osCommerce France : Accueil Forum Portail osCommerce France Réponses aux questions Foire aux contributions

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Un certificat SSL gratuit ?
terzag
posté 3 Aug 2007, 09:16
Message #1


Ceinture jaune OSC
Icône de groupe

Groupe : Membres
Messages : 69
Inscrit : 19-June 07
Membre no 17949



Bonjour,
Après avoir lu des avis contradictoires sur la sécurisation d'une boutique osCommerce avec SSL, je m'interroge sur la pertinence d'en mettre un en place sur la boutique que je suis en train de finaliser pour quelqu'un.
Bon, je sais que du côté des paiements il n'y a à priori aucun souci (paiement en ligne sécurisé via une banque), mais pour ce qui est de la section d'administration, je me dis que ce ne serait pas forcément plus mal d'installer un certificat si j'en ai la possibilité.

En faisant quelques recherches, je suis tombé sur un site qui propose des certificats gratuits : StartCom.
D'un naturel méfiant, je me demande si ce genre d'offre est crédible ou si ça peut être une arnaque. La boîte a l'air sérieuse, elle prétend avoir des garanties ("approuvé par Mozilla et présent dans les prochaines versions de Firefox et Thunderbird..."), mais comme en matière de sécurité on n'est jamais trop parano, je me demandais si certain(e)s d'entre vous la connaissait et si c'était sans risque ?
Go to the top of the page
 
nimp0001
posté 3 Aug 2007, 10:11
Message #2


Ceinture blanche OSC
Icône de groupe

Groupe : Membres
Messages : 16
Inscrit : 13-October 06
Membre no 12633



Bonjour,

A mon sens, le principal problème n'est pas d'ordre technique, mais avoir un certificat SSL rassure énormément le consomateur final. Du moins certains qui ont l'habitude de jeter un oeil en bas à droite sur le cadena. Et vous aurez beau expliquer 100 fois que les infos de paiement type CB ne sont pas sur votre site mais sur celui de la banque, ça laissera toujours perplexe une grande partie de la population.
Par ailleur, dernier détail et non des moindre, s'il est vrai qu'avec IE 5 et 6 et Firefox on a des petite Popup d'alerte de sécurité pas trop gênantes quand SSL est activé sans certificat valide, avec IE 7, l'utilisateur a une énorme page d'erreur qui bloque totalement la navigation (et il faut lire une tartine avant de comprendre)... De base, les petites popup sont pas très commerçante, mais le site s'affiche encore en dessous, là ça devient rédibitoire.

Sans vouloir faire de pub, j'ai pu utiliser les certificats de TBS (http://www.tbs-certificats.com/) qui sont pas cher, en France, et avec un support technique très réactif.



Go to the top of the page
 
Testmagic
posté 6 Sep 2007, 17:41
Message #3


Ceinture blanche OSC
Icône de groupe

Groupe : Membres
Messages : 5
Inscrit : 13-December 06
Membre no 13993



Bonsoir
www.cacert.org propose son certificat SSL gratuit et reconnu, depuis assez longtemps.
Dont le certificat racine est facile à integrer dans les navigateurs "Mozilla-comme" (Firefox etc.) par contre IE7... ?
Go to the top of the page
 
klezeus
posté 5 Oct 2009, 12:13
Message #4


Ceinture jaune OSC
Icône de groupe

Groupe : Membres
Messages : 60
Inscrit : 22-January 09
Lieu : Brest
Membre no 24303



Alors que choisir entre ces 2 là..
en gratuit il y en a peut être d autres d ailleur


--------------------
Go to the top of the page
 
audioshop
posté 5 Oct 2009, 13:51
Message #5


Ceinture bleue OSC
Icône de groupe

Groupe : Membres
Messages : 983
Inscrit : 8-April 08
Lieu : strasbourg
Membre no 21429



Je sais que chez gandi pour chaque domaine renouvelé, acheté ou transféré chez eux ont dispose d'un certificat SSl gratuit c'est pas la version pro bien entendu mais sa peux suffire.
Après reste à savoir comment le mettre en place, j'ai un dédié mais aucune idée pour l'installation d'un certificat SSL, il fraudais peut être que je le demande chez gandi pour essayer!
Quelqu'un sais comment sa s'installe pour l'avoir au niveau admin et au commencement de la procédure de validation du panier?

