OTT explique - HTTPS, SSL et la barre d'adresse verte


Avez-vous déjà consulté un site Web et remarqué que la barre d'adresse est verte? Si vous visitez un site différent, ce n'est parfois pas vert. Et sur certains sites, le texte est vert et le nom de la société apparaît également en vert. J'ai commencé à remarquer ce dernier week-end et je voulais comprendre ce que signifiaient toutes les différentes versions de vert dans l'adresse.

Barre d'adresse verte

Comme vous pouvez le voir ci-dessus, la navigation sur quatre sites différents me donne quatre types différents de barres d'adresse, certaines vertes et d'autres pas. Alors, c'est quoi tout ça? Tout d'abord, imaginons un concept simple qui facilitera la compréhension des différentes icônes et couleurs: contenu sécurisé ou non sécurisé.

Contenu sécurisé ou non sécurisé

La première chose à comprendre est ce que le contenu sécurisé et non sécurisé signifie vraiment. C'est là que HTTPS et SSL entrent en jeu. SSL signifie Secure Socket Layer et c'est la technologie sous-jacente que le protocole HTTPS utilise pour sécuriser le contenu HTTP. En termes simples, HTTPS est HTTP sur SSL. HTTP est un trafic HTML non crypté entre un client et un serveur.

C'est pourquoi lorsque vous visitez un site comme Online Tech Tips, vous ne verrez aucun texte vert ou HTTPS dans la barre d'adresse. Tout ce que vous voyez dans la capture d'écran ci-dessus est une icône de document blanche. Qu'est-ce que ça veut dire? Cela signifie simplement que le site n'utilise pas SSL, ce qui signifie que les données ne sont pas chiffrées.

Ainsi, si vous tapiez des informations dans un formulaire sur mon site, par exemple, ces données ne seraient pas cryptées sur Internet et pourrait donc être capturé par un tiers et lu. Dans Google Chrome, si vous cliquez sur l'icône du petit document, vous obtiendrez des informations détaillées comme ci-dessous:

Ott connexion sécurisée

Il y a deux onglets apparaître: Autorisations et connexion. Parlons de l'onglet Connexion. Ici, vous verrez que l'identité du site n'a pas été vérifiée. Tout cela signifie que je n'ai pas acheté un certificat de sécurité pour mon site Web auprès d'un éditeur de certificats de confiance comme Verisign et que par conséquent, les conseils techniques en ligne pourraient être la propriété de n'importe qui, y compris les Russes. C'est pourquoi vous ne devez jamais taper des informations sensibles sur un site web qui n'est pas crypté, ce qui sera presque tous les blogs et sites Web réguliers.

La barre d'adresse verte

Maintenant que vous comprenez pourquoi vous n'avez pas de texte vert dans la barre d'adresse, expliquons les différentes situations lorsque nous travaillons avec une connexion sécurisée. D'abord, parlons d'un site qui m'a toujours dérouté jusqu'à présent: Gmail! Lorsque vous chargez Gmail pour la première fois, votre adresse ressemble à ceci avec une belle icône verte de cadenas et un texte vert HTTPS.

Gmail sécurisé

Cependant, après un point , tout à coup l'icône gris avec un triangle jaune au centre:

Gmail non sécurisé

Alors, qu'est-ce qui se passe avec ça? Cette icône signifie essentiellement que le site Web utilise le cryptage SSL, mais que certains contenus de la page ne sont pas sécurisés (pas cryptés). Est-ce que cela rend le site Web dangereux? Pas nécessairement. Dans Gmail, par exemple, les images qui apparaissent dans les e-mails ne sont pas sécurisées et ne sont donc pas cryptées. C'est pourquoi vous devez toujours cliquer sur le lien "Toujours afficher les images de ...". La seconde fois que vous cliquez sur ce lien, vous remarquerez que l'icône du cadenas vert change en triangle gris. Gmail est toujours sécurisé, mais une partie du contenu de cet e-mail n'est pas sécurisée.

Images Gmail sécurisées

La seule fois où vous devriez vraiment vous inquiéter est si vous voyez un cadenas avec une icône rouge et une barrette sur le texte HTTPS.

risque élevé

Cela pourrait signifier que certaines choses, y compris l'expiration du certificat de sécurité du site ou d'autres contenus comme Javascript, ne soient pas sécurisées sur le site. C'est ce qu'on appelle un contenu non sécurisé à haut risque. Les images ne sont pas considérées à haut risque car il n'y a généralement aucune interaction avec l'utilisateur. Cependant, si le Javascript n'est pas sécurisé, les utilisateurs pourraient remplir des formulaires et transmettre ces données de manière non sécurisée.

Alors, comment savez-vous quel contenu n'est pas sécurisé sur une page? Vous pouvez réellement vérifier cela dans Google Chrome. Cliquez sur l'icône Paramètres en haut à droite, puis sur Outils- Outils de développement.

Outils de développement

Une fois là, cliquez sur l'onglet Console et vous obtiendrez une liste de tous les avertissements ou erreurs comme indiqué ci-dessous.

Contenu non sécurisé

Comme vous pouvez le voir ci-dessus, le courriel d'AA contient un tas d'images que j'ai décidé d'afficher et celles-ci ne sont pas sécurisées. Dans la console, vous pouvez voir les images spécifiques qui causent la non-sécurisation de la page. C'est une bonne façon de voir si quelque chose d'important n'est pas sûr ou si ce n'est que des images et ce genre de choses. Enfin, sur certains sites, vous voyez aussi le texte vert et le nom de la société en vert dans la première capture d'écran lorsqu'il est connecté à mon compte Apple en ligne. Il n'y a aucune différence dans le niveau de cryptage ou de sécurité, c'est juste un indicateur visuel de confiance.

Les entreprises peuvent demander des certificats Extended Validation, qui coûtent plus cher et permettent à l'entreprise de vérifier plus d'informations. et eux-mêmes. Le nom de la société ou du site Web se trouve sur le certificat et par conséquent, il apparaît dans une boîte verte fantaisie à gauche du texte HTTPS.

Si vous cliquez sur le cadenas ici, vous verrez beaucoup plus d'informations de sécurité que dans la même capture d'écran ci-dessus pour mon site Web:

Cerfiticate de pomme

Comme vous pouvez le voir, Apple Inc. a été vérifié par une classe VeriSign 3 Certificat SSL Extended Validation. Vous pouvez également voir la quantité de cryptage (128 bits) et d'autres informations. Les banques ont normalement un cryptage de 256 bits, ce qui est bien puisque ce sont vos données financières sur Internet.

Vous trouverez également plus d'informations sur les avertissements et les icônes de sécurité de Chrome ici:

http://support.google.com/chrome/bin/answer.py?hl=fr&answer=95617

J'espère que cela vous donnera un peu plus d'informations sur le fonctionnement de HTTPS et SSL et comment les navigateurs affichent ces informations dans la barre d'adresse. C'est légèrement différent sur chaque navigateur en termes d'icônes utilisées, etc, mais dans l'ensemble c'est le même concept. Profitez-en!

Best Speech You Will Ever Hear - Gary Yourofsky

Articles Similaires:


30.03.2013