Bon à savoir

La différence entre HTTPS, HTTP et SSL

Comme nombreux aussi, je me posais question sur la différence qui existait entre HTTPS et HTTP, je ne le comprenais pas dans le bon sens, aujourd’hui avec toux ceux qui ne savent pas le sens ou l’importance de ces trois entités, on va le découvrir dans ce petit billet.

Comprenons d’abord chacun d’eux par définitions mais avant tout, jeter un œil sur cet article très important, pour les amoureux de l’Internet et revenir.

SSL

Secure Sockets Layer est un protocole de sécurisation des échanges sur Internet, développé à l’origine par Netscape. C’est le standard technologique de sécurité pour établir un lien crypté entre un serveur web et un navigateur. Ce lien garantit que toutes les données échangées entre le serveur web et les navigateurs restent privées et inviolables pour empêcher l’espionnage et la falsification.

HTTPS

HyperText Transfer Protocol Secure, littéralement “Protocole de transfert hypertexte sécurisé”, c’est la combinaison du HTTP avec une couche de chiffrement SSL ou TLS. Le HTTPS permet aux visiteusr de vérifier l’identité du site web auquel il accède, grâce à un certificat d’authentification émis par une autorité tierce, réputée fiable. Il garantit théoriquement la confidentialité et l’intégrité des données envoyées par l’utilisateur (notamment les informations entrées dans les formulaires) et reçues du serveur. Il permet de valider l’identité du visiteur, si celui-ci utilise également un certificat d’authentification client.

Y a-t-il une différence entre HTTP & HTTPS ?

Ben oui, il y a de nombreux critères qui différencient HTTP de HTTPS, en savoir quelques uns :

  1. Le schéma d’URL : Une différence visible à l’œil est que tous  URLs HTTPS commencent par un “https: /” et utilise le port 443 par défaut, tandis que les URLs du protocole non sécurisé HTTP commencent directement par un “http://” sans « s » à la fin et en utilisant le port 80.
  2. La sécurité : HTTP n’est pas sécurisé et est soumis à de nombreuses attaques, qui peuvent laisser des attaquants avoir accès à des informations sensibles, en revanche un site Web tout en HTTPS est conçu pour résister et protéger contre de telles attaques.
  3. Les couches réseau : HTTP fonctionne sur la couche la plus élevée du modèle TCP/IP qui est la couche application.  Le protocole sécurisé SSL lui fonctionne comme une sous-couche inférieure du même modèle TCP/IP, mais il crypte le message HTTP avant sa transmission et la déchiffre à l’arrivée. On peut donc dire que HTTPS n’est pas un protocole séparé, mais se réfère à l’utilisation du HTTP ordinaire via une connexion SSL cryptée.

Lequel choisir entre HTTP et HTTPS ?

En préambule, le HTTPS est particulièrement utile sur les réseaux non cryptés (tel que le réseau Wi-Fi), ou n’importe qui sur le même réseau local.

Lorsque vous servez  du contenu depuis votre site via HTTPS, vous avez la garantie que personne ne va changer la façon dont les informations sont reçues par les utilisateurs. Si vous faites du business en ligne, vous aurez besoin du SSL. C’est la meilleure façon de protéger les données de vos utilisateurs et de vous défendre contre l’usurpation d’identité.

De plus en plus d’internautes refusent d’effectuer des transactions sur un site qui ne dispose pas d’un certificat SSL. Au final, afficher son certificat SSL sur le site indique aux clients qu’ils peuvent faire leurs achats et utiliser votre site Web en toute confiance et qu’ils seront protégés.

[su_quote cite= »Walmart »]D’ailleurs pour un meilleur référencement ? Les sites sécurisés via SSL bénéficient d’un avantage pour leur référencement dans les pages de résultats de recherche sur Google. C’est ce qu’a annoncé Google qui inclut aujourd’hui le chiffrement des sites à sa liste de critères de positionnement.[/su_quote]

Alors que dois-je faire pour utiliser le HTTPS?

Pour passer de HTTP à HTTPS, il vous faut commencer à acheter un Certificat SSL, il existe de nombreux sites qui proposent l’achat de certificats SSL : Media TempleGoDaddy, et Namecheap la liste est longue.

Parmi les certificats, lequel choisir ?

Une très bonne question, il existe différents types de certificats SSL :

  • Validation Domaine c’est le certificat type et généralement le moins cher.  Ces certificats permettent le cryptage de base, sont délivrés très rapidement et nécessitent une simple vérification pour la propriété du domaine idéal pour les Blogs, des petits sites à des faibles trafic etc.
  • Validation Entreprise : Ces certificats incluent l’authentification de l’entreprise et/ou de l’organisation propriétaire du domaine, vous avez une entreprise, je vous le recommande.
  • Validation Étendue : Avec ce type de validation, l’autorité de certification procède à un examen en profondeur de votre entreprise avant d’émettre le certificat. Ce certificat SSL offre le plus haut degré de sécurité, là Baf, penser à votre poche, parce que c’est le plus cher !

Activer son certificat SSL gratuitement

Il existe autant de possibilités que d’hébergements et la procédure est différente selon votre fournisseur (dédié, VPS, Mutualisé,…) Pour plus de détails sur comment activer son certificat, je vous invite à lire cet Article sur Docomo

Pour les hébergements mutualisés, renseignez-vous auprès de vos hébergeurs, certains proposent des certificats SSL dans leurs offres.

Attention à la faille SSL 3 POODLE

Cette vulnérabilité SSL a été baptisée “POODLE” pour Padding Oracle On Downgraded Legacy Encryption. Elle utilise une ancienne version 3 du protocole SSL et sortie il y a 15 ans, qui assure le chiffrement d’une transaction. Une autre méthode plus robuste et plus répandue existe néanmoins: TLS 1.0. Cependant des sites web utilisent toujours SSLv3 pour assurer une compatibilité avec Internet Explorer 6 dans Windows XP. Surtout la technique sait simuler un problème de connexion et forcer un navigateur à basculer de TLS à SSLv3.

Pour s’en prémunir, il vous faudra donc désactiver le SSL v3 sur votre serveur. Le mode d’emploi est à lire chez www.digitalocean.com/protect-poodle-sslv3.

Enfin pour vérifier la qualité de votre certificat SSL, il vous suffit de tester votre domaine sur le site de https://www.ssllabs.com.

 

Articles similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Fermer