en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

SSL /TLS Meilleures pratiques pour 2021

En 2021, sécuriser votre site web avec un SSL /TLS le certificat n'est plus facultatif, même pour les entreprises qui ne traitent pas directement les informations sensibles des clients sur le Web. Les moteurs de recherche comme Google utilisent la sécurité du site comme signal de classement SEO, et les navigateurs Web populaires comme Chrome alertent les utilisateurs sur les sites Web qui n'utilisent pas HTTPS:

Navigateur travaillant pour un site Web non sécurisé

Cependant, la perspective de configurer vos serveurs Web et applications pour utiliser le SSL /TLS protocole correctement peut sembler décourageant, car il y a beaucoup de choix de configuration et de conception obscurs à faire. Ce guide fournit un aperçu rapide des principaux points à garder à l'esprit lors de la configuration de SSL /TLS pour votre site Web, tout en mettant l'accent à la fois sur la sécurité et les performances. Il reste encore beaucoup à couvrir avec les bases, nous l'avons donc décomposé en une série d'étapes.

Choisissez une autorité de certification fiable (CA)

Vos certificats sont aussi fiables que l'autorité de certification qui les émet. Toutes les autorités de certification de confiance du public sont soumises à des audits tiers rigoureux pour maintenir leur position dans les principaux programmes de certificat racine du système d'exploitation et du navigateur, mais certaines sont plus aptes à maintenir ce statut que d'autres. Recherchez un CA qui (comme SSL.com):

  • Fait l'essentiel de ses activités dans le domaine de la confiance publique PKI. Ces entreprises ont le plus à perdre si de mauvaises pratiques de sécurité sont mises en évidence, et tout à gagner à suivre l'évolution des normes de l'industrie.
  • Répond de manière efficace et efficiente aux découvertes de vulnérabilités affectant la sécurité et la confidentialité des utilisateurs, comme le secteur entropie du numéro de série édition du début de 2019. Recherche dans les forums de l'industrie comme mozilla.dev.politique.de.sécurité peut vous donner une bonne idée de la façon dont une autorité de certification particulière réagit à l'adversité.
  • Propose des produits et services utiles, tels que les certificats Extended Validation (EV), la délivrance de certificats en masse / automatisée via un API ou le Protocole ACME, des services simples de gestion et de surveillance du cycle de vie des certificats, et ASSISTANCE pour l'intégration avec une liste complète de solutions tierces.
  • A la réputation d'un excellent service client et d'un excellent support technique. Assurer la sécurité du site Web de votre entreprise à 100% du temps est important et vous devez être en mesure de faire appel à un véritable expert au téléphone lorsque les choses tournent mal.

Autorisation de l'autorité de certification (CAA)

Autorisation de l'autorité de certification (CAA) est une norme visant à protéger les sites Web en désignant des autorités de certification spécifiques autorisées à émettre des certificats pour un nom de domaine. Une fois que vous avez choisi une autorité de certification, vous devriez envisager configuration des enregistrements CAA pour l’autoriser.

Générez et sécurisez vos clés privées

La SSL /TLS protocole utilise une paire de clés pour authentifier les identités et crypter les informations envoyées sur Internet. L'un d'eux (le Clé publique) est destiné à une large diffusion et l'autre (le Clé privée) doit être conservé de la manière la plus sûre possible. Ces clés sont créées ensemble lorsque vous générez un demande de signature de certificat (CSR). Voici quelques conseils à garder à l'esprit concernant vos clés privées:

  • Utilisez des clés privées fortes: Les clés plus grandes sont plus difficiles à casser, mais nécessitent plus de temps de calcul. Actuellement, au moins une clé RSA 2048 bits ou une clé ECDSA 256 bits est recommandée, et la plupart des sites Web peuvent atteindre une bonne sécurité tout en optimisant les performances et l'expérience utilisateur avec ces valeurs.
    A Noter: pour un aperçu de ces deux algorithmes, veuillez consulter l'article de SSL.com, Comparaison ECDSA vs RSA.
  • Protégez vos clés privées:
    • Générez vos propres clés privées dans un environnement sécurisé et de confiance (de préférence sur le serveur sur lequel elles seront déployées ou sur un appareil compatible FIPS ou Critères Communs). Jamais autoriser une autorité de certification (ou toute autre personne) à générer des clés privées en votre nom. Une autorité de certification publique réputée, telle que SSL.com, ne proposera jamais de générer ou de gérer vos clés privées à moins qu'elles ne soient générées dans un jeton matériel sécurisé ou HSM et ne soient pas exportables.
    • Ne donnez accès aux clés privées que si nécessaire. Générer de nouvelles clés et révoquer tous les certificats des anciennes clés lorsque les employés disposant d'un accès par clé privée quittent l'entreprise.
    • Renouvelez les certificats aussi souvent que possible (au moins une fois par an, ce serait bien), de préférence en utilisant à chaque fois une clé privée fraîchement générée. Des outils d'automatisation comme le Protocole ACME sont utiles pour planifier des renouvellements fréquents de certificats.
    • Si une clé privée a été (ou aurait pu être) compromise, révoquer tous les certificats pour cette clé, générez une nouvelle paire de clés et émettez un nouveau certificat pour la nouvelle paire de clés.

