SSL par défaut pour les services Cloud : les réponses à 3 questions

Si vous êtes un fournisseur de services cloud, la question du déploiement de la sécurité SSL a déjà dû se poser. Dans ce secteur, le chiffrement par défaut est en passe de devenir la norme. Avec un nombre d’adresses IP limité et des impératifs de performance, comment garantir au mieux la sécurité ?

Si l’on est fournisseur de services Cloud, la question du déploiement de la sécurité SSL a déjà dû se poser. Dans ce secteur, le chiffrement par défaut est en passe de devenir la norme. Et plus votre base de clients est importante, plus nous devons déployer de certificats pour répondre à la demande de nos clients. Avec un nombre d’adresses IP limité et des impératifs de performance, comment garantir au mieux la sécurité par défaut ?

Pourquoi s’intéresser au SSL ?

Même si cela peut sembler évident, la question est légitime lorsque le SSL n’est pas notre cœur de métier. Voici de quoi y voir plus clair :

- Les menaces en ligne atteignent des niveaux record : 100 % des internautes ont déjà été victimes d’actes de cybercriminalité*, ou connaissent une victime,
- Les navigateurs signalent désormais les sites Web non sécurisés,
- Les initiatives comme le Always On SSL et le HTTPS Everywhere se multiplient
-
Le SSL améliore le référencement SEO des sites Web
- L’utilisation du SSL a augmenté de 63 % partout dans le monde ces trois dernières années**

EN BREF : le SSL n’est plus un simple atout, il est aujourd’hui indispensable. Une entreprise se doit de protéger ses clients et ses infrastructures. Ses concurrents ont déjà probablement sauté le pas et valorisent leur offre avec l’argument de sécurité du SSL. Il ne reste plus à l’entreprise qu’à trouver la bonne solution pour leur emboîter le pas.

Les restrictions d’IP sont-elles rédhibitoires ?

La bonne nouvelle est que non ! Même si à l’origine, les restrictions d’IP posaient effectivement problème, elles n’empêchent plus la mise en œuvre du SSL par défaut aujourd’hui.

Autrefois, il fallait une adresse IP pour chaque certificat SSL, ce qui compliquait la tâche dans les environnements Cloud. Aujourd’hui, grâce à la technologie SNI (Server Name Indication), abordée en détail dans de précédents billets, ce n’est plus le cas. Le nom d’hôte du serveur étant inclus dans la procédure de handshake SSL, chaque site Web peut avoir son propre certificat SSL (quel que soit le niveau d’authentification).

Les certificats multi-domaines pour fournisseurs Cloud facilitent le déploiement de certificats SSL en masse. On peut ainsi ajouter ou supprimer dynamiquement des domaines appartenant au client. Particulièrement adaptée à la dimension « à la demande » des environnements Cloud, cette option présente l’avantage d’être entièrement compatible pour les utilisateurs plus anciens qui ne prennent pas en charge la technologie SNI.

EN BREF : utilisées indépendamment ou en association, ces solutions permettent désormais d’héberger des certificats pour plusieurs milliers de clients sans se préoccuper des questions d’adresses IP dédiées ou de rétrocompatibilité. Il est alors essentiel de discuter avec son autorité de certification (AC) pour définir la configuration la mieux adaptée à son infrastructure et à sa base de clients.

Quel sera l’impact du SSL sur les performances de son CDN ?

Les vitesses de chargement en SSL sont un sujet d’inquiétude, notamment pour les fournisseurs de CDN. Dans un monde où les performances des sites Web doivent être optimisées, chaque milliseconde compte.

Ce n’est plus un problème : Avec HTTP2 et SPYDY, les sites Web consultés via une connexion SSL se chargent bien plus rapidement que les sites non sécurisés, car le transfert des requêtes peut être multiplexé au sein d’une seule connexion.

HTTP ou HTTPS ?

Le choix de son fournisseur SSL peut également faire la différence. Chaque fois qu’un visiteur se connecte en SSL, le navigateur envoie une demande pour connaître le statut de validité du certificat auprès de l’AC émettrice. Il est donc primordial de s’assurer que son AC utilise une infrastructure performante pour transmettre le statut des certificats et/ou il est essentiel de travailler avec elle pour activer l’agrafage OCSP (OCSP Stapling).

EN BREF : Il est important de discuter avec son AC des possibilités d’optimisation des performances SSL. Avec les progrès technologiques, l’entreprise n’a plus à choisir entre sécurité et performance.

Sources : * Enquête duConseil de Sécurité des Autorités de Certification

** www.netcraft.com

*** www.httpvshttps.com

Chiffrement / Référencement naturel