Tag Archives: Website Security Solutions

Nuevos horizontes para los certificados SSL

      No Comments on Nuevos horizontes para los certificados SSL
The next change for SSL Certificates

Certificate Transparency (CT), o transparencia de los certificados, es una iniciativa de Google que aspira a registrar, auditar y supervisar los certificados que emiten las autoridades de certificación. El objetivo es evitar que estas emitan certificados de clave pública para un dominio sin que lo sepa el propietario del mismo. Dado que Chrome se acogerá a esta iniciativa, dicho navegador solo seguirá mostrando la barra de direcciones verde propia de los certificados SSL con Extended Validation si la autoridad de certificación emisora los ha registrado previamente en un servidor público y auditable que solo permita anexar datos. A continuación, explicamos en qué consiste exactamente el cambio y qué ayuda prestará Symantec a sus clientes para que la transición sea lo más sencilla posible.

ctblog-2.jpg

Medidas para asegurar que los certificados se emitan a quien corresponde

Los certificados SSL son esenciales para proteger a quienes compran por Internet, realizan operaciones de banca electrónica o, simplemente, consultan su correo electrónico. Estos certificados desempeñan dos funciones principales.

  1. En primer lugar, cifran la información que se intercambia entre el sitio web y el navegador de quien lo visita, de forma que sea imposible interceptarla.
  2. En segundo lugar, indican a los internautas a quién pertenece el sitio web, lo cual es igual de importante.   

 

Las autoridades de certificación que emiten certificados SSL con validación de empresa (OV) o con Extended Validation (EV), como es el caso de Symantec, siguen procedimientos de autenticación muy rigurosos. Sin embargo, no todas son iguales. Algunas han emitido certificados para sitios web destacados a personas no autorizadas que nunca deberían haberlos obtenido.

 

Si sucede algo así, es importante detectarlo a tiempo para evitar males mayores. La iniciativa Certificate Transparency (CT) tiene como objetivo facilitar este proceso.

brooks.jpg

La iniciativa CT, al detalle

Hay cuatro elementos que hacen posible esta iniciativa.

  1. Las autoridades de certificación.
  2. Los servidores de registro, que proporcionan un listado público de certificados SSL.
  3. Los auditores (en este caso, navegadores web o clientes que aceptan certificados SSL).
  4. Los llamados «monitores».

 

Una autoridad de certificación que desee cumplir los requisitos de la iniciativa CT deberá enviar toda la información relativa al certificado a uno o varios servidores de registro que tanto ella como los auditores consideren de confianza. El servidor aceptará el certificado y le facilitará una marca de verificación cifrada e imposible de manipular llamada SCT (Signed Certificate Timestamp). Al emitir el certificado, la autoridad de certificación deberá incluir al menos un elemento de prueba de este tipo, a no ser que se utilicen otros métodos, como los especificados en el apartado siguiente.

Diferencias entre el sistema TLS/SSL actual y el sistema TLS/SSL con CT

Cuando un navegador visita un sitio web protegido con tecnología SSL, realiza una serie de comprobaciones estándar para cerciorarse de que el certificado SSL sea válido. La iniciativa CT va más allá y convierte a los navegadores en «auditores» que comprueban si las SCT integradas en el certificado son válidas y si el número de elementos de prueba (que depende del periodo de validez del certificado) coincide con el estipulado en las directrices pertinentes. A la hora de validar las SCT, el navegador se basa en los servidores de registro que considera de confianza. Para dar las SCT por válidas, la clave pública del servidor de registro debe figurar en el listado de almacenes CT de confianza del navegador. Esto no significa que el navegador haga una comprobación en tiempo real en el servidor de registro: por ahora, solo Google Chrome tiene previsto incorporar la función CT, así que el papel principal del navegador es el de obligar a las autoridades de certificación a publicar los certificados que vayan a emitir e incorporar en ellos los elementos de prueba que lo demuestren.

Cualquiera podrá consultar los certificados que se han añadido hace poco a los servidores de registro. Basta con crear e implementar «monitores» que detecten si se han emitido certificados fraudulentos para determinados sitios web.

Los elementos de prueba SCT no solo pueden integrarse en los certificados SSL; también es posible «graparlos» a una respuesta OCSP o usar una extensión TLS, aunque estos métodos exigen conocimientos avanzados sobre configuración de servidores web.

 La iniciativa CT pretende dejar constancia de todos los certificados SSL emitidos en uno o más almacenes públicos. Si una autoridad de certificación decide no publicar los certificados SSL que emite en los servidores de registro, los navegadores podrán tenerlo en cuenta a la hora de decidir si los aceptan. A principios del año que viene, fecha prevista para la adopción inicial, Google Chrome dejará de mostrar la barra de direcciones verde si un certificado con EV no incluye las SCT que demuestren que está en los registros. Hay quien considera que, para detectar la emisión errónea de certificados, no es necesario crear almacenes públicos, sino que bastaría con pasar revista a todos los certificados accesibles públicamente. Sin embargo, esto llevaría mucho más tiempo que verificar las pruebas de publicación antes de aceptar un certificado. Por otro lado, la iniciativa CT solo funcionará si los navegadores son compatibles con ella; de lo contrario, la falta de «auditores de CT» y la escasa variedad de estos limitará su valor. Por ahora, de todos los navegadores más usados, solo Google Chrome tiene previsto adoptar este sistema. Además, existe otro problema: a menos que los servicios web y las aplicaciones para móviles y ordenadores se sumen a esta iniciativa, tampoco se logrará la eficacia deseada, pues dichos elementos también forman una parte esencial del entorno SSL.

Los «monitores de CT» permitirán detectar si se han emitido certificados por error sin necesidad de hacer un barrido completo de Internet, con el consiguiente ahorro de tiempo. Sin embargo, no todos los propietarios de un sitio web disponen de los recursos necesarios para crearlos y utilizarlos, así que es muy probable que solo las grandes empresas lo hagan.

CAA, una posible alternativa

La iniciativa CT no resuelve los errores relacionados con la emisión de certificados, pero sí facilita su detección. Hay otras soluciones, como el sistema CAA (Certification Authority Authorization), que utilizan mecanismos distintos para conseguir que solo se emitan certificados a quien corresponde. Con CAA, el propietario de un sitio web especifica en los registros DNS qué autoridad de certificación puede emitir certificados para su sitio web. Todas las autoridades de certificación que utilicen CAA deberían consultar esta información antes de emitir un nuevo certificado para comprobar si están autorizadas a hacerlo. Aunque respetar estos requisitos no es obligatorio, el sistema CAA podría ser igual de eficaz que la iniciativa CT si su aplicación se controlara mediante navegadores o auditores.

