Blog GlobalSign

04 août 2017

SSL Shaming : les clients se mobilisent contre les mauvaises pratiques

Vos clients en ont assez. Ils veulent pouvoir surfer tranquillement sur votre site, payer leurs achats rapidement et efficacement, rester à l’abri des regards indiscrets avec l’assurance que leurs données ne tomberont pas dans les mauvaises mains. Êtes-vous certain de leur offrir cette sécurité ?

Soyez vigilant : même si vous pensez leur offrir cette sécurité, vous risquez de tomber de haut en réalisant que vous êtes victime de « SSL Shaming ! », ces campagnes qui visent à dénigrer les entreprises et les sites non protégés par un certificat SSL.

À l’heure où les éditeurs de navigateurs mettent à jour leurs interfaces utilisateur, partout dans le monde des acheteurs découvrent subitement des messages d’erreur et d’alerte dans leur navigateur, indiquant que leurs connexions ne sont pas privées ou que leurs données ne sont pas en sécurité. À la vue de telles alertes, ils interrompent leur transaction, quittent à regret votre site, ce que vous pourriez trouver fâcheux. Vous venez en effet de perdre un client !

Les acheteurs sont tellement mécontents qu’ils éprouvent le besoin de faire part de leur frustration sur Twitter, le réseau social où l’on peut se plaindre lorsque l’on n’obtient pas ce que l’on veut.

Cette pratique, que j’ai baptisée « SSL Shaming », a le vent en poupe sur Twitter.

Quelle que soit la taille de votre entreprise, si votre site n’est pas en HTTPS ou si votre certificat SSL n’est pas correctement configuré, vos clients le sauront, avec en prévision pour vous un sérieux MANQUE à GAGNER, croyez-moi.

Remarque : avec la dévalorisation du SSL, nous savons qu’il vaudrait mieux parler de TLS. Mais, le SSL étant plus connu, nous emploierons ici ce terme par commodité (plus d’infos sur le sujet ici).

Toujours pas de HTTPS ?... Honte à vous !

Vous n’avez pas encore basculé votre site Web en HTTPS ? Honte à vous !

Si votre entreprise n’utilise toujours pas le HTTPS, il est grand temps de vous y mettre. Google a récemment annoncé lors de sa Conférence Google I/O avoir prévu de sortir une nouvelle interface dans Chrome 62 avec marquage des sites qui n’utiliseraient pas le HTTPS ; ceux-ci seraient estampillés « non sécurisés ».

google io conference https

not secure UI google chrome

Source: https://www.youtube.com/watch?v=GoXgl9r0Kjk&feature=youtu.be

Imaginez la colère des clients sur votre site à l’affichage d’une alerte de ce type. En fait, mieux vaut ne rien imaginer... Il suffit de lire quelques-uns des messages dénigrants publiés par certains clients sur Twitter à l’encontre d’entreprises dont le site n’est pas chiffré.

Avec la prochaine mise à jour Google de l’IU de Chrome, ces campagnes de dénonciation n’iront qu’en s’amplifiant.

ssl shaming

Comme ce message, les tweets de « SSL Shaming » ne font que demander aux entreprises de sécuriser leurs sites Web. Si vous faites partie de ces rares entreprises indisciplinées qui tentent de s’en tirer sans SSL, vous serez tôt ou tard pointées du doigt.

Autre pratique contestable : en plus de faire l’impasse sur le SSL, certaines entreprises demandent à leurs clients de « continuer, sans tenir compte des alertes ». Nous avons eu écho de plusieurs exemples d’entreprises qui invitent leurs clients à procéder ainsi lorsqu’ils tombent sur un message d’erreur de certificat SSL. Vraiment ? ... Honte à vous !

ssl shaming

Certificat mal configuré ?... Honte à vous !

Il ne suffit pas d’installer un certificat SSL, encore faut-il que votre serveur soit correctement configuré.  Sans quoi, vos clients pourraient continuer à voir apparaître des messages d’erreurs sur votre site.

