Certificats TLS/SSL liés au service Amazon Pay
Qu'est-ce que le protocole TLS/SSL ?
Les protocoles TLS (Transport Security Layer) et SSL (Secure Sockets Layer) garantissent la transmission sécurisée des données entre un serveur et un navigateur Web via des algorithmes de cryptage. Les protocoles TLS et SSL garantissent que les données transmises proviennent de la source spécifiée et qu'elles n'ont pas été modifiées ni lues par un tiers au cours de la transmission. Pour plus d'informations sur les versions des protocoles TLS/SLL que nous prenons en charge, consultez la section Foire aux questions - TLS/SSL.
HTTP et HTTPS
Lorsqu'une adresse URL contient « HTTPS », le « S » signifie « Sécurisé » et indique que les données sont transmises en toute sécurité. La différence entre HTTP et HTTPS est qu'avec ce dernier, les données sont transmises via les protocoles SSL et héritent du niveau de sécurité associé.
Certificats TLS/SSL
Les protocoles TLS/SSL utilisent des certificats pour sécuriser et protéger les données transmises. Un certificat contient des informations sur son propriétaire, telles que l'entreprise, le pays, la durée de validité, l'adresse du site Web et l'ID de certificat de la personne ayant certifié (signé) ces informations. Il contient également la clé publique et un hachage pour garantir l'intégrité du certificat.
Voici un exemple de certificat :
Company Root CA 9
==================
-----BEGIN CERTIFICATE-----
MIIDQTCCAimgITBmyfz5m/jAo54vB4iXxxababbmljZbyjANBgkqhkiG9w0BAQsF
ADA5MQswCQYDVQQGEwJVUzEPMA0GA1UEChMGQW1hem9uMRkwFwYDVQQDExBBbWF6
b24gUm9vdCBDQSAxMB4XDTE1MDUyNjAwMDAwMFoXDTM4MDExNzAwMDAwMFowOTEL
N+gDS63pYaACbvXy8MWy7Vu33PqUXHeeE6V/Uq2V8viTO96LXFvKWlJbYK8U90vv
o/ufQJVtMVT8QtPHRh8jrdkPSHCa2XV4cdFyQzR1bldZwgJcJmApzyMZFo6IQ6XU
5MsI+yMRQ+hDKXJioaldXgjUkK642M4UwtBV8ob2xJNDd2ZhwLnoQdeXeGADbkpy
rqXRfboQnoZsG4q5WTP468Sample
-----END CERTIFICATE-----
Chaînes de certificats
Les principaux organismes de certification internationaux certifient d'autres organismes pour l'émission de certificats TLS/SSL fonctionnant généralement au niveau local. Si le certificat d'un serveur a été émis par un organisme de certification intermédiaire, le serveur doit également héberger le certificat de cet organisme, qui, à son tour, peut être vérifié par comparaison à un certificat racine approuvé et stocké localement.
Voici les étapes à suivre pour vérifier une chaîne :
- Téléchargez les certificats depuis le serveur.
- Vérifiez si le certificat du serveur correspond au nom du site Web et s'il a été signé par le certificat intermédiaire.
- Vérifiez si le certificat intermédiaire a été signé par l'un des certificats racine approuvés stockés localement.
Étant donné que les organismes de certification intermédiaires peuvent émettre des certificats pour d'autres organismes de certification, la chaîne peut comprendre plus de 3 certificats.
Pourquoi les certificats TLS/SSL sont-ils nécessaires ?
Les certificats TLS/SSL sont notamment nécessaires pour les raisons suivantes :
- Sécurité : en premier lieu, l'utilisation d'un certificat TLS/SSL permet de préserver la sécurité des données échangées entre le navigateur d'un acheteur et votre serveur. Cela évite l'exposition et l'éventuelle interception des informations de commande/paiement ou des données d'un acheteur, telles que son nom d'utilisateur et son mot de passe.
- Confiance des acheteurs : lorsque vous achetez un certificat TLS/SSL, l'organisme de certification émet une mention à afficher sur votre page Web. Cette mention incite les acheteurs à faire confiance à votre site, car ils savent que leurs données sont sécurisées.
Voici quelques exemples de mentions :
- Trafic : les moteurs de recherche tels que Google classent les boutiques qui ne sécurisent pas leurs connexions à un niveau plus bas que les sites qui utilisent des connexions sécurisées, ce qui réduit le trafic client.
Certificats TLS/SSL et exigences Amazon
Amazon Pay et Connectez-vous avec Amazon
Amazon vous recommande de toujours utiliser une connexion sécurisée ; toutefois deux cas de figure nécessitent des certificats TLS/SSL pour l'intégration à Amazon Pay et Connectez-vous avec Amazon :
- Connexion
Un acheteur peut se connecter via deux méthodes : une fenêtre contextuelle ou une redirection vers une autre page Web. Pour une connexion sécurisée :- Connexion via une fenêtre contextuelle : le bouton en lui-même doit se trouver sur une page HTTPS.