Apoyo a nuestros clientes

Symantec se pondrá en contacto con todos clientes que ya tengan certificados SSL con EV. En el caso de los certificados internos, les explicaremos cómo proteger los datos confidenciales para que no aparezcan en los registros de CT públicos. Los certificados SSL con EV externos se publicarán automáticamente en los registros de CT antes de febrero de 2015 para que, al acceder desde Chrome a los sitios web que protegen, siga viéndose la barra de direcciones verde. En adelante, los solicitantes de certificados SSL con EV podrán especificar si aceptan o no la publicación de sus certificados en los registros. Este artículo de nuestra base de conocimientos contiene más información al respecto.

Manténgase al día de las novedades

Síganos en Twitter o Facebook para estar al corriente de las últimas noticias sobre seguridad y de las nuevas entradas de nuestro blog. También le invitamos a pasarse por nuestro foro de asistencia, en el que encontrará consejos y soluciones a los problemas más frecuentes.

Certificate Transparency

      No Comments on Certificate Transparency
The next change for SSL Certificates

The next change for SSL Certificates

Certificate Transparency (CT) is a Google initiative to log, audit, and monitor certificates that Certificate Authorities (CAs) have issued.  CT’s intent is to prevent CAs from issuing public key certificates for a domain without the domain owner’s knowledge.  Chrome support for CT requires that all CAs log all Extended Validation (EV) SSL certificates in publicly auditable, append-only logs for the green address bar to appear in Chrome.  Read more to understand this change within SSL and how Symantec plans on supporting their customers through this transition. 

 

Impeding Mis-Issuance

SSL certificates are a critical and an integral part of online security when it comes to e-commerce, online banking, or simply checking your email.  An SSL certificate performs two main functions.

  1. It enables encryption between client browser and the website so that no one else can interpret the information exchanged between the two.
  2. Equally important, it provides trusted identity information about the website to the end user.   

 

Certification Authorities (CAs) that issue SSL certificates, like Symantec, rigorously validate this trusted information. CAs invest heavily in validating an organization’s information and ownership of the website before they issue Organization (OV) or Extended Validation (EV) certificates.  However, not all CAs are created equal and in the past some have issued certificates for prominent websites to unauthorized parties.

 

Detecting mis-issuance in a timely manner can be very important in mitigating further misuse of fraudulent certificates.  Certificate Transparency (CT) provides a viable mechanism to address this issue. 

 

ctblog-2.jpg

 

How CT Works

There are four main participants in CT:

  1. CAs,
  2. Log servers that act as public repository of SSL certificates,
  3. Auditors (web browsers or any client that accepts an SSL certificate), &
  4. Monitors.

 

Before issuing an SSL certificate, a participating CA sends all information about that certificate to one or more log servers, which are trusted by the CA and auditors. The Log server accepts the certificate and issues a cryptographically tamperproof unique verification (Signed Certificate Timestamp – SCT) to the CA.  While issuing the certificate, the CA then includes such proof(s) inside the certificate. There are other ways to deliver these proofs but we will discuss them later in this blog.

brooks.jpg

The current TLS/SSL system vs. TLS/SSL with CT

When a browser visits an SSL enabled website, it first validates the SSL certificate against various industry defined checks.  CT proposes that browsers who perform an auditor’s role in CT should also check for the SCT proofs included with the certificate.  CT provides a guideline on how many proofs a certificate should have based on validity period of the certificate.  A browser checks the SCT proofs based on the log servers it trusts.  For a SCT proof to be valid, a browser must have the issuing log server’s public key in its CT trust store. It is important to note here that the browser does not make a real-time check with the log server. As of today only Google Chrome has planned to support CT. The browser’s role in CT is mainly to enforce that CAs publish certificates they are going to issue and include proof(s) of such publication.

CT monitors can be developed and deployed by anyone who wants to keep reviewing newly added certificates to log servers. The intention here is by monitoring log servers one can detect mis-issued certificates for specific websites.

Apart from embedding SCT proofs in SSL certificates they can be delivered as a TLS extension or via OCSP stapling. These methods require advance configurations on web servers.

CT is a good attempt to make available all issued SSL certificates in one or more public repositories. If a CA decides not to publish the issued SSL certificates to log servers then browsers can decide on how to treat that certificate. In its initial proposal, sometime early next year, Google’s Chrome browser will not be showing the “green browser bar” for EV certificates that do not include the required CT proofs with them. One can argue that instead of creating public repositories one can look at all publicly accessible certificates to detect mis-issuance. However, this may be more time consuming than just checking the proofs of publication before accepting a certificate. Thus the intrinsic value of CT is created by the enforcement of the browser(s). In the absence of a vast and diversified pool of CT auditors, it will not provide the full value it promises. At this time, except for Google Chrome, there are no published plans from any other major browsers to support CT.  Additionally, desktop applications, mobile applications, and web services that are part of SSL ecosystem need to participate in CT for it to be truly effective.

CT monitors will be a good mechanism to detect mis-issuance relatively quicker than crawling the entire web. However, not every website owner will have resources to build and run such monitors. Only big companies are likely to build such monitors to detect any mis-issuance.

CAA, an Alternative?

One important thing to note is CT does not solve the problem of mis-issuance but makes it easier to detect errant issuance.  There are other solutions like CAA, which focuses on preventing mis-issuance but in a different way.  In CAA, a website owner specifies in the DNS records which CA can issue certificates to its website.  Every CA that supports CAA is supposed to check for such authorization before issuing a certificate.  One can argue that this is not mandatory but if auditor/browser enforcement is designed similar to what is present in CT, then CAA can be effective in preventing mis-issuance.

Data Privacy Challenges

From a privacy angle CT poses a challenge.  If an authorized website owner for some reason does not want to publish its certificate details publicly then EV certificates may not work properly with browsers that enforce CT. Just think about a certificate issued for an internal website for a new product to a company that fiercely guards its new product information from being leaked, or a classified government project.  CT must include a way to respect and handle such privacy.

How Symantec Helps

For customers with existing EV SSL certs, we will be reaching out to understand your privacy requirements on internal EV SSL certificates.  We want to make sure that internal data remains internal and not be listed on public CT logs.  External EV SSL certificates will be automatically published on the CT logs before February 2015 to help ensure that the corresponding external sites continue to be highlighted with the green address bar on Chrome.  Future EV SSL certificates will come with an option to be published on the logs.  To learn more please visit our knowledge base article.

Stay in Touch

Follow us on Twitter or Facebook to be kept apprise of the latest in security news and our latest blogs.  Visit our support forum as well to get user hints and solutions to common user issues. 