Configurez votre serveur

À la surface, installer un SSL /TLS certificat peut sembler une opération simple; Cependant, de nombreuses décisions de configuration doivent encore être prises pour garantir que votre serveur Web est rapide et sécurisé et que les utilisateurs finaux bénéficient d'une expérience fluide, sans erreurs de navigateur ni avertissements. Voici quelques pointeurs de configuration pour vous aider à vous mettre sur la bonne voie lors de la configuration de SSL /TLS sur vos serveurs:

  • Assurez-vous que tous les noms d'hôte sont couverts: Votre certificat couvre-t-il le nom de domaine de votre site avec et sans le www préfixe? y a t-il Autre nom de sujet (SAN) pour chaque nom de domaine que le certificat est destiné à protéger?
  • Installer des chaînes de certificats complètes: SSL d'entité finale /TLS les certificats sont généralement signés par des certificats intermédiaires plutôt que par la clé racine d'une autorité de certification. Assurez-vous que tous les certificats intermédiaires sont installés sur votre serveur Web pour fournir aux navigateurs une chemin de certification et évitez les avertissements de confiance et les erreurs pour les utilisateurs finaux. Votre CA sera en mesure de vous fournir tous les intermédiaires nécessaires; Les clients de SSL.com peuvent utiliser notre Téléchargement de certificat intermédiaire pour récupérer des ensembles intermédiaires pour de nombreuses plates-formes de serveur.
  • Utiliser SSL actuel /TLS Protocoles (TLS 1.2 ou 1.3): Fin 2018, tous les principaux éditeurs de navigateurs ont annoncé leur intention de déprécier TLS 1.0 et 1.1 d'ici la première moitié de 2020. Google obsolète TLS v1.0 et v1.1 dans Chrome 72 (sortie le 30 janvier 2919). Les versions 84 de Chrome (publiées le 14 juillet 2020) et supérieures présentent un avertissement interstitiel pour ces protocoles, et le support sera entièrement supprimé en mai 2021. Prise en charge généralisée des navigateurs SSL /TLS les versions, telles que SSL v3, ont disparu depuis longtemps. Tandis que TLS 1.2 est actuellement la version la plus utilisée du SSL /TLS protocole, TLS 1.3 (la dernière version) est déjà supporté dans les versions actuelles de la plupart des principaux navigateurs Web.
  • Utilisez une courte liste de suites de chiffrement sécurisé: Choisissez uniquement des suites de chiffrement qui offrent un cryptage d'au moins 128 bits, ou plus fort si possible. L’Institut national des normes et de la technologie (NIST) recommande également que tous les TLS les implémentations s'éloignent des suites de chiffrement contenant le chiffrement DES (ou ses variantes) pour celles utilisant AES. Enfin, n'utiliser qu'un petit sous-ensemble de suites de chiffrement potentiellement acceptables minimise la surface d'attaque pour les vulnérabilités non encore découvertes. L'annexe des SSL.com Guide de TLS Conformité aux normes fournit des exemples de configurations pour les plates-formes de serveurs Web les plus populaires, en utilisant TLS 1.2.
    A Noter: L'utilisation de chiffres non sécurisés et obsolètes (tels que RC4) peut entraîner des erreurs de sécurité du navigateur, telles que ERR_SSL_VERSION_OR_CIPHER_MISMATCH dans Google Chrome.
  • Utiliser le secret avancé (FS): Aussi connu sous le nom Perfect Forward Secret (PFS), FS garantit qu'une clé privée compromise ne compromettra pas également les clés de session antérieures. Pour activer FS:
    • Configurer TLS 1.2 pour utiliser l'algorithme d'échange de clés EDIE (Elliptic Curve Diffie-Hellman) (avec DHE comme solution de rechange) et évitez si possible l'échange de clés RSA.
    • Utiliser TLS 1.3. TLS 1.3 offre un secret pour tous TLS sessions via le Diffie-Hellman éphémère (EDH ou DHE) protocole d'échange de clés.
  • Activer TLS Reprise de la session: De la même manière que l'utilisation de keepalives pour maintenir des connexions TCP persistantes, TLS la reprise de session permet à votre serveur Web de garder une trace du SSL /TLS sessions et les reprendre, en contournant la charge de calcul de la négociation des clés de session.
  • Considérez l'agrafage OCSP: Agrafage OCSP permet aux serveurs Web de fournir des informations de révocation en cache directement au client, ce qui signifie qu'un navigateur n'aura pas à contacter un serveur OCSP pour vérifier si le certificat d'un site Web a été révoqué. En éliminant cette demande, l'agrafage OCSP offre une réelle amélioration des performances. Pour plus d'informations, veuillez lire notre article, Optimisation du chargement des pages: agrafage OCSP.

