SSL par défaut pour les services Cloud : les réponses à 3 questions
Si vous êtes un fournisseur de services cloud, la question du déploiement de la sécurité SSL a déjà dû se poser. Dans ce secteur, le chiffrement par défaut est en passe de devenir la norme. Avec un nombre d’adresses IP limité et des impératifs de performance, comment garantir au mieux la sécurité ?
Si l’on est fournisseur de services Cloud, la question du déploiement de la sécurité SSL a déjà dû se poser. Dans ce secteur, le chiffrement par défaut est en passe de devenir la norme. Et plus votre base de clients est importante, plus nous devons déployer de certificats pour répondre à la demande de nos clients. Avec un nombre d’adresses IP limité et des impératifs de performance, comment garantir au mieux la sécurité par défaut ?
Pourquoi s’intéresser au SSL ?
Même si cela peut sembler évident, la question est légitime lorsque le SSL n’est pas notre cœur de métier. Voici de quoi y voir plus clair :
- Les menaces
en ligne atteignent des niveaux record : 100 % des
internautes ont déjà été victimes d’actes de cybercriminalité*, ou connaissent
une victime,
- Les
navigateurs signalent désormais les sites Web non sécurisés,
- Les initiatives
comme le Always On SSL et le HTTPS Everywhere se
multiplient
- Le SSL améliore le référencement SEO
des sites Web
- L’utilisation
du SSL a augmenté de 63 % partout dans le monde ces trois dernières
années**
EN BREF : le SSL n’est plus un simple
atout, il est aujourd’hui indispensable. Une entreprise se doit de protéger ses
clients et ses infrastructures. Ses concurrents ont déjà probablement sauté le
pas et valorisent leur offre avec l’argument de sécurité du SSL. Il ne reste
plus à l’entreprise qu’à trouver la bonne solution pour leur emboîter le pas.
Les
restrictions d’IP sont-elles rédhibitoires ?
La bonne nouvelle est que non ! Même si à l’origine, les restrictions d’IP posaient effectivement problème, elles n’empêchent plus la mise en œuvre du SSL par défaut aujourd’hui.
Autrefois, il fallait une adresse IP pour chaque certificat SSL, ce qui compliquait la tâche dans les environnements Cloud. Aujourd’hui, grâce à la technologie SNI (Server Name Indication), abordée en détail dans de précédents billets, ce n’est plus le cas. Le nom d’hôte du serveur étant inclus dans la procédure de handshake SSL, chaque site Web peut avoir son propre certificat SSL (quel que soit le niveau d’authentification).
Les certificats multi-domaines pour fournisseurs Cloud facilitent le déploiement de certificats SSL en masse. On peut ainsi ajouter ou supprimer dynamiquement des domaines appartenant au client. Particulièrement adaptée à la dimension « à la demande » des environnements Cloud, cette option présente l’avantage d’être entièrement compatible pour les utilisateurs plus anciens qui ne prennent pas en charge la technologie SNI.
EN BREF : utilisées indépendamment ou
en association, ces solutions permettent désormais d’héberger des certificats
pour plusieurs milliers de clients sans se préoccuper des questions d’adresses
IP dédiées ou de rétrocompatibilité. Il est alors essentiel de discuter avec
son autorité de certification (AC) pour définir la configuration la mieux
adaptée à son infrastructure et à sa base de clients.
Quel sera
l’impact du SSL sur les performances de son CDN ?
Les vitesses de chargement en SSL sont un sujet d’inquiétude, notamment pour les fournisseurs de CDN. Dans un monde où les performances des sites Web doivent être optimisées, chaque milliseconde compte.
Ce n’est
plus un problème : Avec HTTP2 et SPYDY, les sites Web consultés via une
connexion SSL se chargent bien plus rapidement que les sites non sécurisés, car
le transfert des requêtes peut être multiplexé au sein d’une seule connexion.
HTTP ou
HTTPS ?
Le choix de son fournisseur SSL peut également faire la différence. Chaque fois qu’un visiteur se connecte en SSL, le navigateur envoie une demande pour connaître le statut de validité du certificat auprès de l’AC émettrice. Il est donc primordial de s’assurer que son AC utilise une infrastructure performante pour transmettre le statut des certificats et/ou il est essentiel de travailler avec elle pour activer l’agrafage OCSP (OCSP Stapling).
EN BREF : Il est important de discuter
avec son AC des possibilités d’optimisation des performances SSL. Avec les
progrès technologiques, l’entreprise n’a plus à choisir entre sécurité et
performance.
** www.netcraft.com
*** www.httpvshttps.com