SSL.com fournit une grande variété de SSL /TLS certificats de serveur pour les sites Web HTTPS, y compris:
HTTPS (protocole de transfert hypertexte sécurisé) est une version sécurisée du protocole HTTP qui utilise le SSL /TLS protocole pour le cryptage et l'authentification. HTTPS est spécifié par RFC 2818 (Mai 2000) et utilise le port 443 par défaut au lieu du port 80 de HTTP.
Le protocole HTTPS permet aux utilisateurs du site Web de transmettre des données sensibles telles que les numéros de carte de crédit, les informations bancaires et les informations de connexion en toute sécurité sur Internet. Pour cette raison, HTTPS est particulièrement important pour sécuriser les activités en ligne telles que les achats, les opérations bancaires et le travail à distance. Cependant, HTTPS devient rapidement le protocole standard pour tous sites Web, qu'ils échangent ou non des données sensibles avec les utilisateurs.
HTTPS ajoute chiffrement, protocoles d'authentification et intégrité au protocole HTTP:
Cryptage: Parce que HTTP a été initialement conçu comme un protocole de texte clair, il est vulnérable à l'écoute et l'homme au milieu attaque. En incluant SSL /TLS cryptage, HTTPS empêche les données envoyées sur Internet d'être interceptées et lues par un tiers. À travers cryptographie à clé publique et la SSL /TLS poignée de main, une session de communication cryptée peut être établie de manière sécurisée entre deux parties qui ne se sont jamais rencontrées en personne (par exemple un serveur Web et un navigateur) via la création d'une clé secrète partagée.
Authentification: Contrairement à HTTP, HTTPS inclut une authentification robuste via SSL /TLS protocole. SSL d'un site Web /TLS certificat comprend un Clé publique qu'un navigateur Web peut utiliser pour confirmer que les documents envoyés par le serveur (comme les pages HTML) ont été signés numériquement par une personne en possession des Clé privée. Si le certificat du serveur a été signé par un autorité de certification (CA), tel que SSL.com, le navigateur acceptera que toute information d'identification incluse dans le certificat ait été validée par un tiers de confiance.
Les sites Web HTTPS peuvent également être configurés pour authentification mutuelle, dans lequel un navigateur Web présente un certificat client identifiant l'utilisateur. L'authentification mutuelle est utile dans des situations telles que le travail à distance, où il est souhaitable d'inclure l'authentification multifacteur, ce qui réduit le risque de phishing ou d'autres attaques impliquant le vol d'informations d'identification. Pour plus d'informations sur la configuration des certificats clients dans les navigateurs Web, veuillez lire ce mode d'emploi.
Intégrité: Chaque document (tel qu'une page Web, une image ou un fichier JavaScript) envoyé à un navigateur par un serveur Web HTTPS comprend une signature numérique qu'un navigateur Web peut utiliser pour déterminer que le document n'a pas été modifié par un tiers ou autrement corrompu pendant le transport. Le serveur calcule un hachage cryptographique du contenu du document, inclus avec son certificat numérique, que le navigateur peut calculer indépendamment pour prouver que l'intégrité du document est intacte.
Prises ensemble, ces garanties de cryptage, d'authentification et d'intégrité font du HTTPS un beaucoup protocole plus sûr pour la navigation et la conduite des affaires sur le Web que HTTP.
Les autorités de certification utilisent trois méthodes de validation lors de l'émission de certificats numériques. La méthode de validation utilisée détermine les informations qui seront incluses dans le SSL /TLS certificat:
• Validation de domaine (DV) confirme simplement que le nom de domaine couvert par le certificat est sous le contrôle de l'entité qui a demandé le certificat.
• Organisation / Validation individuelle (VO / IV) les certificats incluent le nom validé d'une entreprise ou d'une autre organisation (OV), ou d'une personne physique (IV).
• Extended Validation (EV) Les certificats représentent la norme la plus élevée en matière de confiance Internet et nécessitent le plus d'efforts de la part de l'autorité de certification pour valider. Les certificats EV ne sont délivrés qu'aux entreprises et autres organisations enregistrées, pas aux particuliers, et incluent le nom validé de cette organisation.
Pour plus d'informations sur l'affichage du contenu du certificat numérique d'un site Web, veuillez lire notre article, Comment puis-je vérifier si un site Web est géré par une entreprise légitime?
Il existe plusieurs bonnes raisons d'utiliser HTTPS sur votre site Web et d'insister sur HTTPS lorsque vous naviguez, faites des achats et travaillez sur le Web en tant qu'utilisateur:
Intégrité et authentification: Grâce au cryptage et à l'authentification, HTTPS protège l'intégrité de la communication entre un site Web et les navigateurs d'un utilisateur. Vos utilisateurs sauront que les données envoyées depuis votre serveur Web n'ont pas été interceptées et / ou modifiées par un tiers en transit. Et, si vous avez investi davantage dans les certificats EV ou OV, ils pourront également dire que les informations vient vraiment de votre entreprise ou organisation.
