Skip to content
Rejoignez Censys pour un atelier sur la chasse aux menaces et un Happy Hour ! | Le 17 avril au City Winery à Philadelphie - S'inscrire maintenant
Blogs

L'essentiel sur l'hygiène des certificats et son importance pour la disponibilité de votre site web

Avez-vous déjà visité un site web et vu ceci à la place de la page web ?

Capture d'écran, message "Votre connexion n'est pas privée" de votre navigateur.

Si vous êtes comme la plupart des gens, vous faites ce que vous dit votre navigateur et vous dites "STOP !".

Qu'est-ce qu'un tel avertissement vous apprend ? Il peut s'agir d'un certain nombre de choses, que nous détaillerons plus loin dans ce billet :

  1. Le site web n'a peut-être pas de certificat : Le site web que vous essayez d'atteindre ne dispose d'aucun certificat. Votre navigateur n'a donc aucun moyen de savoir si le propriétaire du site est bien celui qu'il prétend être. En d'autres termes, vous ne pouvez pas faire confiance à l'expéditeur des informations provenant de ce site web.
  2. Le certificat utilise une norme de cryptage inacceptable : Le site web auquel vous essayez d'accéder dispose d'un certificat, mais la norme de cryptage qu'il utilise est insuffisante ou inférieure à la norme.par de mauvais acteurs et ces acteurs peuvent voir les informations que vous envoyez au site web.
  3. Le certificat a expiré : Le certificat du site web auquel vous essayez d'accéder a expiré.
  4. Différend entre les navigateurs : Il y a un conflit entre votre navigateur (Chrome, Safari, Edge, Internet Explorer, Firefox) et l'autorité de certification sur la validité du certificat.

Votre navigateur a établi une première connexion avec un site web et a déterminé qu'il n'était pas sûr de continuer, car quelqu'un de malveillant pourrait l'intercepter.

Pourquoi cet avertissement est-il important pour votre entreprise ?

Comme nous le savons tous, la disponibilité de vos services a un impact sur vos résultats financiers. Selon CSO Online, "en ce qui concerne les coûts liés à la continuité des activités, la part la plus importante, soit 4,2 millions de dollars, est liée à l'atteinte à l'image de marque, suivie par 4,1 millions de dollars de perte de revenus et 3,4 millions de dollars chacun pour la perte de productivité et les dépenses de remédiation".

Si vous êtes propriétaire d'un site web, ces avertissements peuvent être catastrophiques pour votre entreprise ou votre mission et peuvent avoir de lourdes conséquences sur vos résultats. Cela n'a jamais été aussi évident qu'en pleine pandémie. La distribution de vaccins dépend d'un accès illimité au site web pour les rendez-vous de vaccination. Les restaurants ont besoin de commandes sur le site web pour remplacer les recettes provenant de la vente au comptoir. Les détaillants ont dû transférer leurs magasins sur des sites web pour rester en activité. Cette vague de transformation numérique a eu un impact sur tous les aspects de l'activité économique et au-delà.

Comment la plateforme de gestion de la surface d'attaque Censys peut-elle vous aider ? Censys dispose des meilleures données disponibles grâce à son ensemble de données Internet universel, ce qui se traduit directement par la meilleure visibilité de l'Internet. Censys scanne quotidiennement l'ensemble de l'Internet et enrichit les informations avec des ressources de certificats, ce qui donne lieu au plus grand référentiel de certificats au monde, soit 5 milliards de certificats ! Cela signifie que s'il y a (ou a eu) un certificat à trouver, nous le trouverons et vous pourrez le rechercher. Vous pouvez également tirer parti de la capacité de balayage à l'échelle de l'internet de Censyspour trouver tous les serveurs web exposés publiquement. Si vous souhaitez vérifier un site web, la plate-forme ASM Censys vous présente facilement ces informations afin que vous puissiez résoudre rapidement tout problème de certificat.

Le site web n'a peut-être pas de certificat. Vous avez donc un site web, disons "yourgreatsite.com", et vous voulez vous assurer qu'il dispose d'un certificat valide.

  • Utilisez la plateforme de gestion de la surface d'attaque Censys pour trouver votre domaine (ou l'adresse de votre site Web, "yourgreatsite.com") et les adresses IP correspondantes. Une fois que vous avez cliqué sur ces adresses IP, ou hôtes, vous pouvez faire défiler la page jusqu'en bas pour vous assurer qu'il y a un certificat et qu'il n'y a pas de problèmes qui pourraient faire hésiter vos visiteurs.

Capture d'écran de l'ASM, mettant en évidence l'emplacement du certificat dans l'interface utilisateur.

