2. SSL by Keynectis
Date
Intervenant KEYNECTIS

3. Croissance de la fraude sur Internet
Plaintes reçues par l'IC3
400 000
350 000
Pertes en Million de dollars
300 000 1 000
250 000 ‐
200 000 2000 2005 2006 2007 2008 2009 2010 2011
150 000 Plaintes reçues
100 000
50 000
‐
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Plaintes reçues
Graphiques basés sur des données IC3 www.ic3.org ‐ avec des extrapolations
3 3

4. Croissance du SSL
SSL
1 600 000
1 400 000
1 200 000
1 000 000
800 000
600 000
400 000
200 000
‐
1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Nombre de certificats
Graphique basé sur des données Netcraft www.netcraft.com ‐ avec des extrapolations
4 4

5. Rassurer les clients
• 83% des Internautes veulent plus d’assurance sur le
fait que leurs informations sont sécurisées
• 86% des clients en ligne se sentent plus rassurés
quand ils saisissent leurs informations personnelles
sur des sites qui montrent des indicateurs de sécurité
(Sources: Synovate/GMI Research, September 2008; Javelin Strategy and Research, March 2009)
5

6. Objectifs du SSL
6

7. Pages web à risque
• Login / mot de passe
• Formulaires
• Paiement en ligne
• Messageries électroniques
• …
7

8. Expérience Utilisateur
https et non http Cadenas
SSL
https et non http Cadenas
SSL Extended Validation
Barre verte Nom légal de l’organisation
et code pays
Certificat non valide
8

9. Certificats auto‐signés ou non valides
9

10. Les certificats SSL
« Carte d’identité » du site web
10

11. Chaine de confiance
Le navigateur fait confiance à Keynectis qui fait confiance à votre site web
11

12. Reconnaissance dans les navigateurs
12

13. SSL en action
2) installe
4) Echange d’information chiffré
Site web authentifié
Organisation
1) demande de certificat SSL
Internaute
3) Validation en temps réel (OCSP)
Autorité de Certification
13

14. Processus de création
Clé privée
1) Extrait 2) Envoie
Clé publique
Serveur Web
Autorité de Certification
Certificate Signing Request
fichier.csr
5) Installe
4) Envoie 3) Génère
Certificat Validations
fichier.cer ou base 64
14

15. Informations dans la CSR
CN = www.keynectis.com
OU = Departement Marketing
O = Keynectis
STREET = 11‐13 Rue Rene Jacques
Extraire L = Issy les Moulineaux
PostalCode = 92130
S = IDF
Key=3082010A0282010100BF9F9F71CE4F4….
Taille de la clé = 2048 ...
15

16. Types de certificats
Domain Validated RGS 1 étoile
Simple et économique Pour le secteur public
Organization Validated Unified Communication
Inspire la confiance Pour les messageries
Extended Validation Wildcard
Avec la barre verte Avec un nombre illimité
de sous‐domaines
16

17. L’Offre SSL (1/2)
SSL Domain Validated Organization Validated Extended Validation RGS *
Niveau de confiance Basic (+) Optimum (++) Maximum (++++) Optimum (+++)
Cadenas √ √ √ √
Barre verte √ X
Validité 1 à 3 ans 1 à 3 ans 1 à 2 ans 1 à 3 ans
Garantie 10 000€ 50 000€ 100 000€ 50 000€
SAN (jusqu’à 99) √ √ √ √
Adresses IP √ √
Wildcard √ √
Support En ligne En ligne et En ligne et En ligne et
téléphonique téléphonique téléphonique
Vérification Domaine Organisation Etendue Organisation +
Sceau dynamique √ √ √ √
Remplacement Gratuit Gratuit Gratuit Gratruit
Nom de l’organisation dans le certificat √ √ √
Délais de livraison 2 jours ouvrés 2 jours ouvrés 3 jours ouvrés 3 jours ouvrés
17 17

