Blog

Le guide complet du débutant sur le cryptage SSL

Image HTTPS
Suivre le piratage, le phishing, les logiciels malveillants, les virus et toutes les autres formes de transactions sales sur le Web est une grosse affaire. Le industrie de la cybersécurité devrait atteindre 170 milliards de dollars d'ici 2020. La croissance est à peu près en phase avec l'augmentation de la cybercriminalité, un une industrie à part entière qui est responsable deperteenviron 450 milliards de dollars par an. Comment l’internaute moyen et le navigateur occasionnel peuvent-ils rester en sécurité au milieu du « série de tubes » ? Une méthode efficace consiste à comprendre et à utiliser activement les sites Web dotés du cryptage Secure Socket Layer (SSL).



SSL en moins de 100 mots

Le chiffrement Secure Socket Layer est une norme de chiffrement de haut niveau qui utilise une combinaison d’algorithmes à clés asymétriques et symétriques. Cela signifie qu’outre la clé publique asymétrique, les clés cryptographiques utilisées sont uniques à chaque fois qu’une connexion est établie entre deux machines. Les certificats SSL utilisent une clé publique asymétrique (le serveur du site Web) et une clé privée (le navigateur de l'utilisateur) qui fonctionnent ensemble pour authentifier les données et les sécuriser. Une fois la « poignée de main » initiale formée, SSL connecte les deux machines avec un chiffre qui crypte et surveille en permanence les transferts de données, vérifiant que les données sont à la fois sécurisées et inchangées.

Une brève introduction au chiffrement (pour les novices en matière de sécurité)

Si vous êtes plutôt un pro, n’hésitez pas à passer à autre chose. Cependant, si toutes ces discussions sur SSL et la sécurité des réseaux vous semblent un peu dépassées, décomposons une partie de ce dont nous parlons afin que vous vous sentiez un peu moins confus.



Toutes les informations sont des données

C'est quelque chose que vous savez peut-être déjà. Au niveau le plus élémentaire, tout ce que vous envoyez et recevez en ligne est, fondamentalement, des données codées. Même les mots que vous lisez actuellement sur la page sont traduits par votre navigateur dans un format lisible et visuellement plus attrayant. Vous ne voudriez pas réellement essayer de lire à quoi ressemblent ces données, car vous les percevriez comme rien d’autre qu’un ensemble de lettres et de chiffres qui n’ont aucun sens non traduits.

Par exemple, voici un instantané du Université de Miami sur ce à quoi pourrait ressembler une adresse e-mail sous sa forme pure de données :



Code SSL de U Miami

Vous seriez difficilement en mesure de comprendre les données à mi-chemin du transfert. Mais votre navigateur traduit ces données sous une forme lisible – dans ce cas, sous forme d’adresse e-mail.

Paquets de données

Pour la plupart, tous les ordinateurs parlent les mêmes langues. Ainsi, lorsque deux ordinateurs se connectent l'un à l'autre via un réseau et commencent à envoyer des données dans le langage codé susmentionné, ou dans l'un des nombreux autres langages codés, ils peuvent traduire ce langage dans un format plus lisible pour l'utilisateur dès sa réception. Cependant, toutes ces données ne sont pas présentées sous forme d’un flux continu, mais sont décomposées en paquets plus petits envoyés rapidement. Les paquets de données existent généralement sous la forme suivante :

  • Un en-têtecontenant des informations telles que les adresses IP de l'expéditeur et du destinataire, le numéro de protocole réseau et d'autres informations utiles
  • La charge utile, qui est le paquet de données réel à recevoir et à traduire
  • Une remorque, qui indique que le paquet est terminé et aide à corriger les erreurs qui auraient pu survenir lors du processus d'envoi

La plupart des réseaux ont en fait une limite quant à la quantité de données que chaque paquet peut contenir. Cela signifie que le montant de la charge utile peut varier, ce qui aura également un impact sur le temps nécessaire à l'envoi des données. Comme les données peuvent être interceptées ou volées en cours de route, tant que quelqu'un dispose d'un ordinateur capable de traduire les données contenues dans les paquets (presque n'importe qui, en fait), les données doivent être cryptées avant d'être envoyées, puis décodées une fois reçues.

Cryptage des données

Étant donné que n’importe quel ordinateur peut traduire les données transmises sur les réseaux, et en raison de la vulnérabilité des réseaux qui ne sont pas protégés, le cryptage existe pour garantir que les paquets de données sont effectivement impossibles à traduire. Voici comment fonctionne ce cryptage.