 

 

 

 

The Future of SSL Encryption

      No Comments on The Future of SSL Encryption

Most of you reading this will immediately connect the acronym “RSA” with the encryption algorithm invented in 1977 by Rivest, Shamir and Adleman and which is still today the most-adopted in Public Key Infrastructure (PKI) systems, such as SSL. Through a mathematical process that remains ingenious even by modern standards its merits are strong, but the world changes very quickly in technology and the paint on the RSA algorithm is starting to crack. Some RSA key lengths have been successfully broken over the years, and RSA-1024 was deprecated by the industry for Public CA use before any hack could be proven, but it would only have been a matter of time.

Today’s regulations mandate a minimum of 2048 bits for keys in public SSL certificates, but since there is no randomization in the RSA process, the availability of greater computing power will eventually make attacks on longer key lengths feasible. This will not happen for the foreseeable future to 2048 bit keys, but takes us to the next concern.

ssl-blog.jpg

Our modern lives rely more and more on smaller devices, down to “smartwatches”, but we still expect our data to be kept secure by them as it would be on our traditional computers. Smaller devices pose two problems though. First, they have comparably low computing power, and second they are used in mobility, meaning they rely on batteries to work, making every minute of battery life truly important.

With the increasing key lengths required for the decryption of even common services secured by an SSL certificate, there comes an issue about the amount of time and power a small device will need to calculate its share of a certificate key. But help is at hand through Symantec, and has been available for several months now, in a publicly-available production environment. Meet Elliptic Curve Cryptography, a.k.a. ECC, a part of Symantec’s public SSL certificate offering.

ECC is a newer mathematical algorithm that came into widespread use in 2005, and which solves the two issues above by providing a better level of security through shorter key lengths: an ECC key of only 256 bits will provide a security level comparable to RSA with 3072 bit keys. ECC can further be coupled to other smart encryption technologies such as Diffie-Hellmann, and raise the security offered by ECC SSL certificates through a technique called Perfect Forward Secrecy (PFS), where the session keys are “exchanged” periodically and implicitly and therefore even a captured encrypted data stream will at best only be decipherable in part. Thus, the eavesdropper stands a minimal chance of guessing a quantity of key pairs that would make any sense out of the data in his possession.

Are you unsure about leaving your users on legacy systems in the dark at this point? ECC certificates can be configured to serve both ECC and RSA intermediates, guaranteeing that the certificate chain will still function correctly to anyone on Windows XP. Symantec is already using ECC roots so we are well-equipped for the future. And using ECC SSL will decrease your power bill, because the math needed in the process is calculated easily by modern processors since the functions are built in.

So, with Symantec’s SSL certificates you have access to the future of encryption today, allowing you to save on your server resources, providing higher security to your users, and a better (and faster) user experience especially when in mobility. At Symantec our prime mission is to keep ahead of the next big thing in digital security, so you can do what you do best: your business. Do get in touch; we’d love to hear from you.

?????????????????(CSRF,?CWE-352)????

      No Comments on ?????????????????(CSRF,?CWE-352)????
クロスサイトリクエストフォージェリ(CWE-352)

このブログではウェブサイトやその上で動作しているウェブアプリケーションの脆弱性について紹介すると共に注意喚起をする目的でまとめられています。
今回は代表的なWebアプリケーション脆弱性であるクロスサイトリクエストフォージェリについて解説をしています。

????????????(CWE-22)???

      No Comments on ????????????(CWE-22)???
ディレクトリトラバーサル(CWE-22)

このブログではウェブサイトやその上で動作しているウェブアプリケーションの脆弱性について紹介すると共に注意喚起をする目的でまとめられています。
今回は代表的なWebアプリケーション脆弱性であるディレクトリトラバーサルについて解説をしています。

Google’s SHA-1 Deprecation Plan for Chrome

      No Comments on Google’s SHA-1 Deprecation Plan for Chrome

The latest news in the SSL and web browser industries is Google’s plans to deprecate SHA-1 in a unique way on upcoming releases of Chrome starting with version 39. Considerably different from Microsoft’s plans that were announced in November 2013, Google plans on placing visual marks or placing a block within the browser; all based on the version of the browser, date of use and certificate’s expiration date.

Here is what you need to know first:

  1. SHA-1 is still safe to use but critics say its long-term ability to stand up to collision attacks is questionable.
  2. SHA-2 is the next hashing algorithm to be used.  If your end-entity or intermediate certificates are SHA-1, it might be a good idea to exchange them now.
  3. This issue faces all Certification Authorities, not just Symantec.
  4. All SHA-1 end-entity certificates and SHA-2 end-entity certificates chaining up to a SHA-1 intermediate are affected. SHA-1 root certificates are not affected by either Microsoft’s or Google’s SHA-1 deprecation plan.
  5. Google is using three terms that you may want to familiarize yourself with:
    1. secure, but with minor errors,
    2. neutral, lacking security, and
    3. affirmatively insecure.
  6. Symantec offers free replacements for affected Symantec SSL certificates.

What we expect to see with future Chrome releases:

Chrome 39 (Beta release: 26 September 2014, tentative production release: November 2014):

  1. Any SHA-1 SSL certificate, on a page, that expires on or after 1 January 2017 will be treated as “secure, but with minor errors”.  The lock within the address bar of the browser will have a yellow arrow over the lock as in this example provided by Google:

google-blog-1.png

 

Chrome 40 (Beta release: 7 November 2014, tentative production release: post-holiday season):

  1. Pages secured with a SHA-1 certificate expiring between 1 June 2016 and 31 December 2016 inclusive will experience the same treatment as described above.
  2. Additionally, pages secured with a SHA-1 certificate expiring after 1 January 2017 will be treated as “neutral, lacking security”.  The lock in the address bar will be replaced by a blank page icon as in this example provided by Google:

google-blog-2.png

 

Chrome 41 (Q1-Q2 2015):

  1. Sites secured with a SHA-1 certificate with validity dates terminating between 1 January 2016 and 31 December 2016 inclusive will be treated as “Secure, but with minor errors.”
  2. Sites secured with a SHA-1 certificate expiring on or after 1 January 2017 will be treated as “affirmatively insecure”.  The lock will have a red “X” over it with the letters “HTTPS” crossed out with a red font as in this example provided by Google.

google-blog-3.png

 

Here is a matrix to help you understand the dates:

 

Sample Expiration Dates

Chrome Version (Beta dates)

SHA-1

(Dec 31 2015)

 

SHA-1

(Jan 1 – May 31  2016)

SHA-1

(Jun 1 – Dec 31 2016)

SHA-1

(Jan 1 2017 and beyond )

Recommended:

SHA-2

Chrome 39

(Sept. 2014)

google-blog-4.png

google-blog-4.png

google-blog-4.png

google-blog-5.png

google-blog-4.png

Chrome 40

(Nov. 2014)

google-blog-4.png

google-blog-4.png

google-blog-5.png

google-blog-6.png

google-blog-4.png

Chrome 41

(Q1 2015)

google-blog-4.png

google-blog-5.png

google-blog-5.png

google-blog-7.png

google-blog-4.png

Moral of the story: Move to SHA-2, especially if your SSL certificate expires after December 2015.

