HTTP et HTTPS
HTTPS est un protocole réseau utilisé par les navigateurs pour communiquer en toute sécurité avec les serveurs Web. HTTPS est une alternative sécurisée à un protocole beaucoup plus ancien, appelé Hyper Text Transfer Protocol ou HTTP. HTTPS peut protéger les utilisateurs, car il nécessite le chiffrement de toutes les données Web échangées (ou HTTP) via un protocole cryptographique, appelé TLS (HTTPS est littéralement * HTTP * sur *TLS*)
Chiffrement des données Web avec une clé secrète (comme TLS ne) améliore la sécurité des utilisateurs en empêchant les attaquants de lire ou de modifier le contenu d'origine en transit. Ces attaques de réseau sont appelées attaques de l'homme du milieu (MITM). Les chercheurs ont démontré à plusieurs reprises que les attaquants MITM peuvent, en substance, lire ou modifier tout trafic HTTP, sans que l'utilisateur ne le sache.
La sécurité accrue rend HTTPS idéal pour les applications Web gérant des données sensibles, et la plupart des serveurs (par exemple, les serveurs bancaires ou de messagerie) ont déjà été mis à niveau. Malheureusement, tous les serveurs Web ne le prennent pas en charge, en raison de diverses restrictions opérationnelles, telles que l'augmentation de la bande passante, des problèmes hérités, etc. Étant donné qu'il existe un danger potentiel, les utilisateurs concernés doivent savoir s'ils naviguent sur une connexion non sécurisée.
Entrez des indicateurs de sécurité
Les navigateurs informent les utilisateurs sur l'état de sécurité d'une connexion Web, sous la forme de graphiques affichés dans la barre d'adresse (par exemple, l'icône de verrouillage avant l'URL de cet article). Celles-ci indicateurs de sécurité peut être soit négatif et avertir les utilisateurs qu'ils sont en danger potentiel, ou positif, pour les rassurer, leur connexion est sécurisée.
Les indicateurs de sécurité sont utilisés pour communiquer deux aspects d'une connexion Web; sécurité de connexion et par authenticité du serveur Web distant.
Sécurité de connexion via le cryptage
Les indicateurs informent sur la sécurité des connexions en distinguant crypté, non crypté et contenu mixte Connexions. Les sites cryptés et non cryptés protègent tout ou partie du contenu. Le contenu mixte signifie que certains composants de sites Web autrement cryptés sont récupérés via des canaux non cryptés.
Les composants qui peuvent modifier le contenu de la page (comme les scripts ou les vecteurs) sont appelés contenu actif. Les composants avec des identités fixes (comme les images statiques ou les polices) sont appelés contenu passif.
Bien qu'une connexion Web entièrement cryptée semble sécurisée, cela ne signifie pas à lui seul qu'un site Web peut être parcouru en toute sécurité.
Authentification serveur et certificats numériques
Les attaquants peuvent (et font) copier le contenu d'un site Web et rediriger le trafic réseau vers leur propre serveur malveillant, même via des connexions cryptées. Leur serveur n'aurait qu'à présenter un autre, connu TLS clé au lieu du secret d'origine. N'ayant aucune raison de douter de la légitimité de la connexion, les utilisateurs sans méfiance pourraient alors être persuadés de se connecter ou de divulguer toute autre information sensible.
En réponse, les navigateurs authentifient les serveurs en corrélant les informations d'identification des propriétaires de serveurs Web légitimes avec la clé de chiffrement unique que chaque serveur présente. De cette façon, les navigateurs délèguent cette vérification des informations d'identification à des entités tierces, appelées Autorités de certification (CA). Les principaux navigateurs maintiennent des programmes racine pour gérer leur propre confiance envers les autorités de certification, qui doivent respecter des normes strictes et des exigences d'audit pour être approuvées par le navigateur.
Un propriétaire de serveur Web demandant un certificat à une autorité de certification de confiance, telle que SSL.com, doit présenter une clé publique valide et prouver qu'il contrôle le nom de domaine et le serveur vers lequel il pointe. Si ces vérifications aboutissent, l'autorité de certification émet un certificat numérique au propriétaire, qui l'utilise pour crypter et authentifier les connexions à leur site.
Les certificats sont des identités numériques, contenant des informations sur la personne ou l'organisation qui possède un serveur. Les autorités de certification signent cryptographiquement chaque certificat avec une signature numérique, un mécanisme d'intégrité analogue aux sceaux de cire - les attaquants ne peuvent pas dupliquer la signature et ils devraient l'invalider avant de modifier le contenu. HTTPS nécessite un serveur Web pour accueillir une connexion de navigateur avec le certificat valide de ce serveur. Les navigateurs vérifient ensuite le certificat - s'il a été signé par une autorité de certification de confiance, la connexion peut se poursuivre. (Si un serveur présente un certificat différent, révoqué ou autrement invalide, le navigateur met fin ou interdit la connexion et avertit l'utilisateur, en utilisant des messages d'erreur que nous examinerons en détail dans un prochain article).