  • Utilisez Censys Search pour trouver "yourgreatsite.com" afin d'obtenir des résultats possibles et examinez l'hôte pour voir si l'un de ses ports ouverts présente un certificat valide.

Le certificat utilise une norme de cryptage inacceptable. Vous avez confirmé que votre certificat est valide, c'est-à-dire qu'il est à jour et n'a pas expiré, mais il semble que la clé de chiffrement soit faible. Qu'est-ce que cela signifie ? Outre la vérification du propriétaire par un tiers (l'émetteur du certificat), les certificats confirment également aux visiteurs que leurs connexions sont sécurisées. Cela leur permet de transmettre des cartes de crédit ou d'autres informations sensibles en toute tranquillité. Un certificat fonctionnant avec un cryptage ancien peut être compromis, ce qui permet à un pirate de voir les informations sensibles qu'il aurait pu saisir sur votre site web.

  • Rendez-vous sur le site Censys Attack Surface Management Platform et cliquez sur l'onglet Certificate. Filtrez les résultats en sélectionnant "Key Type", puis "is not", puis toute option dont les quatre premiers chiffres sont "1024" ou plus, ou qui mentionne "ECDSA".

Capture d'écran de la plateforme ASM. Vous montrant comment trouver le type de clé utilisé dans votre certificat TLS / SSL.

  • Tous les certificats présentés auront probablement une clé "faible". Cliquez sur le certificat et faites défiler vers le bas pour afficher le type et la force de la clé dans la colonne de droite.

Capture d'écran de la plateforme ASM. Exemple de certificat faible, le type de clé n'est plus la norme.

Certificat expiré. Lorsqu'une personne établit un certificat, soit en le faisant elle-même, soit en l'achetant auprès d'un émetteur de certificats, celui-ci a une durée de vie, un peu comme une carte de crédit. Si un certificat n'est pas renouvelé, il expirera et causera presque certainement des problèmes aux visiteurs de votre site web.

  • Allez sur Censys Attack Surface Management Platform dans l'onglet Certificate. Allez sur la carte d'alerte en haut de la page avec le triangle rouge qui dit "Expiré" et cliquez sur "Voir". Une liste de tous les certificats expirés s'affiche.

  • Si vous souhaitez prendre de l'avance sur les certificats arrivant à expiration, cliquez sur l'une des autres cartes d'alerte telles que "Expirant dans la semaine à venir" ou "Expirant dans le mois à venir".

  • Vous pouvez également consulter les certificats expirés ou en voie d'expiration en cliquant sur l'onglet Risque du tableau de bord et en faisant défiler la page jusqu'à la fenêtre "Actifs en voie d'expiration".

Vous pensez avoir fait tout ce qu'il fallait avec votre certificat, mais il y a toujours un avertissement dans l'un des navigateurs. Vous avez mis en place un certificat pour le domaine de votre site web, il n'a pas expiré et sa clé de cryptage est de premier ordre - mais il y a toujours une erreur ! Pourquoi cela se produit-il ? Cela peut se produire en cas de litige entre l'émetteur du certificat et le fabricant du navigateur web, comme lorsque Google a eu un problème avec les certificats de Symantec en 2017 et que, tout à coup, les sites web présentaient des avertissements et des erreurs à leurs visiteurs. Dans d'autres cas, il s'agit d'un problème technique lié à l'application du certificat au mauvais port ou au mauvais système.

Accédez à la plateforme de gestion de la surface d'attaque Censys et à l'onglet Certificat. Filtrez les résultats en sélectionnant "Browser Trust", "is not", puis sélectionnez le type de navigateur de votre choix ou sélectionnez-les tous à l'aide de l'opérateur "or". La liste résultante comprendra tous les certificats qui ont un problème de confiance du navigateur et qui présentent un avertissement ou une erreur aux visiteurs.

Une ASM efficace signifie une meilleure gestion des certitudes

Maintenant que vous connaissez les conséquences d'une mauvaise hygiène des certificats, que devez-vous faire si vous rencontrez une erreur de certificat au sein de votre organisation ? À moins d'être un professionnel de l'informatique ou de la sécurité, la meilleure chose à faire est de contacter la personne qui gère votre site web. Vous pouvez lui communiquer les informations que vous avez découvertes à l'aide de Censys. Elle devrait pouvoir utiliser ces informations pour résoudre le problème.

Pour en savoir plus sur Censys et sur la façon dont nous vous offrons la meilleure visibilité de gestion de la surface d'attaque dans votre écosystème, contactez-nous dès aujourd'hui!

Solutions de gestion de la surface d'attaque
En savoir plus