Tout le cryptage est dérivé de cryptographie , l'étude derrière l'envoi de messages sous forme de messages codés. La cryptographie a été utilisée dans de nombreuses parties de l’histoire au cours des dernières décennies, notamment pendant la Seconde Guerre mondiale, lorsque les Alliés et les puissances de l’Axe ont intensifié leurs efforts pour envoyer et coder des messages sur les ondes publiques.

De nos jours, la cryptographie est plus couramment utilisée via le cryptage réseau. Avec le cryptage, les données sont brouillé avant de transiter par le réseau et vers le destinataire. Pour quiconque fouinerait, les données une fois traduisibles ressembleraient à un non-sens.

Fonctions de hachage cryptographique

Alors, comment se fait-il que les données soient brouillées ? Algorithmes complexes exécutés via des fonctions de hachage cryptographique. Ces fonctions prennent essentiellement n'importe quelle donnée de n'importe quelle taille et la convertissent en une fonction brouillée d'une taille prédéterminée. Voici un exemple de ce à quoi cela pourrait ressembler :

Fonctions de hachage

Les données sont entrées dans la fonction de hachage qui les convertit ensuite en chaîne de bits, comme indiqué ci-dessus. Comme vous pouvez le voir, les différentes entrées sont chacune traduites en une chaîne de bits de même taille, quelles que soient les données d'entrée. Ceci est conçu pour rendre plus difficiles les attaques par force brute (celles dans lesquelles quelqu'un essaie de deviner les données brouillées en essayant de deviner toutes les solutions possibles). Dans le cas de SSL et d’autres normes de chiffrement modernes, la force brute est impossible en raison du grand nombre de possibilités. Ce qui nous amène à notre prochain sujet.

Taille en bits de chiffrement

Lorsque les données sont chiffrées, la taille prédéterminée de la chaîne de bits est le facteur le plus important pour prévenir les attaques par force brute. Plus la taille de la chaîne de bits est longue, plus il devient difficile de deviner toutes les combinaisons possibles pour décoder la chaîne. Dans leur ensemble, les données digérées sont appelées un « clé ', et la force de cette clé estpartiellementmesuré en combien de bits il contient.

Alors pourquoi ne pas simplement créer une clé contenant, disons, un million de bits ? La réponse est la puissance de traitement et le temps. Plus la clé binaire est grande, plus un ordinateur a besoin de temps et de puissance de traitement pour déchiffrer efficacement le message à la réception. SSL utilise en fait différentes tailles de clé à des fins différentes et en fonction du degré de mise à jour de la machine elle-même.

Pour les poignées de main initiales (c'est-à-dire la validation que la machine réceptrice est le bon destinataire), une taille beaucoup plus grande de 2 048 bits Clé RSA est utilisé. Les données de cette clé sont petites mais ne sont utilisées que pour vérifier cet échange de données. Une fois que les systèmes se sont vérifiés, SSL passe aux clés de 128, 192 ou 256 bits.

Taille de la clé de chiffrement
La taille des clés est-elle importante ? Bien sûr. Plus la taille de la clé est grande, plus les combinaisons possibles sont nombreuses. Néanmoins, même la taille de clé la plus petite de 128 bits est incroyablement difficile à briser avec une attaque par force brute, étant donné le grand nombre de combinaisons potentielles. Avec la puissance de calcul actuelle, il serait possible de casser une clé de 128 bits, mais cela pourrait prendre un million d’années. Cela dit, la plus grande préoccupation actuelle en informatique est de savoir comment l'informatique quantique facilitera le cassage des clés SSL, nécessitant ainsi une extension de la taille des clés. Mais cette technologie ne sera pas disponible à grande échelle de sitôt.

Le chiffrement en quelques mots

Pour résumer, le chiffrement effectue les opérations suivantes :

  • Brouille les données avant de les envoyer sur un réseau
  • Verrouille ces données avec un algorithme de hachage presque incassable (pour l'instant)
  • Transporte ces données en toute sécurité lors de la transmission, empêchant ainsi la surveillance
  • Permet uniquement aux données d'être reçues par une partie sécurisée et déchiffrées dès réception

Quels sont les avantages du SSL ?

Le cryptage SSL présente 2 avantages clés :

  • Il sécurise les données transitant entre votre ordinateur et les serveurs d’un site Web grâce à un cryptage lourd
  • Il permet de vérifier que le site Web dispose d'un certificat de sécurité mis à jour et authentifié.

