TLS v1.0 sont répandus, mais leur sécurité est mise en doute
    • TLS v1.1 et v1.2 sont les standards les plus récents et les plus sûrs

  • La longueur de la clé est inférieure à 2048 bit

Explication en vidéo : qu’est-ce que les SSL ?

Cette vidéo explique les bases des SSL, qui sont bonnes à savoir, et comment fonctionne l’encodage.

Plus d’informations à ce sujet :