Sécurisation d'accès à un CRM pour appareils Nomade
Comment bien choisir ses certificats ssl
1. Alice and Bob est membre du Clusif
Comment bien choisir ses
certificats SSL
Accroitre la confiance des Internautes en vos sites webs
26/06/2014 www.aliceandbob.fr 1
2. Alice and Bob est membre du Clusif
Sommaire
1. Pourquoi un certificat SSL ?
(page 3)
2. Fonctionnement détaillé et mise en œuvre
(page 8)
3. Outils
(page 13)
4. Les différents types parmi lesquels choisir
(page 16)
5. Annexe – Le SSL techniquement
(page 37)
26/06/2014 www.aliceandbob.fr 2
3. Alice and Bob est membre du Clusif
1. Pourquoi un certificat SSL ?
retour au sommaire
26/06/2014 www.aliceandbob.fr 3
4. Alice and Bob est membre du Clusif
Un certificat SSL pour :
• chiffrer les échanges entre un site web et le
navigateur Internet de l’Internaute
• éviter que les informations circulent en clair
• authentifier le propriétaire du site web
26/06/2014 www.aliceandbob.fr 4
5. Alice and Bob est membre du Clusif
SSL pour l’Internaute
https et non plus http Un cadenas dans la navigateur
Informations sur le propriétaire du site
web quand on clique sur le cadenas
Si le certificat est de type Extended
Validation la barre d’adresse devient verte
26/06/2014 www.aliceandbob.fr 5
6. Alice and Bob est membre du Clusif
A quoi sert le SSL?
• Rassurer les utilisateurs et clients de sites web et
messageries électroniques
• Protéger contre les utilisations frauduleuses de sites
web et messageries électroniques
6
• Crypter les échanges d’informations entre les serveurs
web et les navigateurs Internet des utilisateurs et clients
• Faire reconnaître une organisation comme organisation
de confiance sur le web
• Sécuriser les messageries électroniques
26/06/2014 www.aliceandbob.fr
7. Alice and Bob est membre du Clusif
7
Types de risques adressés par le SSL
• Login / mot de passe
• Formulaires
• E-commerce
• Payement en ligne
• Messagerie Electronique (exemple OWA)
• Extranets
• Intranets
• Etc…
Sans le SSL les informations circulent en clair sur l’Internet
Le SSL accroît la confiance des Internautes et les taux de
conversions
26/06/2014 www.aliceandbob.fr
8. Alice and Bob est membre du Clusif
2. Fonctionnement détaillé
et mise en œuvre
retour au sommaire
26/06/2014 www.aliceandbob.fr 8
9. Alice and Bob est membre du Clusif
Fonctionnement détaillé
• Les certificats SSL peuvent être utilisés pour des serveurs web, mais
également pour chiffrer des VPN ou des messageries électroniques.
• Pour obtenir un certificat SSL, vous devez tout d’abord créer la clé privée
et la clé publique sur le serveur. Pour ceci vous pouvez utiliser des
commandes du type OpenSSL ou l’interface graphique du serveur en
fonction des serveurs.
• Vous installez alors la clé privée sur le serveur et envoyez la clé publique
via la CSR à l’Autorité de Certification (AC) que vous avez choisie. Ne
jamais laisser quoiqu'onques avoir même potentiellement accès à cette
clé.
• Cette Autorité de Certification effectuera les vérifications d’usage, qui
peuvent inclure un KBis, une vérification des noms dans le whois un appel
via le standard trouvé via les pages jaunes à la personne qui se trouve sur
le KBis, etc. en fonction du type de certificat.
• Les vérifications peuvent prendre plusieurs jours aussi il convient de s’y
prendre à l’avance. Vérifiez que votre whois est à jour.
• L’AC vous délivre le certificat correspondant à votre CSR et donc votre clé
privée que vous installez sur votre serveur.
