Sécurité des sites Web et certificats SSL : questions et réponses avec Matt Larose

Une séance de questions et réponses avec Matt Larose, l’expert en certificats SSL de l’ACEI.

Comme nous le savons tous (ou devrions le savoir), un site Web pour une entreprise, un projet ou une marque personnelle est essentiel. Toutefois, comme pour toute propriété que vous possédez, vous ne pouvez pas laisser la porte ouverte avant de partir. Avec les prochains changements que Google Chrome apportera à l’identification des sites Web sécurisés, c’est le moment d’en apprendre plus au sujet des certificats SSL. Un certificat Secure Sockets Layer (SSL) assure l’authentification de l’identité d’un site Web et permet des connexions sécurisées d’un serveur Web à un navigateur grâce au chiffrement d’information, comme les mots de passe. Si vous n’en avez pas encore un pour votre site Web, veuillez consulter notre récent article sur les raisons pour lesquelles vous devez avoir un certificat SSL et la façon d’en obtenir un.

J’ai discuté avec Matt Larose, gestionnaire principal de systèmes de l’ACEI et expert maison pour les certificats SSL, afin d’obtenir des précisions sur leur importance et des conseils éclairés sur la façon d’en obtenir un pour votre site Web.

Est-ce qu’un certificat SSL vaut le coût?

Le prix peut sembler élevé, mais c’est beaucoup plus facile de commencer avec un site Web sécurisé plutôt que de le modifier par la suite. De plus, des options gratuites sont offertes. Dans le doute, il s’agit d’une bonne option.

Y a-t-il des désavantages à obtenir un certificat SSL gratuit ou est-il mieux de payer?

C’est une question de confiance et cela dépend du profil de vos utilisateurs. Si vous gérez un site Web personnel ou un site Web de petite ou moyenne entreprise qui ne comporte pas de commerce électronique, vous pouvez faire confiance à un certificat gratuit.

Une banque ou un important site de commerce électronique devrait utiliser un certificat Extended Validation (qui n’est pas offert gratuitement). De nombreux sites Web importants et des banques utilisent encore des certificats VO, mais devraient utiliser des certificats EV, qui offrent une meilleure confiance en l’utilisateur en indiquant que la connexion est celle qui est prévue.

Même si vous ne recueillez pas de renseignements personnels dans votre site Web, avez-vous tout de même besoin d’un certificat SSL?

D’abord, il est toujours possible que votre site Web recueille des renseignements personnels, que ce soit une adresse de courriel ou des comptes de médias sociaux. Ensuite, un certificat SSL concerne autant la confiance que la sécurité. Si un utilisateur voit dans son navigateur que votre site n’est pas « sécurisé », il y aura des incidences sur les consultations de pages et le trafic. Le chiffrement SSL devient rapidement la norme anticipée, et les modifications apportées par Google dans le navigateur Chrome illustrent cette situation. Le passage à un site Web sécurisé vous offre une position favorable pour l’avenir, lorsque le chiffrement pourrait être exigé par les navigateurs Web ou d’autres modifications technologiques.

S’agit-il d’un processus unique, ou est-ce que les certificats SSL expirent?

Les certificats SSL expirent après une période configurée et devraient être suivis et renouvelés au besoin. La période de renouvellement peut être de quelques jours ou jusqu’à deux ans. Cette limite de deux ans est une nouvelle règle; les certificats émis avant le 1er mars 2018 pourraient avoir des périodes de validité plus longues.

Certaines intégrations plus avancées comme LetsEncrypt demandent un renouvellement tous les 30 jours, mais comprennent la possibilité de renouveler ces certificats automatiquement.

Considérez-vous le changement à venir pour Chrome comme une « bonne chose » pour l’Internet?

Absolument. Pourquoi? Parce que ce changement assure que les sites Web que vous visitez sont dignes de confiance. La sécurité est meilleure pour tous les utilisateurs d’Internet.