La sécurité des données est extrêmement importante, en particulier pour les sites Web qui collectent des informations sur les cartes de crédit et bancaires ou des mots de passe et des noms d'utilisateur. Tout site Web qui effectue l'une ou l'autre de ces opérations doit disposer d'un cryptage SSL. Sinon, le site Web reste ouvert aux attaques de piratage où les données peuvent être volées en cours de route.

La vérification est extrêmement importante pour les certificats SSL. Il existe une longue liste d’entreprises qui proposent une certification SSL, et cela n’est pas toujours bon marché ni facile. Les sites Web qui demandent une certification SSL à haute assurance doivent fournir :

Ce processus a également un coût pour les propriétaires de sites Web. C'est pourquoi les sites de phishing n'utiliseront jamais de certificats SSL hautement sécurisés. Ils ne pourraient jamais passer l’inspection, et la plupart d’entre eux volent de l’argent et ne le reversent pas à d’autres entreprises.

Il est peu probable que les sociétés d’autorité de certification délivrent des certificats SSL de haute assurance à un site non réputé. La plupart des sociétés CA sont des noms bien connus. La liste comprend :

  • Symantec
  • Allez papa
  • DigiCert
  • Vague de confiance
  • GlobalSign
  • StartCom
  • SwissSign
  • Solutions réseau
  • Dégeler
  • avec
  • Chiffrons
  • GéoConfiance
  • Confier
  • Confortable

Pour la plupart, les entités CA sont des hébergeurs Web et des sociétés de cybersécurité.

Comment savoir si un site utilise SSL

Il est en fait assez simple de déterminer si un site Web utilise le cryptage SSL. Une fois que vous vous connectez à un site Web, la première négociation entre votre navigateur et le serveur permettra de vérifier que le site Web utilise le cryptage SSL. Ceci se manifeste de deux manières :

  • L’adresse du site Web s’affiche comme un site HTTPS (Hypertext Transfer Protocol Secure)
  • Un symbole de cadenas apparaît directement à gauche ou à droite du HTTPS

De plus, sur certains sites Web, le nom de l’entreprise peut même apparaître avec le symbole du cadenas. Les sites Web qui ont acheté des certificats SSL à validation étendue, le niveau le plus élevé, voient le nom de l'entreprise apparaître à côté de la barre d'adresse.

Voici à quoi tout cela ressemble.

Le site Web Échange de pile n'utilise pas le cryptage SSL sur plusieurs de ses pages. Ainsi, aucun HTTPS ou symbole de cadenas n’apparaît à côté de l’adresse du site Web :

StackExchange Pas de SSL
En cliquant sur le « i », vous découvrirez que le site Web n'est effectivement pas sécurisé :

StackExchange Pas de SSL

Pendant ce temps, Google Docs dispose d'un cryptage SSL, mais pas du niveau le plus élevé :
Google Documents SSL

Alors que le site Internet de la banque américaine Capital One utilise la vérification étendue, avec tous les accompagnements :
Capital One SSL

Quand SSL est important – et quand ce n’est pas le cas

Une question que vous vous demandez peut-être est de savoir si le cryptage SSL est toujours nécessaire. Pour le dire clairement, la réponse estNon. Le cryptage SSL n'est pas toujours nécessaire. Cependant, les sites Web quifairel'utiliser ont des besoins variés pour lesquelstaperdu cryptage SSL qu'ils utilisent ou devraient avoir.

En s'en tenant aux exemples de la section précédente, StackExchange ne le fait vraiment pasbesoinCryptage SSL sur toutes les zones de son site. Et en effet, le site Web dispose effectivement d’un cryptage SSL, mais uniquement là où il est réellement nécessaire. Si vous créez un compte et vous connectez au site Web, regardez ce qui se passe :

stachexchange ssl

En effet, tout site Web qui vous demande de créer un compte et de vous connecter à son serveurdevraitavoir un cryptage SSL, au moins au niveau le plus élémentaire. Le cryptage SSL aidera à empêcher quelqu'un de voler les informations de connexion à votre compte lorsque ces données transitent entre votre machine et le serveur du site Web.

De manière générale, plus les données transmises entre vous et le serveur d’un site Web sont importantes, plus ce site Web doit avoir un niveau d’assurance élevé. C'est pourquoi une banque comme Capital One dispose d'une vérification étendue, tandis qu'un site Web comme StackExchange dispose d'un certificat de vérification organisationnelle.

