Page d'accueil » Conseils informatiques » OTT explique - HTTPS, SSL et la barre d'adresse verte

    OTT explique - HTTPS, SSL et la barre d'adresse verte

    Avez-vous déjà visité un site Web et remarqué que la barre d'adresse est verte? Si vous visitez un site différent, ce n'est parfois pas vert. Et sur certains sites, le texte est vert et le nom de la société apparaît également en vert. J'ai commencé à remarquer ce week-end dernier et je voulais comprendre ce que toutes les différentes versions de vert dans l'adresse signifiaient..

    Comme vous pouvez le voir ci-dessus, la navigation sur quatre sites différents me donne quatre types de barres d’adresses, certaines vertes et d’autres pas. Alors c'est quoi tout ça? Commençons par comprendre un concept simple qui facilitera la compréhension des différentes icônes et couleurs: contenu sécurisé ou contenu non sécurisé..

    Contenu sécurisé vs contenu non sécurisé

    La première chose à comprendre est ce que signifie un contenu sécurisé et non sécurisé. C'est là que HTTPS et SSL entrent en jeu. SSL signifie Secure Socket Layer et c'est la technologie sous-jacente utilisée par le protocole HTTPS pour sécuriser le contenu HTTP. En termes simples, HTTPS est HTTP sur SSL. HTTP est un trafic HTML non chiffré entre un client et un serveur.

    C'est pourquoi, lorsque vous visitez un site comme Online Tech Tips, vous ne verrez aucun texte en vert ou HTTPS dans la barre d'adresse. Tout ce que vous voyez dans la capture d'écran ci-dessus est une icône de document blanche. Qu'est-ce que ça veut dire? Cela signifie simplement que le site Web n'utilise pas SSL, ce qui signifie que les données ne sont pas cryptées..

    Ainsi, si vous deviez saisir des informations sur un formulaire de mon site, par exemple, ces données ne seraient pas cryptées sur Internet et pourraient donc potentiellement être capturées par un tiers et lues. Dans Google Chrome, si vous cliquez sur la petite icône de document, vous obtiendrez des informations détaillées, comme ci-dessous:

    Deux onglets apparaissent: Autorisations et Connexion. Parlons de l'onglet Connection. Ici, vous verrez que l'identité du site Web n'a pas été vérifiée. Cela signifie simplement que je n'ai pas acheté de certificat de sécurité pour mon site Web à un éditeur de certificats de confiance tel que Verisign. Par conséquent, Online Tech Tips peut être la propriété de n'importe qui, y compris des Russes, et vous ne pouvez vraiment pas en être sûr. C'est pourquoi vous ne devez jamais saisir d'informations sensibles sur un site Web non crypté, ce qui correspond à presque tous les blogs et sites Web classiques..

    La barre d'adresse verte

    Maintenant que vous comprenez pourquoi vous n'avez pas de texte vert dans la barre d'adresse, expliquons les différentes situations dans lesquelles nous travaillons avec une connexion sécurisée. Tout d'abord, parlons d'un site qui m'a toujours dérouté jusqu'à maintenant: Gmail! Lorsque vous chargez Gmail pour la première fois, votre adresse ressemble à ceci avec une jolie icône de cadenas verte et un texte HTTPS vert..

    Cependant, après un point, l'icône deviendrait grise avec un triangle jaune au centre:

    Alors quoi de neuf avec ça? Cette icône signifie en gros que le site Web utilise SSL avec chiffrement, mais que certains éléments de la page ne sont pas sécurisés (non chiffrés). Cela rend-il le site Web dangereux? Pas nécessairement. Dans Gmail, par exemple, les images qui apparaissent dans les e-mails ne sont pas sécurisées et donc non cryptées. C'est pourquoi vous devez toujours cliquer sur le lien «Toujours afficher les images de…». Dès que vous cliquez sur ce lien, vous remarquerez que l'icône du cadenas vert devient le triangle gris. Donc, Gmail est toujours sécurisé, mais une partie du contenu de cet email n'est pas sécurisée.

    La seule fois où vous devriez vraiment vous inquiéter est si vous voyez un cadenas avec une icône rouge et un barré sur le texte HTTPS.

    Cela pourrait signifier plusieurs choses, y compris l'expiration du certificat de sécurité du site Web ou la non-sécurisation de contenu tel que Javascript. Cela s'appelle du contenu non sécurisé à haut risque. Les images ne sont pas considérées à haut risque car il n'y a généralement aucune interaction avec l'utilisateur. Cependant, si Javascript n'est pas sécurisé, les utilisateurs peuvent remplir des formulaires et les données transmises de manière non sécurisée..

    Alors, comment savoir quel contenu n'est pas sécurisé sur une page? Vous pouvez réellement vérifier cela dans Google Chrome. Cliquez sur l'icône Paramètres en haut à droite, puis cliquez sur Outils - Outils de développement.

    Une fois là-bas, cliquez sur l'onglet Console et vous obtiendrez une liste de tous les avertissements ou erreurs comme indiqué ci-dessous..

    Comme vous pouvez le voir ci-dessus, le courrier électronique des AA contient de nombreuses images que j'ai décidé d'afficher et qui ne sont pas sécurisées. Dans la console, vous pouvez voir les images spécifiques à l'origine de l'insécurité de la page. C'est un bon moyen de voir si quelque chose d'important n'est pas sûr ou s'il ne s'agit que d'images et de ce genre de choses..

    Enfin, sur certains sites, le texte en vert et le nom de la société en vert sont identiques à ceux de la première capture d'écran lorsque vous êtes connecté à mon compte Apple en ligne. Il n'y a pas de différence de niveau de cryptage ou de sécurité, c'est juste un indicateur visuel de confiance.

    Les entreprises peuvent demander des certificats de validation étendue, qui coûtent en principe plus cher et permettent à l'entreprise de vérifier davantage d'informations sur le site Web et sur elles-mêmes. Le nom de la société ou du site Web figure sur le certificat. Il apparaît donc dans une boîte verte fantaisie à gauche du texte HTTPS..

    Si vous cliquez sur le cadenas ici, vous verrez beaucoup plus d'informations de sécurité que dans la même capture d'écran ci-dessus pour mon site web:

    Comme vous pouvez le constater, Apple Inc. a été vérifié par un certificat SSL VeriSign Class 3 Extended Validation. Vous pouvez également voir la quantité de cryptage (128 bits) et d'autres informations. Les banques ont normalement un cryptage sur 256 bits, ce qui est bien puisque ce sont vos données financières qui transitent sur Internet..

    Vous pouvez également trouver plus d'informations sur les avertissements de sécurité Chrome et les icônes ici:

    http://support.google.com/chrome/bin/answer.py?hl=fr&answer=95617

    Espérons que cela vous donne un peu plus d'informations sur le fonctionnement de HTTPS et SSL et sur la manière dont les navigateurs affichent ces informations dans la barre d'adresse. Il est légèrement différent sur chaque navigateur en termes d'icônes utilisées, etc., mais globalement, c'est le même concept. Prendre plaisir!