Aide - Recherche - Membres - Calendrier
Version complète : Un certificat SSL gratuit ?
Forum osCommerce-fr > OsCommerce et Internet > Hébergement
terzag
Bonjour,
Après avoir lu des avis contradictoires sur la sécurisation d'une boutique osCommerce avec SSL, je m'interroge sur la pertinence d'en mettre un en place sur la boutique que je suis en train de finaliser pour quelqu'un.
Bon, je sais que du côté des paiements il n'y a à priori aucun souci (paiement en ligne sécurisé via une banque), mais pour ce qui est de la section d'administration, je me dis que ce ne serait pas forcément plus mal d'installer un certificat si j'en ai la possibilité.

En faisant quelques recherches, je suis tombé sur un site qui propose des certificats gratuits : StartCom.
D'un naturel méfiant, je me demande si ce genre d'offre est crédible ou si ça peut être une arnaque. La boîte a l'air sérieuse, elle prétend avoir des garanties ("approuvé par Mozilla et présent dans les prochaines versions de Firefox et Thunderbird..."), mais comme en matière de sécurité on n'est jamais trop parano, je me demandais si certain(e)s d'entre vous la connaissait et si c'était sans risque ?
nimp0001
Bonjour,

A mon sens, le principal problème n'est pas d'ordre technique, mais avoir un certificat SSL rassure énormément le consomateur final. Du moins certains qui ont l'habitude de jeter un oeil en bas à droite sur le cadena. Et vous aurez beau expliquer 100 fois que les infos de paiement type CB ne sont pas sur votre site mais sur celui de la banque, ça laissera toujours perplexe une grande partie de la population.
Par ailleur, dernier détail et non des moindre, s'il est vrai qu'avec IE 5 et 6 et Firefox on a des petite Popup d'alerte de sécurité pas trop gênantes quand SSL est activé sans certificat valide, avec IE 7, l'utilisateur a une énorme page d'erreur qui bloque totalement la navigation (et il faut lire une tartine avant de comprendre)... De base, les petites popup sont pas très commerçante, mais le site s'affiche encore en dessous, là ça devient rédibitoire.

Sans vouloir faire de pub, j'ai pu utiliser les certificats de TBS (http://www.tbs-certificats.com/) qui sont pas cher, en France, et avec un support technique très réactif.



Testmagic
Bonsoir
www.cacert.org propose son certificat SSL gratuit et reconnu, depuis assez longtemps.
Dont le certificat racine est facile à integrer dans les navigateurs "Mozilla-comme" (Firefox etc.) par contre IE7... ?
klezeus
Alors que choisir entre ces 2 là..
en gratuit il y en a peut être d autres d ailleur
audioshop
Je sais que chez gandi pour chaque domaine renouvelé, acheté ou transféré chez eux ont dispose d'un certificat SSl gratuit c'est pas la version pro bien entendu mais sa peux suffire.
Après reste à savoir comment le mettre en place, j'ai un dédié mais aucune idée pour l'installation d'un certificat SSL, il fraudais peut être que je le demande chez gandi pour essayer!
Quelqu'un sais comment sa s'installe pour l'avoir au niveau admin et au commencement de la procédure de validation du panier?
lucy_fr
Après avoir lu l'interview de F. Vergez au sujet de : "E-commerce : Comment choisir son certificat SSL" dans le JDN,
Il paraît plus sûr de choisir un SSL payant délivré par une Autorité de Certification reconnue,
Surtout lorsqu'il en va de la protection des données de nos clients.
Doit-on faire de petites économies sur l'achat d'un certificat SSL quand on est e-commerçant ?
Gnidhal
Il est sur qu'un certificat SSL mutualisé (donc commun et généralement gratuit) n'a pas l'impact de sécurité qu'il devrait avoir auprès des clients car la plupart des navigateurs envoient une alerte pour signaler que le certificat n'est pas réservé à ton nom de domaine. Donc l'effet peut être inverse, quand on connait le degré de compréhension technique de l'internaute moyen!

Mais une boutique a-t-elle besoin d'un certificat SSL coté client ? pas sur!
Si la sécurité de l'admin s'en trouvera accrue (et là un SSL gratuit est suffisant) les données communiquées entre la boutique et le client ne sont pas d'une stratégie absolue.
Si un compte venait a être piraté, cela ne remet en cause que le compte lui même et les données personnelles du client.
L'intérêt pour un pirate est donc quasi nul (ça servirait à quoi de pirater un compte client individuellement ? ) sauf peut-être de récupérer son mot de passe de connexion qui est vraisemblablement identique pour plusieurs autres sites (sites marchands, forums, ...) mais qui ne sera surement pas le même que celui de ses comptes sécurisés (compte en banque, données personnelles officielles, etc.) en effet, ces derniers, non seulement ont un accès SSL mais en plus exigent une sécurité accrue pour le mot de passe (changement régulier, mot de passe complexe, ...)