- Connexion via une redirection : l'URL de retour doit se trouver sur une page sécurisée.
- Messages IPN
Les messages de notification de paiement instantané (IPN) peuvent uniquement être envoyés à un point de terminaison sécurisé. Sans certificat valide, Amazon ne peut déterminer si le serveur recevant les messages IPN appartient réellement au marchand ou à une personne tentant d'intercepter les données.
Remarque : lors du test dans un environnement local, aucun certificat TLS/SSL n'est requis (c'est-à-dire, http://localhost).
Restriction liée à MD5 avec cryptage RSA
Amazon contrôle la partie inférieure de la chaîne de certificats (généralement un domaine, tel que exemple.com) et n'établit pas de connexion aux sites disposant d'un algorithme de signature de certificat utilisant MD5 avec cryptage RSA.
Pour examiner l'algorithme de cryptage de votre site, procédez comme suit :
Dans Firefox
- Accédez à votre site via un protocole sécurisé (HTTPS://).
- Cliquez sur l'icône du site situé à gauche du nom de domaine. Cette opération affiche une boîte de dialogue contenant des informations sur l'hôte.
- Cliquez sur le bouton Plus d'informations pour afficher la boîte de dialogue Informations sur la page.
- Cliquez sur l'icône Sécurité, puis sur le bouton Afficher le certificat pour afficher la boîte de dialogue Détails du certificat.
- Cliquez sur l'onglet Détails, puis, sous la liste déroulante Champs du certificat, faites défiler l'écran et sélectionnez Algorithme de signature des certificats pour afficher la Valeur du champ. La zone Valeur du champ affiche l'algorithme de certification utilisé.
- Si la valeur de champ est MD5 avec cryptage RSA, le certificat n'est pas valide pour les transactions Amazon Pay.
Dans Internet Explorer 7
- Accédez à votre site via un protocole sécurisé (HTTPS://).
- Cliquez sur l'icône de sécurité (cadenas) située à droite du nom de domaine. Cette opération affiche la fenêtre contextuelle Identification du site Web.
- Cliquez sur Afficher les certificats pour afficher la boîte de dialogue Certificat.
- Cliquez sur l'onglet Détails pour afficher l'algorithme de signature utilisé.
- Si l'algorithme de signature est md5RSA, le certificat n'est pas valide pour les transactions Amazon Pay.
Dans Safari 8
- Accédez à votre site via un protocole sécurisé (HTTPS://).
- Cliquez sur l'icône de sécurité (cadenas) située à gauche du nom de domaine. Cette opération affiche la fenêtre contextuelle Identification du site Web.
- Cliquez sur Afficher le certificat pour afficher la boîte de dialogue Certificat.
- Cliquez sur l'onglet Détails pour afficher l'algorithme de signature utilisé.
- Si l'algorithme de signature est md5RSA, le certificat n'est pas valide pour les transactions Amazon Pay.
Erreurs TLS/SSL courantes
Certificat intermédiaire manquant
Cela se produit lorsque le certificat est installé correctement, mais que le serveur ne stocke pas le certificat intermédiaire, ce qui ne permet pas d'établir la chaîne de certificats. Assurez-vous que tous les certificats de la chaîne sont stockés en local.
Divergence du nom de certificat
Le nom du certificat installé ne correspond pas à l'adresse du site Web. En d'autres termes, le certificat installé appartient à un autre site Web. Il est nécessaire d'acheter un nouveau certificat pour le site Web.
Achat d'un certificat
Il est possible d'acheter des certificats sur Internet, auprès de n'importe quelle société d'hébergement.
Les certificats TLS/SSL sont émis et gérés par un réseau d'organismes de certification. Il s'agit généralement de sociétés renommées dans le secteur de l'informatique, qui doivent se conformer à des normes de sécurité strictes.
Il existe deux types de certificats : les certificats standards et étendus. Moins onéreuse que la version étendue et émise dans les minutes suivant l'achat, la version standard répond aux exigences du service Amazon Pay et Connectez-vous avec Amazon.
Le prix des certificats évolue avec le temps et nombreux d'entre eux proposent une version d'essai de 30 jours et sont résiliables sans frais.
Certificats TLS/SSL approuvés par Amazon
Amazon Pay accepte actuellement les certificats SSL avec certificats racine émis par les organismes de certification suivants :
Amazon Pay accepte actuellement les certificats TLS/SSL avec certificats racine émis par n'importe quel organisme de certification répertorié sur la page Organismes de certification reconnus par Amazon SNS pour points de terminaison HTTPS.