Niveaux de validation
Il convient de noter que tous les certificats n'offrent pas le même niveau de sécurité et que les indicateurs de sécurité peuvent distinguer les différents types de certificats émis pour différents niveaux de validation.
Problème d'AC Domaine validé (DV) des certificats aux clients ayant démontré un contrôle sur un domaine DNS. Organisation validée (OV) les certificats sont vérifiés pour authentifier une organisation est une entité juridique, ainsi que le contrôle de domaine. Finalement, Validé étendu (EV) - qui peuvent afficher les informations de l'entreprise dans la barre du navigateur elle-même - sont réservés aux clients qui ont passé plusieurs contrôles de vérification indépendants (y compris le contact humain à humain, la référence à des bases de données qualifiées et des revues de suivi) ainsi qu'aux OV et DV étapes de niveau.
État actuel des indicateurs
Dans les premiers jours d'Internet, HTTP était la norme et HTTPS a été introduit comme une option pour les plus soucieux de la sécurité. Par conséquent, la plupart des navigateurs n'utilisaient que positif indicateurs, c'est-à-dire un verrou montrant une connexion HTTPS, et (éventuellement) si cette connexion utilise un certificat EV. Aujourd'hui, pour promouvoir plus largement la sensibilisation à la sécurité, Chrome, ainsi que Firefox et Safari, ont également commencé à adopter l'utilisation de négatif indicateurs, avertissant les utilisateurs de pages avec des pages de contenu actif non chiffrées ou mixtes. Le tableau suivant est un résumé de l'état général des indicateurs de sécurité dans les navigateurs. En commençant par HTTP (qui n'est pas du tout sécurisé), chaque élément plus loin dans la liste est plus sécurisé que les précédents.
(Clique sur l'image pour l'agrandir)
Changements à venir et plans pour l'avenir
L'équipe de sécurité utilisable de Chrome a publié un proposition pour changer ce comportement de navigateur. Ils suggèrent que tous les navigateurs devraient commencer à mettre en garde les utilisateurs contre les sites Web HTTP (ou à contenu mixte HTTPS) dangereux, avec des indicateurs négatifs, tout en essayant de supprimer complètement les indicateurs de sécurité positifs des sites Web HTTPS.
Ils fondent leur décision sur des recherches publié dans 2007, indiquant que les indicateurs de sécurité positifs sont ignorés par les utilisateurs, par opposition aux indicateurs négatifs perçus comme plus graves. Chrome a également fait valoir dans sa proposition initiale que «les utilisateurs devraient s'attendre à ce que le Web soit sûr par défaut, et ils seront avertis en cas de problème».
Souscrit à cette idée, à partir de septembre 2018, les nouvelles versions de Chrome (69+) affichent un indicateur négatif «Non sécurisé» sur tous les sites Web HTTP et n'afficheront pas l'indicateur positif «Sécurisé» pour HTTPS.
Firefox de Mozilla (depuis la version 58+) est l'un des deux autres navigateurs à avoir adopté des indicateurs de sécurité négatifs, mais uniquement pour les sites à contenu actif mixte. De plus, dans un article de blog officiel, ils ont annoncé leurs futurs plans pour les indicateurs de sécurité de l'interface utilisateur dans Firefox: «Firefox affichera éventuellement l'icône de verrouillage barré pour toutes les pages qui n'utilisent pas HTTPS, pour indiquer qu'elles ne sont pas sécurisées».
Safari d'Apple (version technologique 46+) est le navigateur restant qui utilise des indicateurs négatifs pour les sites Web à contenu actif mixte, bien qu'ils n'aient fait aucune déclaration publique concernant leurs projets d'indicateurs de sécurité à l'avenir.
Les navigateurs Edge et Opera de Microsoft n'ont pas parlé publiquement de leurs projets concernant les indicateurs de sécurité de l'interface utilisateur.
Conclusion
Être en sécurité sur Internet devrait être la valeur par défaut, et les avertissements de navigateur actifs contre les connexions HTTP non sécurisées pourraient motiver certains propriétaires de serveurs Web hérités à prêter attention à la sécurité de leurs sites et de leurs visiteurs. De plus, la suppression de l'indicateur «Sécurisé» des sites Web HTTPS est (sans doute) une étape pour faire du HTTPS la norme attendue. En ce qui concerne l'élimination complète des indicateurs positifs, certains indicateurs, tels que les indicateurs EV, peuvent encore fournir une assurance importante aux visiteurs dans certaines circonstances. Quel que soit l'avenir, à mesure que l'utilisation mondiale du HTTPS augmente, il y aura forcément des changements et des défis intéressants - alors revenez régulièrement avec nous pour obtenir des informations futures sur ces sujets de sécurité et d'autres.
Comme toujours, merci d'avoir lu ces mots sur SSL.com, où nous croyons plus sûre Internet est un mieux Internet.