18. L’Offre SSL (2/2)
SSL Domain Validated Organization Validated Extended Validation RGS *
Taille de la clé 2048 2048 2048 2048
Nombre de licences 3 pour le prix d’une 3 pour le prix d’une 3 pour le prix d’une 3 pour le prix d’une
Support des vieux Non Non Non Non
navigateurs à risque (CGC)
Algorithme de hachage SHA1 SHA1 SHA1 SHA1
Documents requis Non Oui Oui Oui
Validation en temps réel (OCSP) √ √ √ √
Responsable de compte dédié Non Non Oui Non
domainname.com offert avec √ √ √ √
www.domainname.com
Strict respect du standard SSL X509 √ √ √ √
Réductions jusqu’à 30% √ √ √ √
sur le multi‐années
Renouvellement 10% de réduction 10% de réduction 10% de réduction 10% de réduction
18 18

19. Vérifications
Domain Validated
Vérification par email que la personne possédant le nom de domaine accepte
la création du certificat SSL (whois ou noms prédéfinis tels que
webmaster@nomdedomaine.com)
Organization Validated
Vérification de l’existence de l’organisation en utilisant des bases de données
tierces telles que infogreffe et les pages jaunes. Vérification auprès du contact
administratif par téléphone en passant par le standard.
19

20. Vérifications
RGS *
Vérification de l’existence de l’organisation en utilisant des bases de données
tierces telles que infogreffe et les pages jaunes. Vérification auprès du contact
administratif par téléphone en passant par le standard. Vérification de
l’identité du signataire du contrat via une pièce d’identité.
Extended Validation
Vérification étendue de l’existence légale, physique et opérationnelle via des
bases de données tierces telles que infogreffe et les pages jaunes. Vérification
téléphonique auprès du manager du signataire du contrat en passant par le
standard .
20

21. Une offre SSL complète
21

22. Quelle est la vraie page ?
22

23. Quelle est la vraie page ?
23

24. Pourquoi le SSL Extended Validation
• Phishing :
https://www.mabanque.com
Lien hypertexte vers
https://www.mabanqueS.com
• Typo‐squatting :
https://www.mabanques.com
https://www.mzbanque.com
• Utilisation du locahost :
https://mabanque.moncompte.com
Sur le nom de domaine
https://*.moncompte.com
24

25. Sécurité maximum avec le SSL EV
https et non http Cadenas
SSL Extended Validation
Barre verte Nom légal de l’organisation
et code pays
www.keynectis.com appartient formellement à l’organisation Keynectis enregistrée en France
25

26. Guides pour les utilisateurs
26

27. Le SSL EV accroit la confiance
• 100% des participants remarquent si le site présente ou pas la
barre verte
• 93% des participants préfèrent acheter sur des sites qui
présentent la barre verte
• 97% sont plus enclins à partager les informations relatives à leur
carte de crédit sur les sites avec la barre verte
• 77% des participants reportent qu’ils hésiteraient à acheter en
ligne sur des sites qui avaient avant la barre verte et ne l’ont plus
In January 2007, Tec‐Ed5 researched usage and attitudes of 384 online shoppers and measured their responses to Web sites with and without green bars
27

28. L’offre Club
28

29. Principe de l’offre Club
1) Communique
une liste blanche de
nom de domaines
Organisation Autorité de Certification
3) Gère ses certificats SSL 2) Met à disposition une
interface pour gérer les
certificats en 24 / 7
29

30. Offre Club : Gestion des demandes
1) Soumet
Web Master
2) Valide
Opérateur
30

31. Sceau dynamique
Clique sur le sceau dynamique
31

32. Guides pour les utilisateurs
32

33. Server‐Gated Cryptographie ?
• Permet d’être en 128 ou 256 bits pour les très
anciens navigateurs (10 ans et +)
• 99,9% des navigateurs supportent le 128 et 256 bits
• Typologie d’utilisateurs sans sécurité et à risque
• Très anciens navigateurs avec des trous de sécurité
• Exemple de navigateur: IE 5 – RTM en Mars 1999
– Dernière version sans le 128 et 256 bits
• Recommandation: Ne pas installer le SGC
33

