Comment reconnaître un certificat SSL valide ?

Tous les navigateurs modernes affichent l’utilisation des connexions HTTPS encodées dans la barre d’adresse et indiquent si le certificat SSL est valide ou non.

Regardez bien la barre d’adresse de votre navigateur

La capture d’écran suivante montre Internet Explorer qui accède à deux sites Web de banques différentes :

HTTP vs HTTPS dans la barre de navigation dans Internet Explorer
  • En demandant le premier domaine, santander.co.uk, l’utilisateur arrive à l’adresse URL http://www.santander.co.uk/uk/index – une connexion non encodée.
  • En demandant le second domaine, db.com, l’utilisateur arrive à l’adresse URL https://www.db.com/index_e.htm – une connexion encodée.

Exemple de certificats SSL invalides dans le navigateur Chrome

Pour les deux domaines dans la capture d’écran suivante, le certificat SSL n’est pas valide et le navigateur Chrome indique ce qui suit :

Deux certificats invalides
Deux certificats invalides

Pourquoi est-ce que les deux certificats SSL sont invalides et donc créent une connexion non encodée ?

  • Marqué en rouge : un certificat SSL auto-signé dont l’identité ne peut pas être confirmée.
  • Marqué en jaune : un certificat SSL délivré par une AC (Autorité de Certification) dont l’identité peut être confirmée. Mais toutes les ressources ne sont pas chargées sur la connexion encodée, ce qui veut dire qu’il y a un risque potentiel de sécurité et que le navigateur ne valide pas le certificat en question.

Attention : Pourquoi il est important d’avoir un certificat SSL valide

En utilisant un certificat SSL, on peut établir des connexions HTTPS encodées. Ce n’est sûr que si le certificat SSL utilisé valide le site Web à 100 %. Sans encodage, des tiers peuvent accéder à toutes les données envoyées et reçues par votre site et peuvent même les modifier en transit.

De plus, même si ce n’est pas aussi important que ce que nous avons expliqué ci-dessus, l’HTTPS est également un facteur de classement pour Google. En cas de certificat invalide, votre site ne recevra pas d’accélérateur de classement.

Avec la vérification de certificat gratuite de globalsign.ssllabs.com, nous serons capable de mieux comprendre le certificat SSL du domaine.

Exemple d’un certificat fiable :

Certificat SSL fiable
Certificat SSL fiable

Exemple d’un certificat non fiable :

Certificat SSL pas fiable
Certificat SSL pas fiable

Les pièges des certificats SSL – pourquoi il leur arrive de ne pas être validés

Un navigateur ne validera peut-être pas un certificat SSL et le considèrera comme non fiable dans les circonstances suivantes :

  • Certificat auto-signé
  • Pas de racines de certificat connues (pas reconnu par l’Autorité de Certification)
  • Le certificat a expiré
  • Le domaine ouvert ne correspond pas à la plage valide pour le domaine enregistré dans le certificat
  • Le site Web contient des ressources non encodées, qui sont, par exemple, chargées par des sites tiers sans support HTTPS
  • Dans le certificat, il n’y a pas le support pour l’indication du nom du serveur (SNI)
  • Ancienne version du protocole à cause de l’utilisation d’une ancienne version de OpenSSL. Il faut toujours utiliser la dernière bibliothèque TLS !
    • SSL v2 n’est pas sûr et ne devrait pas être utilisé
    • SSL v3 et TLS v1.0 sont répandus, mais leur sécurité est mise en doute
    • TLS v1.1 et v1.2 sont les standards les plus récents et les plus sûrs
  • La longueur de la clé est inférieure à 2048 bit

Explication en vidéo : qu’est-ce que les SSL ?

Cette vidéo explique les bases des SSL, qui sont bonnes à savoir, et comment fonctionne l’encodage.

Plus d’informations à ce sujet :

  • Meilleures pratiques pour le déploiement des SSL/TLS : PDF
01.06.2022