Menu
picture of tbs certificates
picture of tbs certificates
Les produits
Notre gamme
Partenaires
Support
Numéro vert
Focus


Always on SSL

La confiance en ligne


Est-il besoin de le rappeler ? La confiance est la pierre de voute qui rend possible tout échange en ligne particulièrement depuis l'explosion du e-commerce.

Cette démarche passe par l'assurance d'une sécurité fiable et donc par l'utilisation du protocole SSL/TLS.

Mais la démarche est bien souvent incomplète. Quand on ne sécurise que formulaire ou autres pages de paiement, il faudrait globaliser et assurer le HTTPS sur l'ensemble du site. C'est ce que propose aujourd'hui ALways On SSL.

Always On SSL, c'est quoi ?


Mis au point par l'OTA (Online Trust Alliance), Always On SSL est une suite de recommandations visant à garantir la sécurité de l'internaute dès son arrivée sur un site et jusqu'à sa sortie. Le principal levier de cette démarche étant l'extension de la sécurisation HTTPS à l'intégralité du site.

"Always On SSL n’est pas un produit, un service ou un système de remplacement pour un certificat SSL déjà existant, mais plutôt une approche à la sécurité qui reconnaît les besoins de protéger la session entière de l’utilisateur, et pas seulement l’ouverture de session."

Extrait des recommandations


  • ÉVITER LE CONTENU MIXTE

    Le contenu mixte se réfère aux pages web présentant à la fois du contenu sécurisé et du contenu non sécurisé.

  • ÉTENDRE LA SÉCURITÉ SSL À TOUTES LES PAGES DU SITE

    Le risque, en ne sécurisant que les pages de connexion, est notamment de négliger la confidentialité des informations contenues dans les cookies telles les données de session. Ces derniers, facilement interceptés par les hackeurs, leurs fournissent login, mots de passe et toute autre information leur permettant de pirater vos comptes (notamment sur les réseaux sociaux).



SideJacking : Récupération des informations contenues dans les cookies non sécurisés.
SSLStrip : Redirection des pages HTTPS vers leur version HTTP.


  • UTILISER HSTS

    Il s'agit d'une entête à configurer sur votre serveur et indiquant aux navigateurs que le site ne doit être contacté qu'en HTTPS. C'est le plus sûr moyen d'éviter une attaque de type Man In The Middle (MITM).

Pour en savoir plus


Documentation de L'OTA