Jan
28
2011

Installation d’un certificat SSL pour avoir l’HTTPS

Vous possédez un site e-Commerce ou simplement vous avez  besoin d’une sécurité supplémentaire.

Théorie :

Si vous ne le savez pas encore :  si vous avez sur votre site, une partie d’authentification par nom d’utilisateur et mot de passe et que votre site n’est pas pourvus d’un certificat SSL,

Les login/MDP passent en claire sur le réseau ! Qu’est ce que ça signifie  exactement ? Il existe des petits programmes pour analyser le trafic passant sur votre réseau (câblé ou non) qui permettent de lire les informations non chiffrées dans les paquets.

Une fois votre site muni du certificat, celui-ci affichera un petit cadenas dans le browser. (Les clients d’e-commerce  rassurés de voir le cadenas, achèteront plus volontiers, ce qui sera bon pour votre CA )

Exemple concret :

-Sur un site de vente qui accepte les transferts d’argent par carte de crédit, tous les numéros de la carte sont visibles, il suffit juste d’écouter ! Quelqu’un pourrait ainsi les récupérer pour retirer des sommes sur la carte d’une tierce personne .

-Pour une entreprise se servant d’un portail d’intranet ou tout autre site, il est vivement conseillé de crypter la connections http pour l’envoi de mots de passe (afin que vos concurrents ou collaborateurs ne soient pas tentés de  copier un listing de tous les accès clients pour les revendre ou exploiter !)

-…

Pratique :

Il existe deux sortes de certificat SSL : les auto-signés (gratuits) et les approuvés par des organismes faisant autorité (payants)

La différence est que pour un SSL auto-signé, un message s’affichera au client disant que le site n’est pas de confiance et lui demandera une confirmation ! Cependant les informations seront cryptées.

Pour le second, vous devez prouver vos identifiants (Nom, Prénom, Entreprise, Adresse, Numéro de téléphone,) pour montrer « patte blanche », Les organises ou faire les demandes sont COMODO ou VERISIGN ou encore votre hébergeur (qui fera la demande et l’installera pour vous), Il y a aussi une garantie en cas de vol !

L’inconvénient est qu’il vous faudra être hébergé sur une IP dédiée ! Pourquoi me direz-vous ? Ceci permet de vérifier si le NDD redirige bien sur la bonne IP et sur le bon contenu.

Une fois votre demande effectuée il faut compter entre 48-72heures avant que celle ci soit analysée !

Si vous êtes accepté (99.99999% des cas) vous recevrez deux certificats !

Un des deux est public et l’autre privé, mais il vous  faudra les installer tout les deux sur le serveur.

Le public sera partagé avec le visiteur, le privé doit rester privé (ne jamais le publier où que ce soit!) et restera sur le serveur.

Dans le Cpanel l’installation est assez simple et demande juste une upload des deux fichiers crt !

Après je vous conseille de faire passer les pages d’authentification par l’https et/ou les rendre obligatoires avec une règles htacces.

3 commentaires + Ajouter un commentaire

  • Merci pour ces infos! précis et conçis! super!

  • je veux cette site web pare ce que je veux parle avec mes amis

  • Merci mais le titre est faux c’est plutot comment choissir son certificat la

Laisser un commentaire

*