Ce message a été modifié par audioshop - 5 Oct 2009, 13:54.
Go to the top of the page
 
lucy_fr
posté 2 Apr 2012, 12:10
Message #6


Ceinture blanche OSC
Icône de groupe

Groupe : Membres
Messages : 2
Inscrit : 2-April 12
Membre no 30833



Après avoir lu l'interview de F. Vergez au sujet de : "E-commerce : Comment choisir son certificat SSL" dans le JDN,
Il paraît plus sûr de choisir un SSL payant délivré par une Autorité de Certification reconnue,
Surtout lorsqu'il en va de la protection des données de nos clients.
Doit-on faire de petites économies sur l'achat d'un certificat SSL quand on est e-commerçant ?
Go to the top of the page
 
Gnidhal
posté 2 Apr 2012, 13:26
Message #7


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 9206
Inscrit : 4-March 03
Lieu : Auray
Membre no 927



Il est sur qu'un certificat SSL mutualisé (donc commun et généralement gratuit) n'a pas l'impact de sécurité qu'il devrait avoir auprès des clients car la plupart des navigateurs envoient une alerte pour signaler que le certificat n'est pas réservé à ton nom de domaine. Donc l'effet peut être inverse, quand on connait le degré de compréhension technique de l'internaute moyen!

Mais une boutique a-t-elle besoin d'un certificat SSL coté client ? pas sur!
Si la sécurité de l'admin s'en trouvera accrue (et là un SSL gratuit est suffisant) les données communiquées entre la boutique et le client ne sont pas d'une stratégie absolue.
Si un compte venait a être piraté, cela ne remet en cause que le compte lui même et les données personnelles du client.
L'intérêt pour un pirate est donc quasi nul (ça servirait à quoi de pirater un compte client individuellement ? ) sauf peut-être de récupérer son mot de passe de connexion qui est vraisemblablement identique pour plusieurs autres sites (sites marchands, forums, ...) mais qui ne sera surement pas le même que celui de ses comptes sécurisés (compte en banque, données personnelles officielles, etc.) en effet, ces derniers, non seulement ont un accès SSL mais en plus exigent une sécurité accrue pour le mot de passe (changement régulier, mot de passe complexe, ...)

Donc plutôt que d'implanter un SSL mutualisé pour la partie boutique publique de son site, autant ne rien mettre. Un SSL mutualisé (largement suffisant puisque l'administrateur sait fort bien que l'alerte de sécurité de son navigateur n'est pas grave) coté admin étant, lui, un plus mais pas impératif.


--------------------
Tout d'abord : - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)
Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues :
Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums.
Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin.

----------------------------- Quelques sites de référence ---------------------------
PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js
Les bons outils : EasyPHP - WAMP-5 - - Notepad++ - Firefox et son extension WebDeveloper
Le gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien)
Go to the top of the page
 
lucy_fr
posté 3 Apr 2012, 12:51
Message #8


Ceinture blanche OSC
Icône de groupe

Groupe : Membres
Messages : 2
Inscrit : 2-April 12
Membre no 30833



Je suis d'accord avec toi Gnidhal concernant le fait qu'un message d'alerte envoyé par le navigateur peut effrayer un client potentiel.
Cependant, concernant "Si un compte venait a être piraté, cela ne remet en cause que le compte lui même et les données personnelles du client", justement, en tant que e-commerçante et cliente, je trouve que c'est un gros problème.
Personne ne doit pouvoir accès aux données de mon client, dans la mesure où il me les donne en toute confiance.
Je pense que ce default de confiance des clients est un frein au ecommerce, et que tous les ecommerçants ou personnes qui récoltent des données personnelles de clients se doivent de les protéger par un certificat SSL ou autre.
Go to the top of the page
 