26/06/2014 www.aliceandbob.fr 9
10. Alice and Bob est membre du Clusif
Schéma de fonctionnement
Tiers de Confiance
(DigiCert)
Autorité Compétentes
1) Jean demande un certificat SSL à
DigiCert pour company
2) Il envoie sa CSR et les documents requis
Site Web
3) DigiCert effectue
les vérifications et
validations requises
4) DigiCert envoie le certificat SSL à Jean
5) Jean installe le certificat SSL sur le serveur web
6) Marie accède au site web
Serveur Web
8) Le protocole est https
26/06/2014 www.aliceandbob.fr 10
11. Alice and Bob est membre du Clusif
L ’Autorité de Certification
• délivre les certificats
• signe un accord avec les éditeurs de navigateurs
Internet, qui lui font confiance
• suit des procédures très strictes
• fait partie du CABForum www.cabforum.org
• est auditée pour vérifier qu’elle suit bien les
procédures à la lettre
26/06/2014 www.aliceandbob.fr 11
12. Alice and Bob est membre du Clusif
Certificat électronique
Nom
Autorité ayant délivré le certificat
Dates de validité
La « carte électronique du site web »
Affiché quand on clique sur le cadenas
26/06/2014 www.aliceandbob.fr 12
13. Alice and Bob est membre du Clusif
3. Outils
retour au sommaire
26/06/2014 www.aliceandbob.fr 13
14. Alice and Bob est membre du Clusif
SSL Checker
• Vous pouvez vérifier la qualité de l’installation
de votre certificat SSL via :
http://www.digicert.com/help/
26/06/2014 www.aliceandbob.fr 14
15. Alice and Bob est membre du Clusif
Certificate Inspector
• Découvrez et analysez chaque certificat dans
votre entreprise:
https://www.digicert.com/cert-inspector.htm
26/06/2014 www.aliceandbob.fr 15
16. Alice and Bob est membre du Clusif
Vérification de l’installation
• Nous vous recommandons aussi de bien
vérifier l’installation de votre certificat SSL via
par exemple :
https://www.ssllabs.com/ssltest/
• Nous pouvons vous accompagner pour
optimiser cette installation.
26/06/2014 www.aliceandbob.fr 16
17. Alice and Bob est membre du Clusif
4. Les différents types parmi
lesquels choisir
retour au sommaire
26/06/2014 www.aliceandbob.fr 17
18. Alice and Bob est membre du Clusif
Types de certificats
• Les certificats Domain Validated (DV) pour lesquels l’AC vérifie
que le nom de domaine appartient bien à son propriétaire.
C’est le plus bas niveau de sécurité. Il peut être utilisé pour un
Intranet par exemple. Il est délivré très rapidement.
• Les certificats Organisation Validated (OV) pour lesquels l’AC
vérifie en plus l’existence de l’organisation à qui appartient le
nom de domaine. C’est le plus utilisé aujourd’hui. Il peut être
utilisé pour un site web non e-commerce.
• Les certificats Extended Validation (EV) pour lesquels l’AC
vérifie en plus l’existence physique, légale et opérationnelle de
l’organisation. C’est le plus haut niveau de sécurité. Il est de
plus en plus utilisé. Il possède l’avantage d’afficher une barre
verte dans le navigateur afin de rassurer les clients. Les sites e-
commerce utilisent aujourd’hui ces certificats.
26/06/2014 www.aliceandbob.fr 18
19. Alice and Bob est membre du Clusif
Les SAN
• Vous pouvez définir des Subject Alternative Names pour
votre certificat.
• Par exemple pour le certificat de
http://www.digicert.comvous pouvez choisir comme SAN :
– www.DigiCert.fr,
– www.monDigiCert.com,
– shop.DigiCert.com, etc.
• Le même certificat peut alors être installé pour sécuriser
plusieurs sites web avec des noms de domaines différents
26/06/2014 www.aliceandbob.fr 19
20. Alice and Bob est membre du Clusif
Les certificats wildcard
• Vous pouvez choisir de créer un certificat pour tous les noms
de domaines du type *.DigiCert.com par exemple.
• Ce certificat pourra alors être utilisé pour sécuriser les noms
de domaine du type:
– shop.DigiCert.com
– http://www.digicert.com/
– extranet.DigiCert.com
– etc.