Donc plutôt que d'implanter un SSL mutualisé pour la partie boutique publique de son site, autant ne rien mettre. Un SSL mutualisé (largement suffisant puisque l'administrateur sait fort bien que l'alerte de sécurité de son navigateur n'est pas grave) coté admin étant, lui, un plus mais pas impératif.
lucy_fr
Je suis d'accord avec toi Gnidhal concernant le fait qu'un message d'alerte envoyé par le navigateur peut effrayer un client potentiel.
Cependant, concernant "Si un compte venait a être piraté, cela ne remet en cause que le compte lui même et les données personnelles du client", justement, en tant que e-commerçante et cliente, je trouve que c'est un gros problème.
Personne ne doit pouvoir accès aux données de mon client, dans la mesure où il me les donne en toute confiance.
Je pense que ce default de confiance des clients est un frein au ecommerce, et que tous les ecommerçants ou personnes qui récoltent des données personnelles de clients se doivent de les protéger par un certificat SSL ou autre.
Gnidhal
Oui mais entre sécurité absente et paranoïa il y a de la place, celle d'une sécurité raisonnable :
1/ le piratage du compte d'un client n'est possible qu'en un seul cas : le système de hack par tierce parti.
2/ les données concernant les informations privées de tes clients sont en base de données et là, le plus gros risque concerne une pénétration de l'administration du site et la récupération de toutes les données de tous les clients.

Pour le cas 1, cela signifie que la connexion entre le client et ton serveur est "écoutée", ce qui n'est pas courant et pas simple à réaliser en cas de liaison point à point filaire à moins de passer par un serveur proxy. Une liaison radio de type WiFi qui serait détournée via un poste intermédiaire est en revanche plus courante (cas dans certains lieux publics comme les gares, les trains, les cafés...)
Donc la protection SSL concernerait uniquement ce type de piratage et la récupération des données personnelles obligerait le pirate à se connecter à ton site avec le mot de passe du client ainsi capturé.
Il n'est pas sur, à moins que le hacker ait ton client comme cible spécifique, que ces données intéressent qui que ce soit (une adresse postale, un mail, un N° de téléphone... ) et en tout état de cause la récupération doit se faire à l'unité. Pas très juteux.

Dans le cas 2, une protection SSL de l'administration du site est un net plus. Ca évitera au hacker qui pourrait "écouter" ta liaison (chose improbable si tu es connecté par câble à ton FAI depuis chez toi) de récupérer l'accès à l'admin de ton site et ainsi lui donner l'accès à toute ta base de données.
D'expérience, ce type de piratage est extrêmement rare.
L'intrusion la plus courante à l'administration d'un site se faisant par une des failles connues sur les versions osCommerce mal installées et mal sécurisées.
Et le but le plus courant est l'utilisation du serveur en relais de spam ou en diffuseur de virus ou autre malware. Les données des clients étant généralement oubliées par ces pirates car ne contenant aucune information stratégique elles ne sont pas plus valables que celles contenues dans n'importe quel annuaire.
Les mots de passe étant cryptées en BDD de manière assez solide, la récupération des mots de passe des clients en lot ne pouvant pas se faire.
Pour comparaison, le piratage d'un compte sur un forum, comme le notre par exemple, peut présenter bien d'avantage d'intérêt pour un hacker potentiel : si l'adresse n'est que rarement stockée dans un compte de ce type, les informations que peut contenir une BAL privée peuvent être autrement plus stratégiques.
Et combien de forums ont une protection SSL de l'accès aux comptes ?
Idem pour certains serveurs de webmail (de plus en plus rares, heureusement) qui n'offrent pas de protection SSL.

En résumé donc, il est plus important de sécuriser correctement l'accès à son administration que de se prendre la tête avec un certificat SSL.
Il faut aussi penser à ne jamais se connecter à son administration depuis une liaison qui pourrait être écoutée facilement (WiFi via un téléphone mobile) ou en passant par un proxy offshore (un proxy dont tu ne serais pas le propriétaire sur ton réseau)
Dans ce dernier cas (connexion régulière à ton admin via Wifi ou proxy), et dans ce cas seulement, le mode SSL est plus que souhaitable. Mais pour ce cas de figure, comme je l'explique plus haut, un certificat mutualisé est bien suffisant.
Ceci est une version "bas débit" de notre forum. Pour voir la version complète avec plus d'informations, la mise en page et les images, veuillez cliquer ici.
Invision Power Board © 2001-2024 Invision Power Services, Inc.