Si c’est moins grave que l’absence de SSL, cela donne une impression — sans doute erronée — de manque de surveillance de votre site ou de manque de sérieux de votre équipe informatique....

ssl shaming

Les certificats intermédiaires font partie de votre chaîne de confiance et doivent eux aussi être correctement installés sur vos serveurs. Plus d’infos ici pour les clients GlobalSign.

ssl shaming

Les chiffrements SSL/TLS dans votre configuration serveur doivent être gérés conformément aux bonnes pratiques. Aujourd’hui, les protocoles SSL sont tous morts. Votre serveur ne devrait accepter que les protocoles TLS 1.1, 1.2 et 1.3. Pour savoir si votre serveur est correctement configuré, utilisez l’outil SSL Checker de GlobalSign.

Certificats expirés ?... Honte à vous !

Vous avez oublié de renouveler votre certificat ? C’est mal. Vraiment mal. Vous n’aimeriez pas que vos clients pensent que vous manquez de réactivité, n’est-ce pas ? Configurez des rappels pour tous les collaborateurs concernés à 90, 30, 10, 7, 3 et 1 jour(s) avant la date d’expiration prévue de votre certificat. On n’a jamais trop de rappels !

Chez GlobalSign, dans le cadre de notre offre de services nous envoyons des rappels à tous nos clients. Si vous nous avez communiqué une adresse e-mail relevée par un collaborateur compétent et que vous prenez les mesures pour renouveler vos certificats, vous n’avez AUCUNE raison de recevoir ce type d’alertes.

Autre possibilité : si vous gérez plusieurs certificats, vous pouvez choisir d’utiliser une plateforme de gestion de certificats comme notre plateforme Managed PKI. Tous les certificats qui arrivent à expiration sont visibles en un coup d’œil, pour vous permettre de renouveler vos certificats en un seul clic.

Comme avec une mauvaise configuration, un certificat expiré donne l’image que votre équipe informatique ne fait pas correctement son travail ou que votre entreprise ne maîtrise rien.

ssl expired

Pas de certificat à validation étendue ?... Honte à vous !

Beaucoup d’entreprises ignorent encore qu’il existe trois formes de certificats SSL. Si tous les certificats SSL chiffrent les communications client-serveur quel que soit leur niveau de sécurité, ils diffèrent cependant sur la quantité d’informations d’identité qu’ils incluent et leur mode d’affichage dans les navigateurs.

  • Validation de domaine (DV, Domain Validation) — seule l’entité exerçant le contrôle du domaine fait l’objet d’une vérification. Un certificat DV est facile à se procurer pour un hacker qui peut ensuite l’utiliser sur un site de hameçonnage ; vous n’avez aucun moyen de savoir qui se trouve derrière le site Web.
  • Validation d’organisation (OV, Organisation Validation) — l’identité de l’organisation est vérifiée et figure dans le certificat, mais aucune information supplémentaire ne s’affiche dans l’interface utilisateur du navigateur
  • Validation étendue (EV, Extended Validation) — l’organisation fait l’objet d’une vérification rigoureuse et les navigateurs affichent le nom de l’organisation dans l’URL.

Pour rassurer vos clients, optez pour la validation étendue. En vérifiant votre nom avant de l’afficher de manière claire et lisible, l’EV contribue à fiabiliser l’identité que vous revendiquez. Si votre site recueille des informations de cartes de paiement et des données à caractère personnel, sachez qu’avec un certificat DV, vos clients n’auront aucune garantie que les informations qu’ils vous transmettent vous seront bel et bien transmises.

Pour en savoir plus, vous pouvez lire ce billet sur notre blog consacré à l’identité dans le SSL.

Il semblerait que cette entreprise l’ait appris à ses dépens...

ev ssl certificate shaming

Vos clients exigent que le SSL soit correctement configuré

Donnez-leur satisfaction ! Pour une entreprise, la ressource la plus précieuse est sa clientèle, n’est-ce pas ? Si vous le pensez vraiment, faites en sorte que votre site leur offre la meilleure expérience client. Affûtez vos pratiques en matière de SSL, investissez à bon escient et revenez dans le droit chemin en abandonnant les pratiques SSL douteuses. Adoptez les bonnes pratiques d’une navigation sécurisée, offrez à vos clients un environnement transactionnel fiable, et soyez-en fier !

Partager ce blog