Faire en sorte qu’un site Web soit installé, configuré et fonctionne correctement peut être un travail intimidant, même pour les professionnels les plus expérimentés de la sécurité informatique. L’un des protocoles de sécurité les plus importants pour chaque exploitation commerciale sur Internet est le protocole Secure Sockets Layer (SSL).
SSL est connu comme “l’épine dorsale de la sécurité de l’internet”. Il s’agit d’un protocole de sécurité qui protège les données échangées entre le client et les sites web en permettant le chiffrement des informations sensibles lors de transactions en ligne. S’il est un protocole de valeur, les implémentations peuvent avoir des problèmes, y compris des problèmes de configurations et de validation des certificats. En effet, utiliser un certificat SSL non valide compromet la sécurité.
Des études réalisées au cours de la dernière année sur environ 120 millions noms de domaine enregistrés révèlent de nombreux échecs en matière de sécurité SSL et remet en question la façon dont ce protocole essentiel a été négligé ces dernières années, en regardant l’état de son utilisation actuelle, nous pouvons en savoir plus sur les erreurs courantes, et faire des recommandations sur ce que les praticiens de la sécurité devraient faire à l’avenir afin de mieux utiliser ce protocole.
Echec dès le premier obstacle
Si SSL est largement considéré et reconnu comme étant l’un des protocoles de sécurité les plus fondamentaux, notre recherche a révélé que seule une infime partie de tous les sites utilisent le protocole SSL, et que parmi ces derniers, seuls 70 % des certificats étaient valides. Lorsque vous garder à l’esprit la façon dont de nombreux noms de domaine sont utilisés sur l’Internet, cela donne un aperçu assez alarmant jusque dans les principes de sécurité de base que les gens ignorent ou ne prennent pas en compte. Pour les entreprises qui opèrent en ligne, cela pourrait causer une violation majeure de la sécurité, même si un avertissement de sécurité apparaît sur l’écran, le plus souvent, l’utilisateur final est susceptible de l’ignorer.
Lorsque vous accédez à un réseau non sécurisé, vous risquez d’être exposés à des failles de sécurité potentiellement dangereuses qui remettent en question la validité des sites – ce qui pourrait nuire à la réputation de l’entreprise. Nos recherches ont montré que la majorité des certificats n’étaient pas valides parce qu’ils avaient expirés. C’est un problème facile à corriger, mais c’est celui qui parvient toujours à se glisser sous le radar de surveillance de la sécurité du réseau.
Point faible volontaire, ce que vous savez pertinemment
Si vous envisagez d’utiliser SSL, il est logique de mettre en œuvre la version la plus sécurisée accessible afin d’assurer une sécurité maximale en ligne. Toutefois, la moitié de tous les serveurs de confiance utilisent le protocole SSLv2, qui a été reconnu depuis 14 ans pour être d’une grande insécurité. Ce protocole offre peu de sécurité pour protéger le réseau, et il peut réellement invalider la sécurité d’une société. Alors que de nombreux navigateurs web modernes sont maintenant sur le marché, l’utilisation de SSLv2, au lieu de choisir d’utiliser le plus fort, le plus robuste et le plus recommandé, SSLv3 ou TLSv1 (Transport Layer Security) des protocoles, cela démontre en outre comment la sécurité SSL est négligée par les TI / gestionnaires de réseau.
Configurez les correctement
Faire en sorte que vous utilisez SSL, et même en utilisant les versions mises à jour, ne garantit pas nécessairement que vous êtes bien protégé et et que vous utilisez pleinement le protocole. La plupart des sites échouent à l’étape de la configuration. La recherche a montré que seulement 38 % des sites SSL analysés sont correctement configurés, ce qui signifie que le reste, près des deux deux tiers, sont potentiellement dangereux. La configuration du protocole SSL est très précise et pourrait prendre moins d’une heure à être correctement réalisée. Cela remet de nouveau en question le sérieux avec lequel les gestionnaires de réseau prennent en considération la sécurité SSL et si le niveau approprié de formation est mis en œuvre au sein d’une organisation.
Sur le côté positif
Il existe des sites web avec le protocole SSL entièrement déployé et fonctionnel, qui utilisent des certificats valides. Ce sont des nouvelles encourageantes, car cela montre que lorsque le protocole est utilisé avec un bon niveau d’attention et qu’il est correctement configuré, il peut fournir le niveau élevé de sécurité tel qu’il a été conçu pour offrir.
Points d’apprentissage
Alors que tous les sites commerciaux doivent avoir SSL en place, la recherche a montré que beaucoup n’ont pas pris les mesures correctes pour assurer la sécurité maximale de ce protocole très simple. Nous croyons qu’une meilleure compréhension et sensibilisation de l’industrie est nécessaire pour augmenter le nombre de certificats SSL correctement utilisés. Si une entreprise n’utilise pas SSL, cela peut indiquer un faible niveau de sécurité et pourrait remettre en question si elle est également pauvre dans d’autres procédures de sécurité. Cela pourrait aussi agir comme un indicateur de faiblesse pour les pirates et par la suite conduire à exposer le site Web à d’autres infractions à la sécurité. SSL est un domaine où les gens peuvent vraiment faire une différence et faire les choses correctement. En tant qu’industrie, nous devons revenir à l’essentiel et commencer à réparer cet élément de base. C’est alors seulement que nous pouvons vraiment aller de l’avant et améliorer le reste du réseau.