Intimité: Bien sûr, personne ne veut que des intrus récupèrent leurs numéros de carte de crédit et leurs mots de passe lorsqu'ils font des achats ou font des transactions bancaires en ligne, et HTTPS est idéal pour empêcher cela. Mais voudriez-vous vraiment voulez que tout ce que vous voyez et faites sur le Web soit un livre ouvert pour quiconque a envie d'espionner (y compris les gouvernements, les employeurs ou quelqu'un qui crée un profil pour anonymiser vos activités en ligne)? HTTPS joue ici aussi un rôle important.
Expérience utilisateur: Les modifications récentes apportées à l'interface utilisateur du navigateur ont entraîné le signalement des sites HTTP comme peu sûr. Voulez-vous que les navigateurs de vos clients leur indiquent que votre site Web n'est pas sécurisé ou leur montrent un verrou barré lorsqu'ils le visitent? Bien sûr que non!
Compatibilité: Les modifications actuelles du navigateur rapprochent HTTP de plus en plus de l'incompatibilité. Mozilla Firefox a récemment annoncé une option Mode HTTPS uniquement, alors que Google Chrome passe progressivement à bloquer le contenu mixte (Ressources HTTP liées aux pages HTTPS). Lorsqu'ils sont consultés avec les avertissements du navigateur concernant «l'insécurité» pour les sites Web HTTP, il est facile de voir que l'écriture est sur le mur pour HTTP. En 2020, tous les principaux navigateurs et appareils mobiles actuels prennent en charge HTTPS, vous ne perdrez donc pas d'utilisateurs en passant de HTTP.
SEO: Les moteurs de recherche (y compris Google) utilisent HTTPS comme signal de classement lors de la génération des résultats de recherche. Par conséquent, les propriétaires de sites Web peuvent obtenir un coup de pouce SEO facile simplement en configurant leurs serveurs Web pour utiliser HTTPS plutôt que HTTP.
En bref, il n'y a plus de bonnes raisons pour que les sites Web publics continuent à prendre en charge HTTP. Même le Gouvernement des États-Unis est à bord!
HTTPS ajoute chiffrement au protocole HTTP en enveloppant HTTP dans le SSL /TLS protocole (c'est pourquoi SSL est appelé protocole de tunneling), de sorte que tous les messages sont cryptés dans les deux sens entre deux ordinateurs en réseau (par exemple un client et un serveur Web). Bien qu'un espion puisse encore potentiellement accéder aux adresses IP, aux numéros de port, aux noms de domaine, à la quantité d'informations échangées et à la durée d'une session, toutes les données réellement échangées sont cryptées de manière sécurisée par SSL /TLS, comprenant:
• Demander une URL (quelle page Web a été demandée par le client)
• Contenu du site
• Paramètres de requête
• En-têtes
• Cookies
HTTPS utilise également le SSL /TLS protocole pour protocoles d'authentification. SSL /TLS utilise des documents numériques appelés Certificats X.509 pour lier cryptographique paires de clés à l'identité des entités telles que les sites Web, les particuliers et les entreprises. Chaque paire de clés comprend un Clé privée, qui est maintenu en sécurité, et un Clé publique, qui peut être largement diffusé. Toute personne disposant de la clé publique peut l'utiliser pour:
• Envoyer un message que seul le détenteur de la clé privée peut déchiffrer.
• Confirmez qu'un message a été signé numériquement par sa clé privée correspondante.
Si le certificat présenté par un site Web HTTPS a été signé par un organisme de confiance du public autorité de certification (CA) tels que SSL.com, les utilisateurs peuvent être assurés que l'identité du site a été validée par un tiers de confiance et rigoureusement audité.
En 2020, les sites Web qui n'utilisent pas HTTPS ou ne servent contenu mixte (la diffusion de ressources telles que des images via HTTP à partir de pages HTTPS) est sujette à des avertissements et des erreurs de sécurité du navigateur. En outre, ces sites Web compromettent inutilement la confidentialité et la sécurité de leurs utilisateurs et ne sont pas préférés par les algorithmes des moteurs de recherche. Par conséquent, les sites Web HTTP et à contenu mixte peuvent s'attendre à plus d'avertissements et d'erreurs du navigateur, moindre confiance des utilisateurs et moins bon référencement que s'ils avaient activé HTTPS.
Une URL HTTPS commence par https://
au lieu de http://
. Les navigateurs Web modernes indiquent également qu'un utilisateur visite un site Web HTTPS sécurisé en affichant un symbole de cadenas fermé à gauche de l'URL:
Dans les navigateurs modernes tels que Chrome, Firefox et Safari, les utilisateurs peuvent cliquez sur la serrure pour voir si le certificat numérique d'un site Web HTTPS comprend données d'identification sur son propriétaire.
Pour protéger un site Web public avec HTTPS, il est nécessaire d'installer un SSL /TLS certificat signé par un public de confiance autorité de certification (CA) sur votre serveur Web. SSL.com de knowledgebase comprend de nombreux guides et procédures utiles pour configurer une grande variété de plates-formes de serveurs Web pour prendre en charge HTTPS.
Pour des guides plus généraux sur la configuration et le dépannage du serveur HTTP, veuillez lire SSL /TLS Meilleures pratiques pour 2020 et Dépannage de SSL /TLS Erreurs et avertissements du navigateur.