Favoriser un SSL complet

Obtenez un meilleur positionnement de recherche sur Google

Le nouvel algorithme de recherche Google favorise les sites internet qui utilisent HTTPS par défaut. Le moteur de recherche géant espère ainsi encourager les entreprises à instaurer le cryptage HTTPS. Cette mesure sera avantageuse autant pour les propriétaires de sites internet que pour les visiteurs, puisque les sites sécurisés apparaitront plus haut dans les résultats de recherche Google.

Enable Persistent SSL

Imaginez que vous verrouillez la porte d'entrée de votre maison mais laissez la porte arrière ouverte. C'est ce qu'il se passe lorsque les sites internet utilisent un SSL partiel, pour protéger uniquement certaines pages telles que les pages de connexion ou de transaction. Certaines entreprises pensent qu'elles sont protégées contre le vol de données et le piratage en utilisant uniquement un certificat SSL partiel pour certaines parties de leur site mais ils laissent le reste de leur site complètement exposé et vulnérable aux attaques.

Obtenez un meilleur positionnement de recherche sur Google

Un avenant important pour ce qui est de toujours favoriser le SSL a été mis en place par Google le 6 août 2014, via son blog de sécurité en ligne.  L'idée est de donner plus de poids (un meilleur positionnement de recherche) aux sites qui sont entièrement cryptés HTTPS.

La raison est assez simple selon les analystes de tendances en matière de développement Zineb Ait Bahajji et Gary Illyes.  "Nous souhaitons encourager tous les propriétaires de sites internet à passer du HTTP au HTTPS afin d'assurer la sécurité de tous sur le web.  Pour cela, il est important de s'assurer que les sites accessibles via Google sont sécurisés." Leur message ne peut pas être plus clair : " Nous espérons voir plus de sites utiliser HTTPS à l'avenir." Il s'agit d'encourager les sites à changer la façon dont ils se protègent pour le meilleur - et de protéger les données en transit partout sur internet.

Protéger l'intégralité de l'expérience utilisateur

Il est fondamental de passer au SSL complet, une mesure de sécurité efficace afin d'offrir une protection du début à la fin pour les visiteurs des sites internet.   Il ne s'agit pas d'un produit, d'un service ou d'un remplacement pour votre certificat SSL existant, mais plutôt d'une mesure de sécurité qui reconnait le besoin de protéger l'intégralité de la session de l'utilisateur et non uniquement l'écran de connexion. Un SSL toujours actif commence par un site qui utilise HTTPS dans son intégralité, mais implique aussi de mettre en place le drapeau de sécurité pour tous les cookies de session afin d'éviter que le contenu soit envoyé via des connections HTTP non cryptées. Des mesures additionnelles, telles qu'une validation étendue (EV) et un HSTS, peuvent renforcer votre infrastructure face aux attaques "intermédiaires".

Mettre en place le drapeau de sécurité pour tous les cookies de session

Un cookie de session peut être mis en place avec un drapeau de "sécurité" optionnel qui indique au navigateur le serveur d'origine utilisant uniquement HTTPS lorsqu'il renvoie ce cookie. L'attribut de sécurité devrait être considéré comme un conseil de sécurité de la part du serveur pour l'agent utilisateur, indiquant qu'il est dans l'intérêt de la session de protéger le contenu des cookies.  Cette mesure aide à empêcher que les cookies soient envoyés via HTTP, même si l'utilisateur fait accidentellement (ou est amené à faire) une requête sur le serveur internet via HTTP.

Améliorer la sécurité & la confiance grâce au certificat de validation étendue (EV)

Pour une meilleure protection contre les malveillances nous recommandons que les sites internet se munissent d'un certificat SSL à validation étendue (EV SSL). Les sites sécurisés par EV sont soumis à un processus de vérification rigoureux établi par le forum CA Browser, une collaboration de plus de 30 organismes de certification et de vendeurs de logiciels de navigation.

Ce processus de vérification confirme l'identité et l'existence des opérateurs de sites internet utilisant des sources indépendantes fiables.  Les utilisateurs visitant un site sécurisé pourvu d'un certificat SSL EV verront une barre verte ainsi que le nom de l'organisation dans la barre d'URL, fournissant ainsi une assurance visuelle concernant l'identité de l'opérateur du site.

établir le HSTS pour prévenir les attaques actives

Les connexions HTTPS sont souvent initiées lorsque les visiteurs sont redirigés d'une page HTTP ou lorsqu'ils cliquent sur un lien (comme un bouton de connexion) qui les redirigent vers un site HTTPS. Cependant, il est possible de lancer une attaque intermédiaire durant cette transition depuis une connexion non sécurisée vers une connexion sécurisée, soit de manière passive ou en piégeant la victime pour l'inciter à cliquer sur un lien HTTP menant à un site légitime (via un courriel d'hameçonnage par exemple).

La défense la plus solide contre ce type d'attaques est d'établir un HTTP Strict Transport Security (HSTS) pour votre site internet. Cette spécification définit un moyen pour les sites de se déclarer accessibles uniquement via une connexion sécurisée et/ou permet aux utilisateurs d'interagir avec ces sites uniquement à travers des connexions sécurisées.