 

What you need to do.

  1. Use our SSL Toolbox to see if your certificates are affected.  SHA-1 SSL certificates expiring before 2016 are NOT affected and can be replaced with a SHA-2 certificate at renewal time if you wish.
  2. If your Symantec certificates are affected you can replace them at no additional charge for a SHA-2 certificate, or a SHA-1 certificate with a validity that does not go past 2015.  Check with your vendor if they have a free replacement program like Symantec.
  3. Install your new certificates.
  4. Test your installation using the SSL Toolbox.
  5. Security Best Practice:  Revoke any certificates that were replaced in step #2.

For more in-depth information, instructions, and assistance please refer to our knowledge center article on this subject.  For a list of SHA-2 supported and unsupported applications review this list from the CA Security Council.

Read our SHA-2 webpage for the tools, steps to take, and a list of FAQs that can be generally applicable across all browsers.

Extended Validation Solutions for SMB Ecommerce success: Secure128

      No Comments on Extended Validation Solutions for SMB Ecommerce success: Secure128

Guest Blogger: John Monnett, V.P. & Partner, Secure128
Website Security Platinum Partner

secure128.png

Shopping Cart Abandonment is a Staggering 70%

In 2014 we’re living through an online revolution. When I started my university undergrad work in 1991, there was virtually no such thing as “e-commerce” as we know it today. In 2014, worldwide business-to-consumer ecommerce sales are estimated to reach nearly $1.5 Trillion.

How can those of us SMB owners capture a share of the ecommerce market most efficiently? There are many contributors to that conundrum, but one of the simplest ways to decrease website shopping cart abandonment is by increasing the level of trust that visitors have in your website—from the moment they arrive. Shopping cart abandonment rates average a staggering 70%, and a key driver of abandonment is lack of visitor trust at the moment of truth: the transaction.

 

How Can SMBs Compete and Reduce Shopping Cart Abandonment?

Most SMB website operators don’t have the same level of brand recognition and trust that companies like Ebay, Bank of America and Symantec have built over time. Instead, sites like ours only have a brief moment to establish the same, irrefutable level of confidence as the big names.  We need to leverage a combination of credible tools like the Extended Validation green bar, an HTTPS “always on” encrypted site and trust seals from Symantec, the leader in online trust. They help us:

• Secure our websites properly

• Prove our legal identity to visitors

• Align our web properties with the most recognizable security brands

We do business with Symantec because they have an extensive portfolio full of “Right for Me” solutions to help Secure128 and our customers. They have the right solution for every SSL/website security need to help inspire the same level of trust as our larger, widely recognized competitors and to level the playing field.  So instead of trying to compete on brand recognition against the larger, more established companies, we can absolutely compete on trust and security.    

Always On SSL + Extended Validation: A Powerful Advantage for SMBs

Securing our websites is most effectively done with encryption via SSL Certificates. And now “Always On SSL” with HTTPS encryption is becoming the security standard of web giants such as Paypal, twitter, facebook, etc. Even to the point that now Google is boosting rankings for HTTPS/SSL websites . Deploying SSL certificates across all website properties is no longer an option; it’s a requirement of operating an effective and secure business online. From a revenue increase perspective, the problem is that basic SSL certificates (also called DV or Domain Validated SSL) provide encryption only. The biggest mistake most website operators make is only encrypting their websites and providing visitors no way of verifying their true business identity.

For example, when shopping online for that perfect gift, your search lands you on a website you’ve never heard of with no easy way to verify who really owns and operates the website. Only Extended Validation (EV) SSL Certificates were created to bridge the gap between encryption AND ownership validation of websites. EV SSL Certificates not only verify domain ownership, but also the legal and governmental business registration status of the certificate/website owner. This information is then displayed at the browser URL level:

A simple click on the padlock will verify the physical location where each EV SSL website organization is registered to do business. The EV SSL functionality standards are standardized by a Certificate Authority / Browser regulatory group, and audited annually for Webtrust certification. Now, what does this mean to a website visitor and potential online customer? It means that no matter how non-technical they may be, the green URL bar displaying the website’s legal owner is going to be hard to miss, and has been proven to instill more trust in the website’s visitors and increase conversion rates.

 

The Leader in Online Trust, Always the Right Solutions

With every Certificate Authority offering their own brand of EV SSL options, decisions in making the selection that is right for your business comes down to both price and which brand is going to be most recognizable to your site visitors. In an independent 2013 survey by the Baymard Institute, all three of Symantec’s EV capable SSL branded site seals were ranked in the top 7 most recognized (Symantec, thawte & GeoTrust).

When you look at Symantec’s complete solutions portfolio, you’ll see the widest range of value, functionality and proven results for Symantec’s three SSL brands, especially when it comes to EV products. Symantec is is quite flexible for all website budgets making it easy to choose the right solution for you. For high volume web properties, brand recognition and performance issues take priority which makes Symantec’s industry-first Elliptic Curve Cryptography (ECC) Algorithm my EV SSL option of choice for larger e-commerce sites.

In the bigger picture, all of us web based business operators are trying to achieve similar goals of growing website traffic, boosting conversion rates, and increasing our online sales revenues. All of us invest significant resources into our websites in terms of design & development, marketing, advertising, security, etc.

Given those common goals, if I could tell you that by converting your entire sitemap to HTTPS using Extended Validation SSL from one of Symantec’s globally recognized brands (Symantec, thawte, or GeoTrust), you could significantly increase your online sales revenue and only increase your annual budget by a fraction of a percentage…   would you do it?

My fellow website operators, that’s exactly what I’m telling you!

Better Website Security and Google Search Rankings for SMB’s with Always On SSL.

      No Comments on Better Website Security and Google Search Rankings for SMB’s with Always On SSL.

always-on-ssl-blog-1.jpg

Often considered the backbone of global business, SMBs are a unique mix of entrepreneurial drive, daring ingenuity and highly customer-centric practices.

SMBs need to compete in the virtual marketplace with players of all sizes, where square footage doesn’t matter; they are forever seeking ways to stay competitive. One arena where they have a greater chance to level the playing field is in the virtual marketplace.  They have more opportunities to take advantage of a variety of digital platforms, from Web-based businesses and social media outlets to SEO to mobile devices, all for a faster time to market. The Internet allows SMBs to use their limited budgets in ways that they can impress customers and help their brand become more relevant and recognized—even amidst enterprises with extensive budgets and brand

What can SMBs do to stay competitive and maneuver quickly in the digital world, without compromising data security or breaking their wallet?  The answer is “Always On SSL” from Symantec, also known as HTTPS everywhere. It’s ideal for SMBs working online, and supported by major digital players like Google, PayPal, Facebook, Twitter and Microsoft. Keep reading to learn how this powerful form of SSL will completely secure your data in transit and help improve search result rankings.

