Questions fréquentes
Dans un café utilisant un réseau Wi-Fi public, un pirate mène une attaque de type “SSL stripping” en interceptant et en rétrogradant la connexion HTTPS sécurisée d’un utilisateur en une connexion HTTP non sécurisée, ce qui lui permet de capturer des données sensibles telles que les identifiants de connexion et d’obtenir potentiellement un accès non autorisé à des comptes en ligne.
Copier le lien
L’annulation du SSL est un type d’attaque de l’homme du milieu qui cible la communication sécurisée entre un utilisateur et un site web en rétrogradant la connexion HTTPS sécurisée en une connexion HTTP non sécurisée.
Copier le lien
C’est une question à un million de dollars sans réponse définitive. Selon Edward Snowden, le célèbre lanceur d’alerte, la NSA y travaille. Le New Yorker résume les affirmations de Snowden et les enquêtes menées par le Guardian et le New York Times sur la manière dont la N.S.A. a tenté de pirater le web.
Copier le lien
Des outils tels que SSLstrip et BEAST (Browser Exploit Against SSL/TLS) réalisent des attaques spécifiques contre les implémentations SSL/TLS, mais ils ne constituent pas un crack de cryptage SSL. Tous deux exploitent des vulnérabilités connues dans des versions ou configurations SSL/TLS spécifiques pour intercepter ou manipuler des communications cryptées. Il est important de noter que ces outils ciblent principalement les faiblesses dans la mise en œuvre du protocole plutôt que de craquer directement le chiffrement sous-jacent.
Copier le lien
Le cryptage SSL n’a pas été “craqué” en ce qui concerne les algorithmes cryptographiques fondamentaux. Les vulnérabilités et les attaques ne se produisent que lorsque le certificat est émis frauduleusement ou compromis lors d’une configuration et d’une gestion incorrectes du protocole SSL.
Copier le lien
Le type de certificat numérique le plus fiable est le certificat SSL à validation étendue (EV). Les certificats EV sont soumis à un processus de validation rigoureux, au cours duquel l’autorité de certification effectue des contrôles approfondis pour vérifier l’identité et la légitimité de l’organisation. Il s’agit notamment de valider l’existence légale, l’emplacement physique et le statut opérationnel.
Copier le lien
Vous pouvez consulter les détails du certificat dans votre navigateur web. Commencez par visiter le site web pour lequel vous disposez d’un certificat SSL. Une fois sur le site, cliquez sur l’icône du cadenas dans la barre d’adresse. Les informations relatives au certificat SSL s’affichent. Recherchez l’option “Certificat” ou “Détails du certificat” et cliquez dessus pour afficher les détails.
Copier le lien
Les types de certificats SSL sont très importants. Tout comme le SSL Domain Validation n’est pas adapté aux sites de commerce électronique et aux sites financiers, il est inutile d’obtenir un certificat EV premium pour un blog ou une petite entreprise. Si vous ne savez pas de quel type de certificat vous avez besoin, utilisez l’assistant SSL pour obtenir des recommandations instantanées adaptées à vos besoins spécifiques et à votre budget.
Copier le lien
Pour déterminer si un certificat est auto-signé, vérifiez le champ de l’émetteur dans les détails du certificat. Si l’émetteur est le même que le sujet (ou si l’émetteur n’est pas reconnu par une autorité de certification de confiance), il s’agit probablement d’un certificat auto-signé.
Copier le lien
Bien qu’un certificat auto-signé fournisse un certain niveau de cryptage, il est moins sûr qu’un certificat émis par une autorité de certification de confiance. Cependant, il est préférable d’avoir un certificat auto-signé plutôt que de ne pas avoir de certificat du tout lorsque le cryptage est nécessaire.
Copier le lien