Le SSL, indispensable ?

[syl]

Bonjour.

quelques questions basiques à propos du ssl, dont la réponse pourra sans doute profiter à plusieurs.



Le SSL est il indispensable ?

Que permet-il exactement ?

Est-il risqué d'avoir une boutique prestashop en ligne sans SSL ? (car je remarque que certaines n'en ont pas et sont en production)

Quelles pourraient être les mauvaises conséquences des boutiques qui n'utilisent pas le SSL ?

[bertrand.r]

Bonjour,

Le SSL n'est pas indispensable en soit dans le sens où, au moment du paiement, la transaction sera sécurisée en SSL par le prestataire retenu (que ce soit paypal ou une banque).

Le SSL permet de "chiffrer" le contenu qui transite sur le réseau Internet. Sans SSL, un pirate peut procéder à une attaque que l'on appel "homme du milieu" ou "man of the middle" en anglais. En gros il se place entre ton client et ton site et intercepte tous les flux échangés entre ton client et ton site.

Avec le SSL, le contenu n'est pas déchiffrable sans la clef adéquate.

Moi personnellement je conseil fortement d'utiliser un certificat SSL car c'est un gage de sérieux et cela rassure le client. Chez certains prestataires tu en trouve à moins de 50 € HT / an (gandi pour ne pas le citer).

Bertrand

[syl]

voilà qui résume bien

thx

[nickola]

+1 avec Bertrand.r.
Le SSL apporte un niveau supplémentaire de protection.
Il est généralement pertinent d'y recourir lors de la phase de login et celle de paiement. Je ne connais pas assez la phase de paiement, mais comme le souligne Bertrand.r cela est géré par le partenaire lié au paiement. Il convient cependant de vérifier qu'on passe en SSL à partir du moment ou on saisie des infos personnelles relatives au paiement, fussent-elles transférer au partenaire par la suite (via https).

En tout cas il serait intéressant d'en disposer lors de la phase l'authentification.

concernant les fournisseurs de Certificats, les éditeurs ne manquent pas (Globalsign, GoDaddy, GeoTrust, Comodo, Gandi, OVH, RapidSSL, etc...)
Pour ceux qui souhaitent éviter les certificats quelques peu onéreux, il est préférable de se diriger vers Gandi, OVH, RapidSSL et Comodo.

Attention aux types de certificats générés. Si ce dernier est dit chaîné, cela peut "compliquer" quelque peu l'installation de ce dernier.

Cordialement.

[syl]

Un truc chiant aussi, c'est le logo sur la page de paiement paypal, si il est stoqué sur un endroit avec ssl ok, sinon il y a un message pas cool qui peut faire peur au consommateur.


pour ma part, j'ai acheté le certificat chez trustico, me semble avoir des prix corrects.

[bertrand.r]

Attention aussi à un petit détail : les organismes comme OVH, Gandi ou certains autres cités ne sont pas des organismes certifiés mais de simples revendeurs. Il faut donc bien faire attention à comment il justifie le tarif si bas (on divise par 10 le tarif d'un certificat Verisign chez ces revendeurs...) et à qui il achète le certificat. Ce serait dommage de se retrouver avec un certificat d'un organisme pas spécialement reconnu dans le monde et qui générerait une alerte de sécurité dans les navigateurs Internet car la chaîne serait trop complexe.

Il semblerait que ceux de Gandi soit bien reconnu. Je vous tiendrai au courant je vais en acheter un prochainement.

Bertrand

[Seo Organique]

Tout à fait, comme le souligne à juste titre Bertrand les organismes certifiés arborent des prix bien moins alléchants...en voici l'exemple concernant un des leader : http://www.verisign.fr/ssl/buy-ssl-certificates/secure-site-services/index.html
Si c'est le prix d'une réelle compatibilité...c'est à bien étudier.

Cdt,
Aline

[Thierry Création]

Bonjour,

Je me posai la même question concernant le ssl mais concrètement quel est le risque en dehors du processus de paiement a ce que les données d'utilisateurs ne soit pas chiffrées ?

Merci,
Thierry

[Seo Organique]

La problématique Thierry côté client c'est d'arriver sur une page qui te signifie : certificat SSL non valide voulez vous continuer? (ce genre d'alerte) qui peut te casser une vente tu l'imagines. (ce message est un exemple il varie en fonction des navigateurs) mais paradoxalement le chiffrage est bon c'est juste que le certificat n'est pas reconnu "comme certifié" bref

[Thierry Création]

et donc, pour avoir un certificat certifié quel est le cout annuel et chez qui souscrire ?

Merci de votre réponse Aline

[watkins]

Bonjour a vous tous

Moi en général je met en place un certificat ssl sur tout mes sites pour une simple et bonne raison dans les magasines et dans les médias ont dis attention si vous ne voyez pas de HTTPS dans votre barre de navigation fuyez ce site car il est pas protéger et les gens le regardent j'en ai déjà fait l'expérience

en gros je paye 50 euros par an pour un certificat je suis chez planethoster

Cordialement

Didier

[tattoopiercing]

Bonjour,

Pour l'hébergement de votre image pour paypal j'ai trouvé ce site qui héberge gratuitement votre image en SSL

Si ca peut rendre service

http://www.sslpic.com/

[nickola]

Tout à fait, comme le souligne à juste titre Bertrand les organismes certifiés arborent des prix bien moins alléchants...en voici l'exemple concernant un des leader : http://www.verisign.fr/ssl/buy-ssl-certificates/secure-site-services/index.html
Si c'est le prix d'une réelle compatibilité...c'est à bien étudier.

Cdt,
Aline

En fait il est impératif de vérifier qu'elle est l'Autorité de Certification qui émet réellement le certificat pour éviter le problème de reconnaissance de la CA émettrice par les navigateurs.

En revanche, il est important de se sortir de la tête que seul Verisign est reconnu par les navigateurs. Je rencontre pas mal de clients qui ne connaisse que Verisign et qui sont quelque peu échaudés par les coûts des certificats proposés par eux.

Si vous souhaitez éviter d'investir beaucoup d'argent, tout en étant certain ue votre certificat sera reconnue par 99% des navigateurs, vous pouvez vous orientez vers RapidSSL, ou COMODO.

Si l'on prend l'exemple de RapidSSL, je crois me souvenir que c'est société appartenant à Geotrust, qui appartient à Verisign.
Bref, cela vous garantie que votre certificat sera reconnu par les navigateurs présents actuellement sur le marché.

Bref, il faut garder à l'esprit qu'une partie des arguments présentés par Verisign sont essentiellement marketing. Exemple, l'indemnisation de 100 000$ au cas où votre certificat est cassé. la concurrence propose généralement une indemnisation bien moindre (10 000$), mais cela n'est guère gênant, car aux dernières nouvelles, les certificats SLL ne se cassait pas facilement.... loin de là.