 

THE COMPLETE SSL SOLUTION: BROUGHT TO YOU BY THE LETTER “S”

Imagine locking the front door to your home but leaving the back door wide open. That is essentially what happens when websites use common HTTP SSL, otherwise known as “Intermittent SSL”, to protect only certain pages, like logins and transactions. Some companies think they are protected against data theft and hacking by only applying “Intermittent SSL” to one or two areas of their site but they are really leaving the rest of their site completely exposed and vulnerable to attacks such as Sidejacking.

How can you protect every page of your website, and keep your customers safe? With Always On SSL from Symantec.

 

ALWAYS ON SSL MEANS ALWAYS SECURE AND ALWAYS CONFIDENT.    

As a member of the Online Trust Alliance and CAB Forum, Symantec has always advocated Always On SSL, which means that each and every page on a website has an HTTPS:// (i.e. SSL certificate), and not just the login and transaction pages. Moving from an “http” site to a fully “https” secure site is the only way to 100% ensure that every interaction with every page of your website is completely encrypted—from the moment a visitor arrives to the moment they leave. Protecting login and transaction areas alone doesn’t prevent hackers from stealing the cookies that store a user’s session. If those cookies are stolen, attackers can use them to recreate a website session and gain access to all kinds of sensitive data—over and over again. Slidejacking (using Firesheep) and SSL Strip are common types of attacks that prey on vulnerable sites with limited security. In the end, unprotected pages and their associated cookies negate any effort and expense put toward protecting login and transaction areas with Intermittent SSL.

always-on-ssl-blog-2.jpg

 

 THE FINANCIAL IMPLICATIONS OF DATA BREACHES

To put end-to-end data protection in financial perspective, in the US alone, in 2012, almost 35,000 data breaches occurred—with over 100,000 data breaches worldwide. It cost US businesses $5.4 million to find the causes of these breaches, including direct expenses like data forensic experts and hotline support for free credit monitoring and indirect expenses like in-house investigations and communications and lost customers.* Malicious or criminal attacks were the main causes of data breaches, and they could have been reduced, prevented and even anticipated with Always On SSL. 

* 2013 Cost of Data Breach Study: Global Analysis, Ponemon Institute

 

GOOGLE IS NOW GIVING MORE VALUE TO SITES THAT ARE PROTECTED WITH ALWAYS ON SSL OR HTTPS—AND SO SHOULD YOU

One major endorsement of Always On SSL –specifically end-to-end HTTPS encryption—came from Google on August 6th, 2014 via its Online Security blog. The plan is to give more weight—or better search ranking results—to sites that are fully HTTPS encrypted. And the reason is pretty simple, according to Google Webmaster trends analysts Zineb Ait Bahajji and Gary Illyes. “We’d like to encourage all web site owners to switch from HTTP to HTTPS to keep everyone safe on the web. A big part of that is making sure that web sites people access from Google are secure.” Their message couldn’t have been clearer: “We hope to see more web sites using HTTPS in the future.”  It’s about encouraging sites to change the way they protect themselves for the better—and to fully protect data in transit all over the web. You can see a full Google presentation on the importance and implications of HTTPS here.

 

HTTPS HELPS SMBs COMPETE BETTER

Protecting your site with HTTPS can help SMBs compete better in the virtual marketplace by:

• Improving brand recognition in Google rankings—especially against larger companies who may not have embraced HTTPS. At the very least, SMBs can benefit from a level playing field by adopting HTTPS.

• Making the most of better search results, Symantec’s Seal-in-Search™ can lead to a higher click-through rate by displaying the Norton™ Secured Seal—the most recognized trust mark on the Internet—right in the search result.

• Strengthening brand and reputation by showcasing your commitment to online security.

• Increasing transactions and conversion rates.

• Protecting the entire user experience and all data in transit—not just at login or during a transaction.

• Using Extended Validation for the highest visible display of trust.

Symantec has a variety of proven Right for Me SSL solutions from our multi-brand portfolio. We can help any kind of business choose the “Always On SSL” solution that best meets your needs—from a single SSL cert to Wildcard and SAN certificates to Extended Validation certificates, which displays the green bar. All of our certificates feature the highest level of encryption, protecting data in transit such as identities, cookies and financial information.

 

ALWAYS ON SSL ISN’T NEW, BUT ITS TIME HAS COME

For years Always On SSL has been advocated by industry leaders, including Microsoft, PayPal, Facebook and Twitter. Together with Symantec, they are part of the Online Trust Alliance (OTA), whose mission is to enhance online trust and empower users, while promoting innovation and the vitality of the Internet. “It is incumbent on all of us to work together to implement web security best practices to protect consumers from harm,” according to the OTA’s white paper. “The general state of online security throughout the industry has reached a tipping point, and websites must change in order to preserve end-to-end trust and consumer confidence. One of the most important benefits of Always On SSL is customer reassurance.

 

WHAT YOU CAN DO FOR COMPLETE WEBSITE SECURITY

Here are some steps you can take to ensure end-to-end protection with “Always On” HTTPS:

1. Enforce Persistent HTTPS on Every Web Page

Secure clients’ personal information, identities, and cookies by having https enabled for every web page. Learn more here.

2. Ensure Correct Implementation of Your SSL Certificates

To enable HTTPS, you should use a valid SSL/TLS certificate from a trusted certificate authority (CA) like Symantec, telling your customers that the domain’s identity has been verified and authenticated by a trusted source.   Learn more here.

3. Set the Secure Flag for All Session Cookies

A session cookie can be set with an optional “secure” flag, which tells the browser to contact the origin server using only HTTPS whenever it sends back a cookie. This will also enable reliable, proactive HTTPS protection and reporting.

4. Enhance Security and Trust with Extended Validation Certificates

To reassure customers of a website’s value and security, use an Extended Validation (EV) SSL certificate from Symantec. The green address bar provides an organization’s name right in the cert and visually makes customers feel more secure of a website operator’s identity reassuring your clientele they are safe to proceed on your website.

For more insight, try these articles:

Google smiles on safer connections (Internet Retailer August 8, 2014)

Understanding Always On SSL and SEO (Symantec | Connect January 2014)

Proteja su sitio web y mejore su posicionamiento en Google con Always On SSL

      No Comments on Proteja su sitio web y mejore su posicionamiento en Google con Always On SSL

Websites using https boosted in google rankings

Las pymes ofrecen una mezcla inigualable de iniciativa, inventiva y atención al cliente; para muchos, son el pilar que sustenta el comercio global.

