Proposer un service ou une application sécurisée avec HTTPS est primordial de nos jours pour authentifier le serveur auprès des navigateurs et pour assurer la confidentialité des communications. C’est le cas de nos services de Dématérialisation.

Mais encore faut-il que le serveur soit bien configuré.
Ces derniers années de nombreuses failles ont été découvertes (Heartbleed , Poodle…etc), démontrant que HTTPS ne suffisait pas et qu’il fallait opter pour les bonnes options pour faire face aux pirates.
La société Qualys propose un outil d’évaluation de la sécurité SSL des sites Web qui devient une référence :

SSL Server Test (Powered by Qualys SSL Labs)A comprehensive free SSL test for your public web servers.www.ssllabs.com

Certificat gratuit ou payant ?

Ce n’est pas le coût d’un certificat qui rend la liaison sécurisée et un certificat auto-généré n’est pas moins bon au niveau chiffrement qu’un certificat de EV (validation étendue) qui coûte plusieurs milliers d’euros. Mais au niveau de l’authentification du serveur et l’assurance de l’opérateur, les certificat EV apportent plus de garantie. Cela cache un marché énorme, similaire à celui des noms de domaine.
La différence réside dans le fait qu’un certificat auto-signé génère une alerte dans votre navigateur et cela peut effrayer les utilisateurs non avertis. Tandis qu’un certificat reconnu par une autorité de certification inhibe toute alerte car tous les navigateurs disposent d’une base d’autorités de certifications qui peuvent vendre des certificats reconnus partout.
Mais depuis quelques mois, certains navigateurs bloquent ou continuent d’alerter les internautes qui naviguent vers un certificat auto-signés, et ce malgré l’acceptation d’un premier message d’alerte. On cantonnera donc les certificats auto-signé aux démo et au développement.
Plus d’excuse, d’autant que le service Let’s Ecrypt, ouvert il y a quelques mois, propose gratuitement des certificats reconnus avec une durée de validité plutôt courte mais suffisante pour une version de démo ou de recette !

Quel type de certificat électronique ?

Il existe plusieurs types de certificats et dans différentes classes. Simplifions : il s’agit là de l’équivalent électronique d’une pièce d’identité (un permis de conduire, une carte d’identité ou un passeport n’ont pas le même niveau de garantie de validité).

Voici les différents types de certificats électroniques :
classe 1 : aucun contrôle de l’identité du détenteur du certificat lors de son émission
classe 2 : contrôle sur pièces (l’identité doit être prouvée par mail/fax par exemple),
classe 3 : la présentation physique du demandeur est requise (en face à face),
classe 3+ : identique à la classe 3 avec un support physique (clé USB, carte à puce).

La bonne configuration : trouver la juste mesure entre sécurité et accessibilité.
HTTPS n’est pas un simple bouton ON / OFF et il nécessite une configuration particulière dans votre serveur web (apache, nginx, lighttpd, etc). Avoir une bonne configuration HTTPS prend du temps, cela demande de faire des tests des différentes combinaisons d’algorithmes (suites de chiffrement et tailles de clé), puis de vérifier avec différents systèmes d’exploitations et navigateurs pour n’exclure personne.

Il est absolument nécessaire de désactiver SSLv2 et SSLv3 qui sont touchés par de nombreuses failles, au profit de TLS, mais également préciser les bonnes suites de chiffrement : avec plus de 100 combinaisons différentes, autant se faire aider par des outils comme ssl test cité plus haut ou en suivant les recommandations de l’ANSSI.

Pour aller plus loin : http://www.ssi.gouv.fr/uploads/IMG/pdf/NP_TLS_NoteTech.pdf