Les sites Web qui ne collectent aucune information ou ne nécessitent pas de connexion pour accéder à certaines parties du site Web peuvent certainement utiliser le cryptage SSL, mais ce n'est pas entièrement nécessaire. Cela dit, on se demande toujours si un site est en plein essor ou s’il s’agit d’un faux site de phishing conçu pour voler des données.

En raison de la vérification intense nécessaire pour obtenir les certificats SSL, les sites de phishing n'auront pas le niveau de cryptage le plus élevé, mais ils peuvent quand même avoir une adresse HTTPS ou même un symbole de cadenas. Cependant, ils n'auront jamais de barre verte avec un nom d'entreprise, car celle-ci n'est attribuée qu'aux sites Web dotés de certificats de haute assurance. De plus, certains sites Web peuvent avoir des certificats SSL expirés ou non vérifiés. Vous pouvez voir à quoi cela ressemble en allant sur badssl.com , un site Web simple et éducatif qui fournit des exemples concrets de tous types d'aberrations de certificat SSL.

Par exemple, un site Web avec un certificat SSL révoqué peut apparaître dans une session de navigateur Chrome comme ceci :

Mauvais SSL

Tout compte fait, un site Web nebesoinCryptage SSL, mais lorsque vous accédez à un site Web dont vous n'êtes pas sûr, il est préférable d'éviter de créer une connexion sur ce site Web jusqu'à ce que vous l'ayez entièrement vérifié au préalable.

En rapport: Guide du décryptage SSL avec Wireshark

Différents types de SSL

Le SSL étant une forme de cryptage et de vérification, il en existe différents types. Chaque type répond à un objectif légèrement différent. Il est toutefois important de noter que différents types de certificats SSL ne signifient pas que le site Web fournitplusoumoinssécurité. Les types de certificats indiquent dans quelle mesure le site Web est fiable, car ces différents types nécessitent différents niveaux de validation pour être obtenus.

Certificats validés par domaine

Les certificats DV sont les certificats SSL les moins chers disponibles. Ces certificats ne font guère plus que vérifier le registre de noms de domaine par rapport au certificat. Les exigences pour obtenir ces certificats sont généralement faibles, ce qui signifie que de nombreux sites Web de phishing peuvent les obtenir assez facilement. Ces certificats ne nécessitent pas de contrôles d’antécédents et de validation plus rigoureux que ceux requis par les autres niveaux de certification.

En tant que tel, de nombreuses entités d’autorité de certification n’offrent pas ce certificat, car la plupart le considèrent comme un niveau de sécurité trop faible et, pour la plupart, non sécurisé. Vous verrez toujours le symbole du cadenas apparaître pour ces sites Web, mais ils présentent toujours certains risques. Lorsque vous vérifiez les informations du certificat du site Web, celui-ci vous informera uniquement du nom de domaine et de l’autorité de certification.

Ce type de certificat est courant pour les sites Web qui présentent des problèmes de sécurité très limités. Le site Web Anime MyAnimeList.net est l’un de ces sites Web. Voici les détails de son certificat :

MAL SSL

En fait, certaines parties du site Web ne sont pas sécurisées, ce qui a conduit mon navigateur Web à bloquer ces parties :

Blocage SSL MAL

Bien que les certificats DV puissent être utiles, les types de sites Web qui les utilisent généralement ne permettent pas de créer des comptes d'utilisateurs individuels et ne collectent donc pas de noms d'utilisateur ni de mots de passe.

Certificats validés par l'organisation

Ces certificats SSL nécessitent un processus de validation plus rigoureux pour être obtenus et sont donc également plus chers. Contrairement aux certificats DV, les certificats OV répondent aux normes de demande de commentaires (RFC) définies par l'Internet Engineering Task Force (IETF) et l'Internet Society (ISOC). Les sites Web doivent échanger des informations de validation et une autorité de certification peut contacter directement l'entreprise pour vérifier les informations.

Lorsque vous vérifiez les informations du certificat, vous verrez le nom du site Web et par qui il a été vérifié. Cependant, vous n'obtiendrez pas les informations sur le propriétaire.

