Aujourd’hui, on va faire le tour des outils pour vérifier le certificat SSL et la connection HTTPS de votre site internet ou boutique e-commerce.

Les outils sont souvent des scanners qui contrôle la validité du certificat SSL, si les Ciphers utilisés sont bons, analyse des failles (SSL, HeartBleed…).

En cas, de soucis votre site peut être vulnérable au attack de type « man in the middle » et ça peut compromettre les échanges de données de vos clients.

Les outils pour tester votre site internet :

 

Voici une liste de site internet qui inclut un outil pour tester / vérifier et contrôler la connection HTTPS de votre site, ou le certificat SSL ou bien la présence de vulnérabilités (failles) dans l’utilisation de logiciel ou des protocoles utilisés (Cipher ou autres)

1 – SSL Labs :

 

SSL Labs By Qualys est le populaire de outil SSL en ligne. Il vérifie les dernières vulnérabilités connues et les problème de configuration.

SSL Labs Test HTTPS Certificat

Résultat du test pour mixed-content.info

 

https://www.ssllabs.com/ssltest/analyze.html

Vulnérabilités des zombies et des GOLDENDOODLE
Posté par Yash Sannegowda dans Qualys Technology, SSL Labs le 22 avril 2019 à 1:40
Récemment, de nouvelles vulnérabilités telles que Zombie POODLE, GOLDENDOODLE, 0-Length OpenSSL et Sleeping POODLE ont été publiées pour les sites web qui utilisent les modes de chiffrement par blocs CBC (Cipher Block Chaining). Ces vulnérabilités ne sont applicables que si le serveur utilise TLS 1.2 ou TLS 1.1 ou TLS 1.0 avec des modes de chiffrement CBC.

Mise à jour 30 mai 2019 : Le changement de note décrit ci-dessous est désormais en ligne sur https://www.ssllabs.com/

SSL Labs identifie les suites de chiffrement utilisant la CBC avec la couleur orange et avec le texte WEAK. Cette modification n’aura aucun effet sur les notes, car elle signifie seulement que SSL Labs décourage davantage l’utilisation de suites de chiffrement basées sur la CBC.

Les laboratoires SSL commenceront à donner la note « F » au serveur affecté par ces vulnérabilités à partir de fin mai 2019. Pour l’instant, les laboratoires SSL ne donneront qu’un avertissement pour les serveurs concernés :

Zombie POODLE (rembourrage invalide avec un MAC valide)
GOLDENDOODLE (Rembourrage valide avec un MAC non valide)
0-Longueur OpenSSL (Mac/Valid Pad invalide, enregistrement de 0 longueur)
POUDRE dormant (rembourrage invalide avec MAC valide)

 

2 – SSL Checker :

 

Ce vérificateur SSL vous aidera à diagnostiquer des problèmes avec votre installation de certificat SSL. Vous pouvez vérifier le certificat SSL sur votre serveur Web pour vous assurer qu’il est correctement installé, valide, approuvé et ne donne aucune erreur à l’un de vos utilisateurs. 

Cet outil vérifie si la chaine SSL du certificat est bien implémentée et corrigé si c’est pas le cas 😉

SSL Check

SSL Check everything is good

https://www.sslshopper.com/ssl-checker.html

3 – Wormly :

 

Wormly contrôle plus de 65 points différents et donne un score sur chacun des points. Très pratique pour faire un contrôle rapide des tous l’environnement de votre serveur.

 

HTTPS Certificat contrôle

 

https://www.wormly.com/test_ssl

 

4 – SSL Decoder

 

SSL Decoder est un outil développé par Raymii.org, il contrôle tous les points un peu à l’image de SSL Labs, bien qu’il me parait plus rapide. Raymii a aussi mis en place, une page pour configurer ces environnements SSL, Cipher en l’occurence ici : https://cipherli.st/

 

Raymii SSL Checker

 

https://ssldecoder.org/

 

5 – Mixed Content Checker

 

L’outil Mixed-Content checker a été développé par notre équipe. Il est actuellement en version 1 et permet de vérifier tous les liens de votre site à la recherche de mixed-content. 

Il fourni les urls des ressources qui sont considérés comme insécure par les navigateurs modernes (Firefox, Chrome..)

Selon, le nombre d’URLs à traiter le temps de scan sera plus long.

 

Mixed content online detector

Detecter la présence de mixed-content grâce à cet outil

 

https://mixed-content.info/mixed-content-checker-ligne/

 

 

 

❓Quel outil permet de trouver des mixed-content ?

On peut passer par le scan Mixed Content. ou encore Screaming Frog en version gratuite permet de scanner 500 urls sur son site. L'outil de développement des navigateurs permet aussi de donner des indications.

▶️ Comment tester la sécurité du certificat SSL

Pour vérifier si le certificat SSL est bien configuré, il existe des sites comme SSLabs. Il vérifie le paramètrage du certificat et la chaine d'encryption, Cipher et compagnie. Une notre entre A+ et E est ensuite indiqué.

✅Que faire si votre site affiche 'Not Secure'

Lors de votre passage au HTTPS si votre site affiche 'Not Secure (Non sécurisé) c'est certainement du au fait qu'il y a des mixed-content (contenus mixtes). Utilise le scan de mixed-content pour les trouver.

Comments (2)

  1. Répondre

    Bravo et merci pour ces liens

    2 jours que j’essayais de trouver le seul lien entre en http …. le logo … ou que j’aime ce petit cadenas noir et fermé

    Franck

Leave a comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *