RUBRIQUES DE SÉCURITÉ

Les dangers des certificats SSL/TLS validés par le domaine

Les certificats SSL  font plus que chiffrer des données, ils authentifient également les sites web. Il s'agit d'une fonction importante et fondamentale car elle établit la confiance. Les visiteurs des sites web voient le cadenas SSL ou HTTPS et pensent que le site est authentique.

Qu'est-ce qu'une validation de domaine ?

Dans la lutte contre les faux sites, le phishing et la fraude, les certificats SSL dignes de confiance jouent un rôle essentiel. C'est pourquoi les certificats validés par le domaine peuvent être dangereux. Les autorités de certification (AC) délivrent un certificat validé par le domaine à quiconque est répertorié comme contact administratif d'un domaine dans l'enregistrement WHOIS d'un nom de domaine. Elles envoient juste un e-mail à l'adresse électronique du contact, et le tour est joué.

 

C'est le niveau d'authentification le plus bas utilisé pour valider des certificats SSL. À des niveaux plus élevés, les certificats sont validés sur le plan organisationnel et par validation étendue (EV), ce qui requiert plus de contrôles détaillés.

 

Qu'est-ce qu'une validation de domaine ?

Authentification par certificats SSL/TLS

Pourquoi peuvent-ils être dangereux ?

Le problème avec la validation de domaine est que les cybercriminels peuvent aisément obtenir des certificats SSL pour des sites de phishing en orthographiant autrement un nom de domaine légitime. Par exemple, s'ils veulent cibler le site BankOne.com, ils peuvent inscrire bank1.com et, à partir d'un compte de messagerie gratuit, obtenir un certificat SSL validé par le domaine pour ce site.

Lorsqu'un visiteur se fait piéger en visitant le site de phishing, il voit le HTTPS et le cadenas SSL qui le rassurent, et ne remarque pas nécessairement l'adresse mal orthographiée.

Comment détecter un certificat validé par le domaine ?

Il est vraiment très difficile de dire si un certificat est validé par le domaine. Par conséquent, les utilisateurs peuvent parfaitement se fier à votre site comme au site de phishing cloné et, quand ils s'aperçoivent que leurs coordonnées bancaires ont été dérobées, ils peuvent vous en blâmer.

Les pratiques varient d'une AC à l'autre quant à la façon de vérifier les propriétaires de site web, mais il est certain que les certificats Extended Validation ont les plus hauts niveaux d'authentification, ce que vos visiteurs peuvent constater si votre barre d'adresse est de couleur verte (voir les exemples des navigateurs les plus populaires ci-dessous).

 

L'alternative fiable

Avec tous ces faux sites utilisant des certificats SSL aisément obtenus, les propriétaires de site web ne peuvent pas se permettre de prendre un risque avec des certificats validés par le domaine. En particulier si le site demande des informations très sensibles ou personnelles, les utilisateurs seront amenés à rechercher une assurance supplémentaire.

Le choix d'un certificat délivré par une AC réputée comme Symantec, et d'une méthode de validation de haut niveau comme Extended Validation, constitue une alternative autrement plus fiable. Et il est certain que, pour votre entreprise, il s'agit d'un meilleur choix que l'autre.

Pour en savoir plus sur SSL, de son fonctionnement à sa configuration sur vos serveurs, téléchargez maintenant notre ressource interactive « Définition du SSL ».

Top 3 des mythes sur la sécurité des sites web révélés

Découvrez les faits


Avec la quantité de mythes et de fausses rumeurs entourant la sécurité d'un site web, comment séparer le vrai du faux au moment de choisir la bonne protection pour mettre votre entreprise, votre site web et vos clients à l'abri ?

LIRE LES 3 MYTHES RÉVÉLÉS
Symantec Private Certification Authority Service

Symantec Private Certification Authority Service (AC privée)

L'AC (autorité de certification) privée Symantec est une solution rentable qui améliore la sécurité et la gestion des certificats intranet privés tout en adhérant aux normes de conformité de l'entreprise et du secteur. Évitez les expirations : émettez, gérez et contrôlez instantanément vos certificats intranet privés en exploitant la visibilité et les alertes offertes par la console Symantec Managed PKI for SSL.

Lire la suite

Qu'est-ce qu'un certificat SSL avec EV ?

Qu'est-ce qu'un certificat SSL avec EV ?

Les certificats SSL/TLS Symantec avec Extended Validation (EV) fournissent des solutions qui permettent aux entreprises et aux consommateurs de se livrer à des communications et du commerce en ligne en toute confiance.

Lire la suite

Certificats client et certificats serveur

Quelle est la différence entre certificat client et certificat serveur ?

Mentionnez les certificats client ou  PKI  et de nombreuses personnes imaginent des entreprises protégeant et exécutant activement les transactions en ligne de leurs clients. Pourtant, ces certificats sont présents dans nos vies quotidiennes, et de nombreuses manières : lorsque nous nous connectons à un VPN, lorsque nous insérons notre carte bancaire dans un distributeur, ou dans les cartes de transport public Oyster à Londres.

Lire la suite

CAS D'UTILISATION

Les solutions Symantec Website Security dans le monde réel

Rejoindre la communauté

Rejoignez des discussions de sécurité sur Symantec Connect

SYMANTEC CONNECT

Suivez Threat Intelligence sur Twitter @Threatintel

SYMANTEC ON TWITTER

Regardez des vidéos sur la chaîne YouTube Symantec Website Security

SYMANTEC ON YOUTUBE

Nous avons mis à jour notre politique de confidentialité qui peut être trouvée ici.