Certificats signés et auto-signés dans Web Security

Multimeter Review / buyers guide: Fluke 287 / 289 data logging multimeter (Avril 2025)

Multimeter Review / buyers guide: Fluke 287 / 289 data logging multimeter (Avril 2025)
Anonim

La sécurité est un facteur essentiel du succès de tout site Web. Cela est particulièrement vrai pour les sites qui doivent collecter auprès des visiteurs PIA ou "informations personnellement identifiables". Pensez à un site sur lequel vous devez entrer un numéro de sécurité sociale, ou plus généralement, un site de commerce électronique auquel vous devez ajouter des informations de carte de crédit pour finaliser votre achat. Sur de tels sites, la sécurité n’est pas seulement attendue de la part de ces visiteurs, elle est essentielle au succès.

Lorsque vous construisez un site de commerce électronique, l'une des premières choses à configurer est un certificat de sécurité qui sécurise les données de votre serveur. Lors de la configuration, vous pouvez créer un certificat auto-signé ou un certificat approuvé par une autorité de certification. Examinons maintenant les différences entre ces deux approches des certificats de sécurité de site Web.

Similarités entre certificats signés et auto-signés

Que vous fassiez signer votre certificat par une autorité de certification ou le signiez vous-même, il y a une chose qui est exactement la même sur les deux:

  • Les deux certificats généreront un site qui ne peut pas être lu par des tiers. Les données sont envoyées via une connexion HTTPS, ou SSL, et seront cryptées, que le certificat soit signé ou auto-signé.

En d'autres termes, les deux types de certificats chiffreront les données pour créer un site Web sécurisé. Du point de vue de la sécurité numérique, il s’agit de la première étape du processus.

Pourquoi payer une autorité de certification?

Une autorité de certification indique à vos clients que ces informations de serveur ont été vérifiées par une source fiable et non seulement par la société propriétaire du site Web. En gros, une société tierce a vérifié les informations de sécurité.

Verisign est une autorité de certification couramment utilisée. En fonction de l'autorité de certification utilisée, le domaine est vérifié et un certificat est émis. Verisign et d'autres autorités de certification de confiance vérifieront l'existence de l'entreprise en question et la propriété du domaine afin de fournir un peu plus de sécurité que le site en question est légitime.

Le problème avec l'utilisation d'un certificat auto-signé est que presque tous les navigateurs Web vérifient qu'une connexion https est signée par une autorité de certification reconnue. Si la connexion est auto-signée, cela sera signalé comme potentiellement risqué et des messages d'erreur apparaîtront incitant vos clients à ne pas faire confiance au site, même s'il est effectivement sécurisé.

Utilisation d'un certificat auto-signé

Comme ils offrent la même protection, vous pouvez utiliser un certificat auto-signé partout où vous utiliseriez un certificat signé, mais certains emplacements fonctionnent mieux que d'autres.

Les certificats auto-signés sont parfaits pour tester les serveurs. Si vous créez un site Web que vous devez tester via une connexion https, vous n'avez pas à payer pour un certificat signé pour ce site de développement (qui est probablement une ressource interne). Il vous suffit d'indiquer à vos testeurs que leur navigateur peut afficher des messages d'avertissement.

Vous pouvez également utiliser des certificats auto-signés pour les situations qui exigent la confidentialité, mais les gens ne sont peut-être pas aussi inquiets. Par exemple:

  • Formulaires de nom d'utilisateur et de mot de passe
  • Collecte d'informations personnelles mais non financières sur les EFVP
  • Sur des formulaires où les seuls utilisateurs sont des personnes qui vous connaissent et vous font confiance, comme un intranet d'entreprise

Ce qui en découle, c'est la confiance. Lorsque vous utilisez un certificat auto-signé, vous dites à vos clients "faites-moi confiance - je suis qui je dis que je suis". Lorsque vous utilisez un certificat signé par une autorité de certification, vous dites: "Faites-moi confiance - Verisign reconnaît que je suis qui je dis que je suis." Si votre site est ouvert au public et que vous essayez de faire affaire avec lui, ce dernier est un argument bien plus convaincant.

Si vous faites du commerce électronique, vous avez besoin d'un certificat signé

Il est possible que vos clients vous pardonnent un certificat auto-signé si ils ne l'utilisent que pour se connecter à votre site Web, mais si vous leur demandez de saisir leurs informations de carte de crédit ou Paypal, vous avez réellement besoin d'un certificat. La plupart des gens font confiance aux certificats signés et ne font pas affaire sur un serveur HTTPS sans un. Donc, si vous essayez de vendre quelque chose sur votre site Web, investissez dans ce certificat. Cela fait partie du coût des affaires et de la vente en ligne.

Recherchez les virus dans Windows 7 - Security Essentials Guide

Recherchez les virus dans Windows 7 - Security Essentials Guide

Guide décrivant les étapes nécessaires à l'analyse de Windows pour détecter les virus et les logiciels malveillants à l'aide de Microsoft Security Essentials.

Implémentation d'un site Web dans le processus de conception Web

Implémentation d'un site Web dans le processus de conception Web

Lors de la création d'un site Web, la plupart des concepteurs utilisent un processus consistant à choisir un site Web, à le construire et à le rendre opérationnel.

Les 15 certificats SSL les moins chers: valent-ils la peine?

Les 15 certificats SSL les moins chers: valent-ils la peine?

Certaines options de certificat SSL bon marché sont disponibles auprès d'autorités réputées. Consultez notre liste de 15 certificats SSL abordables (mars 2018).

Choix De L'Éditeur