Gnidhal
posté 3 Apr 2012, 13:52
Message #9


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 9206
Inscrit : 4-March 03
Lieu : Auray
Membre no 927



Oui mais entre sécurité absente et paranoïa il y a de la place, celle d'une sécurité raisonnable :
1/ le piratage du compte d'un client n'est possible qu'en un seul cas : le système de hack par tierce parti.
2/ les données concernant les informations privées de tes clients sont en base de données et là, le plus gros risque concerne une pénétration de l'administration du site et la récupération de toutes les données de tous les clients.

Pour le cas 1, cela signifie que la connexion entre le client et ton serveur est "écoutée", ce qui n'est pas courant et pas simple à réaliser en cas de liaison point à point filaire à moins de passer par un serveur proxy. Une liaison radio de type WiFi qui serait détournée via un poste intermédiaire est en revanche plus courante (cas dans certains lieux publics comme les gares, les trains, les cafés...)
Donc la protection SSL concernerait uniquement ce type de piratage et la récupération des données personnelles obligerait le pirate à se connecter à ton site avec le mot de passe du client ainsi capturé.
Il n'est pas sur, à moins que le hacker ait ton client comme cible spécifique, que ces données intéressent qui que ce soit (une adresse postale, un mail, un N° de téléphone... ) et en tout état de cause la récupération doit se faire à l'unité. Pas très juteux.

Dans le cas 2, une protection SSL de l'administration du site est un net plus. Ca évitera au hacker qui pourrait "écouter" ta liaison (chose improbable si tu es connecté par câble à ton FAI depuis chez toi) de récupérer l'accès à l'admin de ton site et ainsi lui donner l'accès à toute ta base de données.
D'expérience, ce type de piratage est extrêmement rare.
L'intrusion la plus courante à l'administration d'un site se faisant par une des failles connues sur les versions osCommerce mal installées et mal sécurisées.
Et le but le plus courant est l'utilisation du serveur en relais de spam ou en diffuseur de virus ou autre malware. Les données des clients étant généralement oubliées par ces pirates car ne contenant aucune information stratégique elles ne sont pas plus valables que celles contenues dans n'importe quel annuaire.
Les mots de passe étant cryptées en BDD de manière assez solide, la récupération des mots de passe des clients en lot ne pouvant pas se faire.
Pour comparaison, le piratage d'un compte sur un forum, comme le notre par exemple, peut présenter bien d'avantage d'intérêt pour un hacker potentiel : si l'adresse n'est que rarement stockée dans un compte de ce type, les informations que peut contenir une BAL privée peuvent être autrement plus stratégiques.
Et combien de forums ont une protection SSL de l'accès aux comptes ?
Idem pour certains serveurs de webmail (de plus en plus rares, heureusement) qui n'offrent pas de protection SSL.

En résumé donc, il est plus important de sécuriser correctement l'accès à son administration que de se prendre la tête avec un certificat SSL.
Il faut aussi penser à ne jamais se connecter à son administration depuis une liaison qui pourrait être écoutée facilement (WiFi via un téléphone mobile) ou en passant par un proxy offshore (un proxy dont tu ne serais pas le propriétaire sur ton réseau)
Dans ce dernier cas (connexion régulière à ton admin via Wifi ou proxy), et dans ce cas seulement, le mode SSL est plus que souhaitable. Mais pour ce cas de figure, comme je l'explique plus haut, un certificat mutualisé est bien suffisant.


--------------------
Tout d'abord : - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)
Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues :
Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums.
Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin.

----------------------------- Quelques sites de référence ---------------------------
PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js
Les bons outils : EasyPHP - WAMP-5 - - Notepad++ - Firefox et son extension WebDeveloper
Le gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien)
Go to the top of the page
 

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : 23rd October 2014 - 18:08
Ce site est déclaré auprès de la commision Nationale
de l'Informatique et des Libertés (déclaration n°: 1043896)