Wikipédia est un exemple de site Web qui utilise un certificat OV :

Wikipédia SSL

Certificat de validation étendu

Un certificat EV est le niveau le plus élevé, offrant le plus d’assurance et de validation. Le processus requis pour recevoir un certificat EV est à la fois long et coûteux. Seuls les sites Web dotés du certificat EV recevront également la validation de la barre verte par le nom de leur site Web dans votre navigateur Web. Malheureusement, tous les navigateurs Web ne peuvent pas afficher la barre verte EV. Il est uniquement disponible pour les navigateurs suivants :

Google Chrome, Internet Explorer 7.0+, Firefox 3+, Safari 3.2+, Opera 9.5+

Les anciens navigateurs ne l'afficheront pas. Cela ne veut pas dire pour autant qu’il n’est pas là. Cela signifie simplement que ceux qui utilisent des navigateurs plus anciens devront peut-être vérifier les informations du certificat pour vérifier le niveau de validation.

L'affichage d'informations plus détaillées sur Capital One révèle le fait que le site Web utilise effectivement un certificat SSL EV :

Capital One SSL

Les certificats EV sont de loin les plus fiables et les plus sécurisés, mais ils ne sont pas entièrement nécessaires pour tous les sites Web. La plupart des sites Web peuvent se contenter d’un DV ou d’un OV. Cependant, si un site Web collecte des informations auprès de vous, vous ne devez pas lui faire confiance à moins qu'il ne dispose d'un certificat OV ou supérieur.

Cela dit, certains sites Web vous redirigeront vers un site externe lors du paiement. Ces sites Web peuvent utiliser des services externes pour leur système de paiement, tels que PayPal, qui possède une certification EV de haute assurance. De cette façon, ils n’ont pas besoin d’acheter leur propre véhicule électrique, mais s’appuient plutôt sur des services externes pour fournir cette couche de sécurité et d’assurance.

Problèmes avec les certificats DV et OV

Bien que de nombreuses autorités de certification n'offrent pas de certificats DV, certaines le font. Comme les certificats CA ne nécessitent pas de vérifications ni de validation supplémentaires, certains propriétaires de sites de phishing ont décidé d'acheter ces certificats afin de déjouer le système. Malheureusement, il n’existe aucun moyen direct de faire la distinction entre les sites Web DV et OV sans examiner les informations du certificat plus en détail. C'est pourquoi de nombreux sites Web se tournent vers les certificats EV (haute assurance). Comme les certificats OV, ils nécessitent une validation plus approfondie, mais sont également accompagnés de la barre verte qui indique le nom de l'entreprise ainsi que du symbole du cadenas et d'une grande quantité d'informations de validation fournies.

Pour la plupart des navigateurs, vous pouvez vérifier le certificat en cliquant sur le symbole du cadenas, en cliquant sur « Plus d'informations », puis en cliquant sur « Afficher le certificat » :

Certificat SSL

Cela fera apparaître les informations détaillées sur le certificat de ce site Web :
échange de pile SSL

Nous pouvons voir ici que Stack Exchange utilise effectivement un certificat EV High Assurance, délivré par DigiCert. Nous pouvons faire confiance à leur site Web et ne devrions pas avoir à nous soucier de nous y connecter avec un mot de passe sécurisé.

Existe-t-il des alternatives au SSL ?

Bien que SSL consomme une grande partie de tout le trafic Internet sécurisé, il existe quelques alternatives notables à cette méthode de cryptage.

Couche de socket de transport

TLS, ou Transport Socket Layer, est le successeur de SSL. En effet, dans de nombreux cas, ce que l’on appelle un certificat SSL peut en réalité être un certificat TLS. Ce n’est pas un hasard. TLS, une norme plus récente, est largement basée sur SSL, avec des changements suffisamment minimes pour que de nombreuses personnes, même directement dans l'industrie, fassent toujours référence à TLS et SSL ensemble (généralement avec la notation « SSL/TLS »). Les principales différences entre SSL et TLS résident dans les chiffrements mis à jour et dans une meilleure sécurité pour TLS, c'est pourquoi il a remplacé SSL. Néanmoins, la plupart des gens appellent encore TLS SSL, étant donné que les deux protocoles sont extrêmement similaires. Comme les deux utilisent les mêmes certificats, la transition pour la plupart des sites Web a été assez simple.