Hoy en día, las pymes deben competir contra rivales de todos los tamaños en el mercado virtual. Por suerte para ellas, el éxito de una empresa en Internet no depende de la superficie de su oficina, sino de su competitividad. De hecho, la agilidad de las pymes hace que sean las primeras en sacar partido de las plataformas digitales (comercio online, posicionamiento en buscadores, redes sociales, dispositivos móviles…). Gracias a Internet, las pymes pueden impresionar a sus clientes y dar a conocer su marca con un presupuesto muy limitado, aunque su mercado esté dominado por competidores de mayor renombre y presupuesto.

Una de las iniciativas que puede ayudar a las pymes a adelantarse a sus rivales en el mundo digital es adoptar el sistema Always On SSL de Symantec, también conocido como «HTTPS Everywhere». Esta tecnología de seguridad está al alcance de cualquier presupuesto y está especialmente indicada para pymes que operan a través de Internet. Además, cuenta con el respaldo de empresas clave de la esfera digital, como Google, PayPal, Facebook, Twitter y Microsoft. Siga leyendo para descubrir este tipo de SSL, que le ayudará a proteger los datos en tránsito y a mejorar su posicionamiento en los buscadores.

Descargue hoy mismo nuestras infografías

 

UNA SOLUCIÓN SSL COMPLETA, CORTESÍA DE SYMANTEC

Imagínese que sale de casa y cierra la puerta principal, pero se deja la puerta trasera abierta de par en par. Algo así ocurre cuando una empresa decide proteger con SSL solo algunas partes de su sitio web, como las páginas de inicio de sesión y pago. Muchas empresas creen que este tipo de seguridad —también conocido como «SSL intermitente»— las protege adecuadamente contra los hackers y fugas de datos, pero en realidad deja todo el resto de su sitio web expuesto y vulnerable ante ataques como el «sidejacking».

Por suerte, existe una solución para proteger el conjunto del sitio web y garantizar la seguridad de los clientes: la tecnología Always On SSL de Symantec.

 

ALWAYS ON SSL: SEGURIDAD Y CONFIANZA CONTINUAS

Como integrante de la Online Trust Alliance y del Certification Authority/Browser (CAB) Forum, Symantec es un firme partidario de la tecnología Always On SSL. Al contrario que el SSL intermitente, que se limita a proteger partes específicas del sitio web, este sistema hace que todas las comunicaciones entre un sitio web y un usuario se efectúen mediante el protocolo HTTPS y estén protegidas por un certificado SSL. Adoptar el protocolo HTTPS en todas las páginas es la única forma de garantizar que todas las interacciones entre el sitio web y el visitante, desde que este llega hasta que se marcha, estén cifradas. Si solo protege con HTTPS las páginas de inicio de sesión y pago, los hackers podrán robar las cookies donde se almacenan las sesiones abiertas del usuario para acceder a todo tipo de información confidencial. De hecho, existen herramientas diseñadas especialmente para explotar este tipo de vulnerabilidades, como Firesheep (usada para ataques de sidejacking) y SSLStrip. En definitiva, por mucho dinero y esfuerzo que invierta en proteger las secciones clave de su sitio web con SSL intermitente, todo su trabajo puede caer en saco roto mientras siga teniendo páginas (y cookies) desprotegidas.

SSL secure sites get ranking boost

 

El COSTE DE LAS FUGAS DE DATOS

Bastan unas pocas cifras para poner de relieve la importancia económica de la protección integral de datos: a lo largo de 2012 se produjeron casi 35 000 fugas de datos solo en EE. UU.; a escala mundial, la cifra supera las 100 000. El coste para las empresas estadounidenses fue de 5,4 millones de dólares, entre gastos directos (contratación de expertos en informática forense, atención telefónica a los clientes afectados…) e indirectos (auditorías, comunicación interna, pérdida de clientes, etcétera). Estas fugas de datos se debieron en su mayoría a ataques malintencionados o criminales, y a menudo podrían haberse anticipado y evitado si las empresas afectadas hubiesen usado Always On SSL.

* Ponemon Institute, 2013 Cost of Data Breach Study: Global Analysis.

 

GOOGLE VALORA MÁS LOS SITIOS PROTEGIDOS CON HTTPS O ALWAYS ON SSL. ¿Y USTED?

La tecnología Always On SSL (y, más concretamente, el cifrado HTTPS integral) recibió recientemente un fuerte espaldarazo por parte de Google. En un post del pasado 6 de agosto en su blog sobre seguridad en Internet, el motor de búsqueda anunció su intención de dar más «peso» (es decir, un mejor posicionamiento) a los sitios web que usen el protocolo HTTPS en todas sus páginas. Según Zineb Ait Bahajji y Gary Illyes, analistas de tendencias de administración web de Google, la razón es muy sencilla: «queremos animar a los administradores a pasar de HTTP a HTTPS para proteger a todos los usuarios de Internet. Una de nuestras principales aspiraciones es conseguir que todos los sitios web a los que accedan los usuarios a través de Google sean seguros». Por si la idea no hubiera quedado clara, añadieron: «esperamos ver más sitios web protegidos con HTTPS en el futuro». Con esta iniciativa, Google pretende conseguir que las empresas mejoren sus medidas de seguridad en Internet y, al mismo tiempo, ayuden a proteger los datos que circulan por la web. Si desea ver una presentación de Google sobre la importancia y las consecuencias de adoptar HTTPS, haga clic aquí.

 

ADOPTAR HTTPS AYUDA A LAS PYMES A COMPETIR

Las pymes que protegen su sitio web con HTTPS disfrutan de varias ventajas que les permiten competir mejor en Internet:

• Consiguen un mejor posicionamiento en los resultados de Google, especialmente frente a empresas de mayor tamaño que tal vez aún no hayan dado este paso. Si sus rivales ya lo han hecho, adoptar el protocolo HTTPS les permite competir en igualdad de condiciones.

• La tecnología Seal-in-Search™ de los certificados de Symantec les permite aprovechar aún más este posicionamiento, ya que hace que la marca de confianza más conocida de Internet aparezca junto a su enlace en los resultados de la búsqueda.

• Al demostrar su compromiso con la seguridad en Internet, mejoran su imagen de marca y su reputación.

• La percepción de seguridad aumenta el volumen de las transacciones y las tasas de conversión.

• Los usuarios están protegidos durante todas sus interacciones con el sitio web, no solo al iniciar sesión y al pagar.

• En combinación con los certificados Extended Validation, proporcionan un indicador visual que inspira la máxima confianza.