• Attention : ne marche pas pour http://DigiCert.com ou
moncompte.shop.DigiCert.com
• Note: N’est pas disponible pour les certificats Extended
Validation
26/06/2014 www.aliceandbob.fr 20
21. Alice and Bob est membre du Clusif
Différents types de certificats
SSL Plus™ Extended Validation
Unified
Communications
EV Multi-Domaines Wildcard Plus™
Un seul nom de domaine Avec la barre verte Sécuriser plusieurs domaines
Plusieurs domaines avec la barre
verte (Extended Validation)
Sécurisez la totalité de votre
domaine
Affichage de la barre verte √ √
Sécurise plusieurs domains (jusqu’à 25) √ √
Sécurise un nombre illimité de sous-domaines √
Certificat pour www.example.com valuable aussi
pour example.com √ √ √
Chiffrement 2048-bit, 128-bit, et 256-bit √ √ √ √ √
Compatible SSL v3/TLS √ √ √ √ √
Compatible avec tous les navigateur, smartphone
et tablettes √ √ √ √ √
Sceau “secure site” gratuit √ √ √ √ √
Nombre illimité de licences serveur gratuites √ √ √ √ √
Nombre illimité de réémission pendant toute la
durée de vie du certificat - gratuit √ √ √ √ √
Nombre illimité de copies du certificate – gratuit. √ √ √ √
Essai gratuit sans frais pendant 30 jours. Satisfait
ou remboursé. √ √ √ √ √
Authentification forte de la propriété du nom de
domaine et identité de l’organisation. √ √ √ √ √
Support en 3 tiers via chat en live, email, et lignes
directes en 24/7 √ √ √ √ √
$1,000,000 de garantie √ √ √ √ √
Le Produit
Faites des économies
Nous vous proposons
26/06/2014 www.aliceandbob.fr 21
22. Alice and Bob est membre du Clusif
SSL Plus
• Un seul nom de domaine
• Type: Organization Validated
• Pas de SAN possible
• A partir de 103€ / an HT
Parfait pour les site web standards
26/06/2014 www.aliceandbob.fr 22
23. Alice and Bob est membre du Clusif
Extended Validation
• Un seul nom de domaine
• Type: Extended Validated
• Affiche la barre verte
• Pas de SAN possible
• A partir de 173€/an HT
Parfait pour les sites requérant un fort niveau de
confiance comme les sites e-commerces
26/06/2014 www.aliceandbob.fr 23
24. Alice and Bob est membre du Clusif
Unified Communication
• Plusieurs noms de domaine (4 inclus)
• Plusieurs SAN possibles
• Type: Organization Validated
• A partir de 177€ / an HT
Parfait pour les messageries électroniques
26/06/2014 www.aliceandbob.fr 24
25. Alice and Bob est membre du Clusif
Extended Validation multi-domaines
• Plusieurs noms de domaine (3 inclus)
• Plusieurs SAN possibles
• Type: Extended Validation
• A partir de 288€ / an HT
Parfait pour les sites requérant un fort niveau de
confiance comme les sites e-commerces
26/06/2014 www.aliceandbob.fr 25
26. Alice and Bob est membre du Clusif
Wildcard
• Un seul nom de domaine
• Une infinité de nom de sous-domaines
• Pas de SAN possibles
• Type: Organization Validated
• A partir de 352€ / an HT
Parfait pour les sites pour lesquels vous ne savez
pas à l’avance quels seront les noms de sous-
domaines
26/06/2014 www.aliceandbob.fr 26
27. Alice and Bob est membre du Clusif
Les certificats Extended Validation
• Sur les sites qui ont besoin de rassurer les
Internautes
• Sur un site e-commerce ils permettent d’
accroître les taux de conversion de quelques %
• Ils sont un peu plus difficiles à obtenir
(vérifications plus poussées de la part de
l’Autorité de Certification) – cela peut
typiquement prendre 72h.
26/06/2014 www.aliceandbob.fr 27
28. Alice and Bob est membre du Clusif
Quel site choisiriez-vous pour vous
connecter ?