Enveloppe de protection

Secure Shell (SSH) est directement concurrent de SSL et, à bien des égards, tout aussi sécurisé. Cependant, SSH diffère considérablement de deux manières. Premièrement, l’obtention de SSH est essentiellement gratuite. Contrairement à SSL, SSH n'utilise pas d'autorités de certification pour vérifier et gérer l'authentification. De plus, contrairement à SSL, SSH utilise également un certain nombre d'utilitaires qui fonctionnent avec le cryptage. Cela peut inclure le fonctionnement à distance de machines en réseau et la création d'exigences de connexion via un réseau sécurisé. SSH est plus populaire parmi les administrateurs réseau. La raison pour laquelle SSH est moins sécurisé que SSL/TLS est que la gestion des clés est peu surveillée, contrairement à SSL. Cela signifie que les clés de chiffrement peuvent être perdues, volées ou utilisées de manière inappropriée, ce qui rend plus difficile la vérification de la propriété.

IPSec

Internet Protocol Security adopte une approche différente de la sécurité et du cryptage du réseau. Alors que SSL/TLS fonctionne au niveau des applications, IPSec a été conçu pour être un cryptage point à point pour l'ensemble d'un réseau. En tant que tel, IPSec fonctionne sur une couche de protocole réseau différente (SSL fonctionne au niveau de la couche 1, HTTP, tandis qu'IPSec fonctionne au niveau de la couche 3, IP). Cela donne à IPSec une approche plus holistique de la sécurité du réseau. IPsec est également davantage conçu pour les connexions permanentes entre deux machines, tandis que SSL est conçu pour les sessions éphémères.

IPSec était initialement obligatoire pour IPv6, car il assure la sécurité du réseau au niveau IP. En effet, IPsec a été initialement développé comme méthode de sécurité réseau pour IPv6. Cependant, la plus grande faiblesse d'IPSec est qu'il ne fournit pas une authentification plus individualisée. Une fois qu'une personne a accédé à un réseau sécurisé par IPSec, elle est libre d'accéder à tout ce qui se trouve sur le réseau ; tant qu'aucune autre authentification n'est en place, il n'y a aucune restriction d'accès.

De plus, IPSec n'est pas exceptionnel en matière d'accès à distance. Il est davantage conçu pour les connexions point à point entre réseaux, comme par exemple une grande entreprise créant des connexions sécurisées à ses serveurs pour tous ses sites commerciaux. Permettre aux utilisateurs distants de se connecter (comme les travailleurs qui souhaitent travailler à domicile ou en déplacement) nécessite plus de maintenance tout en nécessitant des applications distinctes.

Extensions SSL et solutions VPN

Comme SSL est avant tout une norme de chiffrement basée sur les applications, des solutions ont été développées pour garantir que SSL peut également être appliqué de différentes manières.

OpenSSL sur VPN

OuvertSSL est une version open source de SSL utilisée dans de nombreuses applications autres que les navigateurs. Il s’agit surtout de la principale méthode de sécurité utilisée par les VPN qui fonctionnent sur la plateforme OpenVPN. OpenSSL est exactement ce qu'il paraît : une version open source de SSL qui est gratuite à utiliser et à jouer. Comme pour de nombreuses initiatives open source, OpenSSL dépend fortement de la communauté qui l'utilise pour rester à jour. Cela a entraîné une certaine frustration, car OpenSSL n'offre pas autant de garantie qu'un certificat SSL basé sur un navigateur acheté via une autorité de certification. Des vulnérabilités notables ont été découvertes, mais OpenSSL est également mis à jour fréquemment pour contrecarrer ces vulnérabilités.

Il existe plusieurs forks pour ce programme, notamment Le BoringSSL de Google . Du côté positif, la boîte à outils OpenSSL permet des améliorations constantes étant donné qu'elle est open source.

Navigation sécurisée avec HTTPS Everywhere

HTTPS partout

Produit gratuit de l'Electronic Frontier Foundation, HTTPS Everywhere est une extension de navigateur pour Chrome, Firefox et Opera qui permet à votre navigateur d'opter pour les pages HTTPS lorsque cela est possible. HTTPS Everywhere fonctionne également en aidant à protéger vos données lorsque vous êtes connecté à un site qui utilise HTTPS sur certaines de ses pages, mais pas sur toutes. Tant que le site Webles soutiensHTTPS, HTTPS Everywhere peut convertir les pages en HTTPS et crypter les données. Cependant, comme l’indique la page FAQ de l’EFF, les sites Web qui renvoient vers des liens tiers douteux, tels que des images, ne peuvent pas être entièrement sécurisés par HTTPS.

Vous pouvez également configurer HTTPS Everywhere pour bloquer les liens non sécurisés et les sites Web de phishing, une fonction de sécurité distincte pour empêcher les internautes de tomber accidentellement sur des sites de phishing.
' HTTPS » de Christiaan Colen sous licence CC PAR 2.0

^