Symantec cuenta con un amplio catálogo multimarca de soluciones SSL para empresas de todo tipo. Nuestros comerciales le ayudarán a elegir la solución Always On SSL más adecuada a sus necesidades, ya sea un certificado SSL estándar, un certificado Wildcard o SAN o un certificado con Extended Validation, que hace que la barra de direcciones se ponga de color verde y muestre el nombre de su titular. Todos nuestros productos ofrecen los máximos niveles de cifrado y seguridad para la información en tránsito, ya se trate de credenciales de autenticación, cookies, datos financieros…

 

HA LLEGADO LA HORA DEL ALWAYS ON SSL

La tecnología Always On SSL cuenta desde hace años con el respaldo de los gigantes del sector, como Microsoft, PayPal, Facebook y Twitter. Al igual que Symantec, estas empresas forman parte de la Online Trust Alliance (OTA), cuyo cometido es informar a los internautas, aumentar la confianza en la web y fomentar la innovación y la vitalidad de Internet. Tal y como señala el libro blanco de la OTA, «todos debemos trabajar en equipo para implantar las prácticas recomendadas de seguridad online y proteger a los consumidores. La evolución de la seguridad en Internet ha alcanzado un punto de inflexión, y los sitios web deben cambiar para conservar la confianza de los consumidores y asegurar la protección integral de las transacciones». No en vano, uno de los beneficios más importantes de la tecnología Always On SSL es la tranquilidad que proporciona a los clientes.

 

COMPLETE LA SEGURIDAD DE SU SITIO WEB

He aquí los pasos que debe seguir para proteger de forma integral su sitio web con HTTPS y Always On SSL:

1) Imponga el uso del protocolo HTTPS en todas las páginas

Al activar HTTPS en todas las secciones de su sitio web, protegerá la identidad de sus clientes, así como sus datos personales y sus cookies. Infórmese aquí.

2) Compruebe que sus certificados SSL están bien configurados

Para activar el protocolo HTTPS, debe tener un certificado SSL/TLS válido y emitido por una autoridad de certificación de confianza, como Symantec. Así, sus clientes sabrán que el propietario de su dominio está verificado y autenticado por una entidad fiable. Infórmese aquí.

3) Active la marca de seguridad en todas las cookies de sesión

Las cookies de sesión pueden incluir una marca de seguridad opcional que obliga al navegador a usar el protocolo HTTPS cada vez que las transmita al servidor de origen. Así conseguirá una protección fiable y proactiva, y además dispondrá de información más detallada sobre el tráfico de cookies.

4) Potencie la confianza y la seguridad con los certificados Extended Validation

No hay nada como los certificados SSL con Extended Validation (EV) de Symantec para convencer a sus clientes de la seguridad de su sitio web. Al acceder a un sitio web con un certificado EV, la barra de direcciones se pone de color verde y muestra el nombre de la empresa. Gracias a este indicador visual, los clientes saben que la identidad del propietario ha sido verificada y que pueden continuar con total seguridad.

Para obtener más información, lea estos artículos:

Google Rewards Secure Websites with Higher Search Ranking (blog, en inglés)

Google smiles on safer connections (Internet Retailer, 8 de agosto de 2014, en inglés)

Understanding Always On SSL and SEO (Symantec | Connect, 29 de enero de 2014, en inglés)

 

PME : protégez votre site Web pour remonter dans les classements Google avec Always-On SSL.

      No Comments on PME : protégez votre site Web pour remonter dans les classements Google avec Always-On SSL.

Websites using https boosted in google rankings

Souvent considérées comme le poumon de l’économie mondiale, les PME conjuguent esprit d’entreprise, ingéniosité, audace et orientation client.

Dans la net-économie, où la taille physique d’une entreprise importe peu, les PME rivalisent avec des acteurs de toutes tailles. Et s’il est un domaine où elles ont toutes les chances de faire jeu égal avec les grands groupes, c’est bien dans l’univers dématérialisé. Elles recherchent donc en permanence de nouveaux moyens de se démarquer, notamment via toute une diversité de plates-formes numériques : structures 100 % Web, réseaux sociaux, SEO ou Web mobile. Bref, tous les moyens sont bons pour accélérer les délais de commercialisation de produits et services – les fameux TTM, ou time-to-market. Même avec des moyens limités, les PME peuvent utiliser l’outil Internet pour mettre en avant leur marque, gagner en notoriété et conquérir de nouveaux clients face à des concurrents mieux établis et plus puissants financièrement.

Comment les PME peuvent-elles rester agiles et compétitives dans l’univers du numérique, sans compromettre la sécurité des données ni casser leur tirelire ? Symantec leur offre la réponse avec « Always-On SSL », également baptisé « HTTPS everywhere ». Idéale pour les PME actives sur la Toile, cette solution a déjà conquis les grands acteurs du Web comme Google, PayPal, Facebook, Twitter et Microsoft. Ce billet vous explique comment cette application permanente de la sécurité SSL protège intégralement vos données en transit, avec en prime un meilleur classement dans les moteurs de recherche.

Télécharger l’infographie

 

PROTECTION SSL INTÉGRALE : UNE SOLUTION SIGNÉE « S »

Vous imaginez fermer à clé la porte d’entrée de votre maison, tout en laissant la fenêtre de derrière grand ouverte ? Voilà qui symbolise parfaitement l’attitude des sites Web recourant à une utilisation sélective de la protection SSL, également dénommée « SSL intermittent ». En clair, seules certaines pages (formulaires d’identification, transactions financières, etc.) sont sécurisées. Les adeptes de cette pratique pensent être protégés contre le vol de données et le piratage. En réalité, elles exposent tout le reste de leur site aux attaques par détournement de session HTTP (ou « Sidejacking »).

C’est là que Symantec intervient avec Always-On SSL. Sa mission : protéger toutes les pages de votre site Web et garantir la sécurité de vos clients.

 

ALWAYS-ON SSL : SÉCURITÉ ET CONFIANCE ASSURÉES.   

En tant que membre de l’Online Trust Alliance et du CAB Forum, Symantec s’est toujours érigé en défenseur d’Always On SSL. Avec cette méthode, chaque page d’un site Web, et non plus seulement les pages d’identification et de transaction, est précédée du préfixe HTTPS://. Ce qui signifie qu’elle est protégée par un certificat SSL. Passer du protocole « http » au « https » est le seul moyen infaillible de crypter toutes les actions effectuées sur toutes les pages de votre site Web, de l’arrivée de l’internaute jusqu’à son départ. À elle seule, la protection des pages d’identification et de transaction n’empêche pas les pirates de subtiliser les cookies qui mémorisent la session d’un utilisateur. Une fois en possession de ces informations, les cybercriminels peuvent les utiliser pour recréer une session détournée et accéder à toutes sortes de données sensibles – voire récidiver à l’envi. Ce type de détournement de session HTTP (Sidejacking) par Firesheep et d’interception par SSL Strip se produisent couramment sur des sites rendus vulnérables par une sécurité en pointillés. Au bout du compte, les pages non protégées et leurs cookies anéantissent tous les efforts et ressources engagés dans la sécurisation des pages d’identification et de transaction.

SSL secure sites get ranking boost

 

CONSÉQUENCES FINANCIÈRES DE LA VIOLATION DE DONNÉES

En 2012, près de 100 000 cas de violations de données ont été signalés dans le monde, dont 35 000 pour les seuls États-Unis. En termes financiers, l’addition s’est élevée à 5,4 millions de dollars par entreprise touchée : frais directs pour investigation, service téléphonique de surveillance et d’alerte en cas de transaction anormale, coûts indirects pour les enquêtes et communications internes, pertes sèches de clients, etc.* Principales causes des violations de données, les cyberattaques malveillantes ou délictueuses auraient pu être contenues, évitées, voire même anticipées avec Always-On SSL.

* Analyse 2013 du coût des violations de données : situation mondiale, Ponemon Institute (en anglais)

 

GOOGLE ACCORDE DÉSORMAIS PLUS DE POIDS AUX SITES ENTIÈREMENT PROTÉGÉS. À VOUS D’EN PROFITER !

Un soutien de taille en faveur d’Always-On SSL, ou du cryptage HTTPS intégral, si vous préférez, est venu de Google le 6 août 2014 sur son blog spécial sécurité en ligne. La firme de Mountain View y annonce son intention d’augmenter le coefficient (et donc d’accorder un meilleur classement dans les résultats de recherche) des sites intégralement cryptés par SSL. D’après Zineb Ait Bahajji et Gary Illyes, analystes des tendances webmasters chez Google : « Nous souhaitons encourager tous les propriétaires de sites Web à passer du protocole HTTP à HTTPS, pour que chacun puisse surfer en toute sécurité sur le Net. Google a ici un grand rôle à jouer en favorisant l’accès à des sites sécurisés. » Le sens de leur message est on ne peut plus limpide : « Nous espérons constater une hausse du nombre de sites Web sécurisés par HTTPS. » Il s’agit donc d’encourager les sites à améliorer leurs méthodes de protection et à sécuriser intégralement les données en transit partout sur le Web. Pour tout savoir sur l’importance et les avantages du HTTPS, visionnez la présentation complète de Google sur le sujet.

 

HTTPS RENFORCE LA COMPÉTITIVITÉ DES PME

En protégeant leur site par HTTPS, les PME disposent d’un nouveau vecteur de compétitivité dans la net-économie :

• Classement plus favorable dans les résultats de recherche Google, notamment par rapport à de plus gros concurrents qui n’ont pas nécessairement basculé vers Always-On SSL. À tout le moins, le HTTPS permanent peut rééquilibrer les chances des PME face à la concurrence.

• Pour amplifier l’impact d’un meilleur classement dans les résultats de recherche, Seal-in-Search™ de Symantec permet d’accroître le taux de clics en affichant le sceau Norton™ Secured, marque de confiance la plus reconnue sur Internet, en regard du lien en question.

• Renforcement de la marque et de sa réputation par une preuve visuelle de votre engagement en matière de sécurité en ligne.

• Augmentation des transactions et des taux de conversion

• Protection de la totalité de la session de l’utilisateur et de toutes les données en transit, et non plus seulement des pages d’identification ou de transactions financières.

• Possibilité d’évoluer vers des certificats SSL EV (Extended Validation) pour promouvoir encore plus clairement la fiabilité du site

Vous trouverez forcément la solution SSL qu’il vous faut dans le catalogue multimarques de Symantec. Certificats SSL classiques, Wildcard, SAN ou EV et sa fameuse barre d’adresse verte : nous accompagnons les entreprises dans le choix d’une solution « Always-On SSL » adaptée à leurs besoins. Tous nos certificats assurent le plus haut niveau de cryptage qui soit pour protéger toutes les données en transit, y compris les identifiants, cookies et autres informations financières.

 

ALWAYS-ON SSL : UN CONCEPT ANCIEN ARRIVÉ À MATURITÉ

Depuis des années, les principaux acteurs du Web (Microsoft, PayPal, Facebook, Twitter, etc.) préconisent d’utilisation d’Always-On SSL. Avec Symantec, ces grands noms se sont regroupés au sein de l’Online Trust Alliance (OTA), avec pour mission de promouvoir la confiance en ligne et de protéger les internautes, tout en encourageant l’innovation et le dynamisme sur Internet. « Il nous incombe à tous de coopérer pour mettre en place des bonnes pratiques de sécurité Internet et protéger les consommateurs face aux dangers », lit-on dans un livre blanc de l’OTA. La situation générale de la sécurité en ligne a atteint un point de basculement : pour préserver leur capital confiance auprès des consommateurs, les sites Web doivent impérativement s’adapter. Or, un des avantages les plus nets d’Always-On SSL est son effet rassurant sur les internautes.

 

ACTIONS À MENER POUR UNE SÉCURITÉ INTÉGRALE DE VOTRE SITE WEB

Pour garantir une protection intégrale par HTTPS permanent, quelques mesures s’imposent :

1. Appliquez le HTTPS sur chacune de vos pages Web.

En appliquant le protocole HTTPS sur toutes vos pages, vous sécurisez les informations personnelles, les identifiants et les cookies de vos clients. Pour en savoir plus, cliquez ici.

2. Vérifiez la bonne installation et la validité de vos certificats SSL.

Pour activer le HTTPS, vous devez utiliser un certificat SSL/TLS valide et délivré par une autorité de certification (AC) réputée telle que Symantec. Les visiteurs de votre site auront ainsi l’assurance que l’identité du domaine a été vérifiée et authentifiée par un tiers de confiance. Pour en savoir plus, cliquez ici.

3. Activez le drapeau de sécurité pour tous les cookies de session.

Vous pouvez définir dans les cookies de session un drapeau de sécurité (secure flag) facultatif, qui indique au navigateur de communiquer avec le serveur d’origine uniquement par HTTPS à chaque fois qu’il renvoie un cookie. Cette méthode assure une protection HTTPS fiable et proactive, assortie d’un reporting.

4. Renforcez votre sécurité et dopez votre cote de confiance avec les certificats EV.

Pour convaincre les internautes de la légitimité et de la sécurité de votre site Web, rien de tel qu’un certificat Symantec SSL EV (Extended Validation). Outre le nom du détenteur du certificat, un certificat SSL EV déclenche l’affichage d’une barre d’adresse verte qui rassure visuellement les internautes quant à la légitimité de l’exploitant du site Web. Ils ont ainsi la garantie de pouvoir surfer en toute sérénité.

Pour des informations plus détaillées, lisez ces articles :

Google récompense les sites Web sécurisés par un meilleur classement (Blog)

Google favorise les connexions plus sûres (Internet Retailer, 8 août 2014)

Comprendre Always On SSL et le SEO (Symantec | Connect, janvier 2014)