34. Part de marché des navigateurs
Microsoft Internet Explorer 8,0 30,07%
Firefox 4,0 10,46%
Microsoft Internet Explorer 6,0 10,18%
Chrome 12,0 7,32%
Firefox 3,6 7,08%
Microsoft Internet Explorer 7,0 6,58%
Microsoft Internet Explorer 9,0 5,63%
Safari 5,0 5,04%
Microsoft Internet
Chrome 11,0 3,93% Explorer 8,0
Firefox 5,0 2,05%
Opera 11,x 1,37%
Safari 4,0 1,33% Firefox 4,0
Firefox 3,5 1,10%
Netscape 6,0 0,87%
Firefox 3,0 0,75%
Chrome 10,0 0,62%
Opera Mini 4,1 0,35% Microsoft Internet
Opera Mini 4,2 0,31% Explorer 6,0
Safari on Windows 53 ‐ Maxthon Edition 0,26%
Opera 10,x 0,25%
Safari on Windows 5,0 0,24%
Chrome 13,0 0,24%
Chrome 12,0
Opera Mini 5,1 0,23%
Chrome 9,0 0,21%
Chrome 8,0 0,21%
Opera Mini 6,2 0,21% Firefox 3,6
Microsoft Internet Explorer 8,0 ‐ Maxthon Edition 0,20%
Safari 4,1 0,19%
Microsoft Internet Explorer 6,0 ‐ Tencent Traveler Edition 0,18%
Firefox 2,0 0,18%
Microsoft Internet Explorer 6,0 ‐ TheWorld Edition 0,17%
Microsoft Internet Explorer 8,0 ‐ TheWorld Edition 0,17%
Chrome 6,0 0,16%
Microsoft Internet Explorer 8,0 ‐ Tencent Traveler Edition 0,14%
Safari 41 0,13% données http://marketshare.hitslink.com/
Microsoft Internet Explorer 6,0 ‐ Maxthon Edition 0,12%
Microsoft Internet Explorer 7,0 ‐ Maxthon Edition 0,11%
Chrome 5,0 0,10%
Opera 9,x 0,10%
Chrome 7,0 0,09%
34

35. Support des Navigateurs
Navigateur SSL SSL EV Version actuelle
Internet Explorer 5+ 8+ 9
FireFox 2+ 3.5+ 4
Safari (Mac OSX) 4+ 4+ 5
Opera 9.5+ 11+ 11
Chrome/Android 1+ 6+ 12
Windows Phone 7+ N/A 7
Safari Mobile 1+ 5+ 5
Mini‐Opera 5+ N/A 6.2
RIM Black Berry 6.1+ N/A 6.0
pour le support d’autres navigateurs – nous contacter.
35

36. Promo: Signez les documents sur votre site !
Pour l’achat d’un certificat SSL Extended Validation 2 ans
Une clé K.Sign 2 ans offerte* (Valeur de 299€)
* Offre valable jusqu’au 31 décembre 2011.
36

37. Merci de votre attention.
11‐13 rue René Jacques ‐ 92131 Issy‐les‐Moulineaux Cedex France
+33 (0)1 55 64 22 00 ‐ www.keynectis.com

38. Les rôles
• Contact Technique :
– Fait la demande de certificat, peut ne pas faire partie de l’organisation
• Contact Administratif : (lister dans le whois)
– Approuve la demande de certificat, peut nommer le Contact Technique,
fait partie de l’organisation
• Contact Facturation :
– Paie la facture, peut ne pas faire partie de l’organisation
• Signataire du contrat :
– Signe le contrat, peut ne pas faire partie de l’organisation
• Propriétaire du nom de domaine:
– Est listé dans le whois, peut ne pas faire partie de l’organisation
38

39. Domain Validated
• Vérifications : le propriétaire du nom de domaine
accepte bien la création du certificat
• Méthode: Envoi d’un email pour confirmation à
l’adresse email dans le whois (Technical Contact,
Administrative Contact, Registrant Contact) ou à admin,
administrator, webmaster, hostmaster, or postmaster
(admin@domainname.com for example)
• Documents requis: Aucun
• Champs requis: CN, SAN, C
• Champs optionnels: OU (O, STREET et S sont vides)
39

40. Organization Validated
• Vérifications : le propriétaire du nom de domaine
accepte bien la création du certificat et l’organisation
possède bien le nom de domaine.
• Méthode: Appel téléphonique en passant par le
standard identifié via les pages jaunes. L’organisation
est bien celle mentionnée dans le whois.
• Documents requis: K.Bis ou équivalent
• Champs requis: CN, O, SAN, C
• Champs optionnels : STREET, S, OU
40