Ouf, c’est bon, je viens de terminer la configuration de mon serveur Web en SSL, c’est bon tout est sécurisé. J’ai envie de dire oui et non ; déjà le SSL ne vous assure que le chiffrement entre le client et le serveur (chiffrer, crypter… halte au snobisme de la sécurité), le reste ne dépend pas du SSL.
Mais avez-vous vraiment bien implémenté le SSL ? Un seul moyen de le savoir, passez votre site au banc d’essai !
Pour cela rien de plus facile, la société Qualys met à disposition un outil intitulé SSL Labs. Il est totalement gratuit et ultra simple à utiliser.
Il vous suffit de vous connecter à l’adresse suivante :
https://www.ssllabs.com/ssltest/
Une fois arrivé sur la page, il vous suffit de saisir l’url de votre site et de lancer le scan. Par sécurité, si vous ne souhaitez pas publier le résultat du scan, il vous suffit de cocher la case « Do not show the results on the boards » ; on ne sait jamais, le résultat pourrait être un désastre !
Ensuite, le service va vous attribuer une note allant de F à A+ ; F étant la pire et A+ la meilleure. Je ne vous cacherai pas que A+ nécessitera pas mal de travail pour y arriver, mais rien n’est trop beau pour votre serveur Web et ses clients.
Dans le détail du rapport, votre site va être testé sous toutes les coutures afin de vous révéler les éléments à corriger. Concrètement, le test va vous révéler si vous utilisez des protocoles comportant des failles ou des attaques connues, la même chose pour les suites cryptographiques, les certificats etc..
Vous n’avez plus qu’à prendre chaque point à améliorer et rechercher sur votre moteur de recherche préféré comment le corriger sur le serveur Web que vous utilisez.
Et pour ceux qui ont peur de désactiver un protocole car des clients risquent de ne plus pouvoir se connecter, je rappelle que TLS 1.0 date de 1999 ; avez-vous vraiment beaucoup de navigateur qui se connectent à votre site datant d’avant l’an 2000 ?
D’un point de vue personnel, je trouve que ce rapport est une mine d’or et on ne peut que saluer l’intention de Qualys de rendre ce service gratuit. Et pour ceux qui n’ont pas encore sauté le pas du HTTPS sur leur site, il faut savoir que Google référence mieux les sites qui sont en HTTPS (http://www.journaldunet.com/solutions/seo-referencement/1169972-l-indexation-de-google-va-privilegier-les-pages-https/).
Alors plus aucune excuse pour avoir un site HTTPS mal configuré !