Utiliser les meilleures pratiques pour la conception d'applications Web

Concevoir vos applications Web en tenant compte de la sécurité est tout aussi important que de configurer correctement votre serveur. Ce sont les points les plus importants pour vous assurer que vos utilisateurs ne sont pas exposés à l'homme au milieu attaques et que votre application bénéficie des avantages SEO associés aux bonnes pratiques de sécurité:

  • Éliminer le contenu mixte: Les fichiers JavaScript, les images et les fichiers CSS doivent tous être accessible avec SSL /TLS. Comme indiqué dans l'article de SSL.com, HTTPS Everywhere, servant contenu mixte n'est plus un moyen acceptable d'augmenter les performances du site Web et peut entraîner des avertissements de sécurité du navigateur et des problèmes de référencement.
  • Utilisez des cookies sécurisés: Réglage Secure l'indicateur dans les cookies imposera la transmission sur des canaux sécurisés (par exemple HTTPS). Vous pouvez également empêcher JavaScript côté client d'accéder aux cookies via le HttpOnly drapeau et restreindre l'utilisation intersite des cookies avec le SameSite drapeau.
  • Évaluez le code tiers: Assurez-vous de bien comprendre les risques potentiels liés à l'utilisation de bibliothèques tierces sur votre site Web, tels que la possibilité d'introduire par inadvertance des vulnérabilités ou du code malveillant. Vérifiez toujours la fiabilité des tiers au mieux de vos capacités et établissez un lien vers tous les codes tiers avec HTTPS. Enfin, assurez-vous que votre avantage de tout élément tiers sur votre site Web en vaut la peine.

Vérifiez votre travail avec les outils de diagnostic

Après avoir configuré SSL /TLS sur votre serveur et votre site Web ou en effectuant des modifications de configuration, il est important de vous assurer que tout est correctement configuré et que votre système est sécurisé. De nombreux outils de diagnostic sont disponibles pour vérifier le SSL /TLS. Par exemple, SSL Shopper's Vérificateur SSL vous fera savoir si votre certificat est correctement installé, quand il expirera et affichera le certificat chaîne de confiance.

D'autres outils et applications en ligne sont disponibles pour analyser votre site en vérifiant les problèmes de sécurité tels que le contenu mixte. Vous pouvez également vérifier le contenu mixte avec un navigateur Web en utilisant ses outils de développement intégrés:

avertissement de contenu mixte
Avertissement de contenu mixte dans la console Chrome

Quels que soient les outils que vous choisissez, il est également important de définir un calendrier pour vérifier votre SSL /TLS installation et configuration. Votre CA peut également être en mesure de vous aider. Par exemple, pour plus de commodité pour nos clients, SSL.com fournit des notifications automatisées d'expiration imminente du certificat.

Restez à l'affût des nouvelles vulnérabilités

La sécurité Web est une cible en constante évolution et vous devez toujours être à l'affût de la prochaine attaque et appliquer rapidement des correctifs de sécurité sur votre serveur. Cela signifie lire et rester au courant de ce qui se profile à l'horizon en matière de sécurité de l'information, ainsi que se tenir au courant des mises à jour logicielles, en particulier les plus critiques. Site Web de SSL.com (où vous lisez ceci en ce moment) est une excellente source pour rester à jour sur SSL /TLS et la sécurité de l'information.

Mais qu'en est-il…?

Si vous souhaitez en savoir plus sur l'un des sujets abordés dans ce guide et en savoir plus sur les nouveaux problèmes et technologies à mesure qu'ils surviennent, vous pouvez commencer par parcourir et rechercher SSL.com. Base de connaissances, que nous tenons à jour chaque semaine avec les nouveaux développements dans le domaine du SSL /TLS et PKI. Vous pouvez également vous sentir libre de contacter notre personnel d'assistance à tout moment par e-mail à Support@SSL.com, au téléphone au 1-877-SSL-Secure, ou en cliquant sur le lien de chat en bas à droite de cette page.

SSL.com fournit une grande variété de SSL /TLS certificats de serveur pour les sites Web HTTPS.

COMPARER SSL /TLS CERTIFICATS

Partager sur twitter
Twitter
Partager sur facebook
Facebook
Partager sur linkedin
LinkedIn
Partager sur reddit
Reddit
Partager sur email
Email