26/06/2014 www.aliceandbob.fr 28
29. Alice and Bob est membre du Clusif
29
Rassurer vos clients avec
Extended Validation
• 100% des participants ont remarqué si le site présente
ou pas la barre verte
• 93% des participants préfèrent acheter sur des sites
qui présentent la barre verte
• 97% sont plus enclins à partager les informations
relatives à leur carte de crédit sur les sites avec la barre
verte
• 77% des participants reportent qu’ils hésiteraient à
acheter en en ligne sur des sites qui avaient avant la
barre verte et ne l’ont plus
In January 2007, Tec-Ed5 researched usage and attitudes of 384 online shoppers and measured their responses to Web sites with and
without green bars
26/06/2014 www.aliceandbob.fr
30. Alice and Bob est membre du Clusif
Progression de l’utilisation de l’EV
• En 2011, l'étude de l'Online Trust Alliance indiquait une
augmentation de 7,1 % de l'utilisation des certificats SSL
Extended Validation sur les sites e-commerce et des
établissements bancaires par rapport à 2010.
• Aujourd'hui 45 % des sites Web de ces secteurs sont
sécurisés.
• Avec plus de 35 000 certificats émis globalement, ce
chiffre était en progression de 68 % par rapport à l'année
précédente.
• Cette évolution significative s'explique par une prise de
conscience accrue des entreprises quant à l'importance
d’utiliser un certificat EV SSL en standard sur les pages Web
accessibles au public..
26/06/2014 www.aliceandbob.fr 30
31. Alice and Bob est membre du Clusif
Les Tailles de Clés
• Les tailles de clé des certificats SSL étaient autrefois
de 1024 bits.
• Aujourd’hui il est possible d’attaquer avec succès
(en y mettant les moyens certes), des clés de 1024
bits.
• Les clés des certificats SSL sont donc aujourd’hui
de 2048 bits. Des tailles de clés au-delà sont
actuellement inutiles.
• Les algorithmes de chiffrement peuvent être SHA1
(128bits) ou SHA2 (256bits). Il est vivement
recommandé d’utiliser SHA2 car SHA1 ne sera
bientôt plus supporté par certains serveurs.
26/06/2014 www.aliceandbob.fr 31
32. Alice and Bob est membre du Clusif
Le sceau dynamique
Le sceau est disposé en bas
sur votre page web
Quand on clique dessus les
informations relatives à votre
site web sont affichées
26/06/2014 www.aliceandbob.fr 32
33. Alice and Bob est membre du Clusif
Exemple de clients DigiCert
26/06/2014 www.aliceandbob.fr 33
34. Alice and Bob est membre du Clusif
Facebook
26/06/2014 www.aliceandbob.fr 34
35. Alice and Bob est membre du Clusif
Conclusion
• Les certificats SSL permettent de protéger les
sites web et de rassurer les Internautes
• Les sites web les utilisent de plus en plus
• Il en existe de tous types parmi lesquels
choisir
Accroître la confiance des Internautes en vos sites webs
26/06/2014 www.aliceandbob.fr 35
36. Alice and Bob est membre du Clusif
Merci !
Voir toutes nos présentations et documents sur Slideshare:
• L’avènement de la signature électronique : en 2014
• La cryptographie et la PKI enfin expliquées simplement
• Comment bien choisir ses certificats SSL
• L’authentification forte ou vers la fin du mot de passe
• Pourquoi migrer ses certificats de Symantec vers une autre Autorité de Certification
• Accroitre la confiance dans les personnes et les machines qui se connectent à votre
réseau d’entreprise
• Les solutions SaaS permettent l’avènement des usages des certificats électroniques
• La vérité sur HeartBleed
• La NSA et les Autorités de Certification : Mythe ou réalité ?
contact@aliceandbob.fr
26/06/2014 www.AliceAndBob.fr 36
37. Alice and Bob est membre du Clusif
5. Annexe
retour au sommaire
26/06/2014 www.aliceandbob.fr 37
38. Alice and Bob est membre du Clusif
Le SSL techniquement
Vérifier le certificat serveur et la
signature
Envoi du certificat et de l’aléa C
signé et d’un aléa S
Négociation de l’algorithme de
chiffrement
Négociation de l’algorithme de
chiffrement
Génération d’une clé de session
Chiffrement de la clé de session
avec la clé publique du serveur
Déchiffrement de la clé de
session avec la clé privée
Envoi de la clé de session chiffrée
Client (Navigateur) Serveur (Web)
Envoi d’un aléa C
Envoi du certificat client et de l’aléa
S signé
Vérification du certificat client et de
la signature
26/06/2014 www.aliceandbob.fr 38