Comment puis-je faire vérifier mon site de sorte qu'il affiche une boîte verte dans la barre d'adresse de Chrome?

26

Comment puis-je faire vérifier mon site par Google Chrome afin qu'il ait la case verte dans la barre d'adresse? Honnêtement, je ne sais pas comment faire ça. De plus, dois-je demander à Google de le vérifier?

TwentyCharMax
la source
7
Vous posez des questions sur le vert qui indique que le site dispose d'un certificat de sécurité à vérification étendue (EV) pour HTTPS / SSL / TLS?
Stephen Ostermiller
@StephenOstermiller yes
TwentyCharMax
8
Vous devez payer pour cela.
Evorlor
12
Lets Encrypt n'offre même pas de certificats EV. C'est dans leur FAQ: letsencrypt.org/docs/faq Ils ne proposent que des certificats de validation de domaine (DV).
Stephen Ostermiller
5
@Alex NO, obtenir un certificat de LetsEncrypt ne vous donnera pas "la boîte verte". Servir votre site Web via HTTPS affichera un verrou dans la plupart des navigateurs, mais "la boîte verte" indiquant le nom de votre entreprise ne sera affichée que si vous possédez un certificat EV, que LetsEncrypt ne propose pas.
BlueCacti

Réponses:

34

La `` boîte verte '' dans la barre d'adresse de Chrome n'a rien à voir avec la vérification par Google - comme Stephen l'a mentionné dans les commentaires sur votre question, c'est une indication que votre site dispose d'un certificat de sécurité à vérification étendue (EV).

La «boîte verte»

Il s'agit généralement d'un produit SSL «premium» proposé par de nombreux fournisseurs de certificats SSL. Pour obtenir l'un de ces certificats, le meilleur endroit pour commencer est généralement votre hébergeur, qui peut gérer l'ensemble du processus de génération d'une demande de signature de certificat, d'achat du certificat pour vous et d'installation. Il est parfois possible de le faire vous-même via votre panneau de contrôle d'hébergement Web, mais vous aurez besoin de vous y retrouver pour le faire.

Si vous décidez de vous lancer vous-même, la plupart des fournisseurs de certificats de confiance devraient être en mesure de vous fournir un certificat EV. Il s'agit notamment d'entreprises telles que Comodo, Thawte, Verisign et bien d'autres. En règle générale, ils fournissent également des instructions pour la configuration sur les panneaux de contrôle d'hébergement populaires.

Tim Malone
la source
25
Il est également important de mentionner que les certificats EV ne sont pas délivrés aux particuliers.
Michael Hampton
3
Un certificat EV n'est accordé aux personnes morales qu'après que l'autorité de certification a vérifié que vous êtes autorisé à acheter le certificat et que le domaine appartient bien à la personne morale. -> en.wikipedia.org/wiki/Extended_Validation_Certificate - Un certificat de validation étendu (EV) est un certificat de clé publique qui prouve l'entité juridique contrôlant un site Web ou un progiciel. L'obtention d'un certificat EV nécessite une vérification de l'identité de l'entité requérante par une autorité de certification (CA).
BlueCacti
30

Comme l'a dit Tim Malone, il s'agit d'un type spécial de certificat SSL qui est généralement vendu à prime par les autorités de certification. Le taux courant est généralement d'au moins quelques centaines de dollars.

Ce que Tim n'a pas mentionné, et une partie de la raison du prix élevé, c'est qu'il y a une certaine quantité de paperasse impliquée qui doit être soumise et vérifiée par l'autorité de certification auprès de laquelle vous achetez le certificat. Ces documents comprennent généralement la vérification que l'entreprise qui demande le certificat est dûment enregistrée auprès de l'État ou du pays, l'obtention d'un cadre de la société pour approuver la demande, et éventuellement d'autres choses. Contrairement à d'autres certificats, vous ne pouvez pas simplement l'acheter, effectuer une vérification automatisée de cinq minutes et installer le certificat en quelques heures au plus. Ces certificats sont appelés "Validation étendue"

D. Strout
la source
15

Je pense que cette question mérite un peu plus de contexte ... Il existe différents types de certificats SSL / TLS qui peuvent être émis par une autorité de certification (CA), qui agit essentiellement comme un notaire, certifiant que le domaine auquel vous accédez est vraiment le vrai site, et vous y accédez en toute sécurité.

Lorsque vous accédez à un site qui utilise HTTPS, le serveur du site envoie son certificat SSL / TLS et que le navigateur vérifie. Un «cadenas vert» apparaissant signifie que le certificat du site est valide (signé par une autorité de certification) et que tout le contenu de la page et la connexion sont cryptés. Un verrou vert indique que vous êtes réellement connecté au serveur réel réel utilisé par ce domaine.

L'autre type de «verrou vert» porte le nom de l'entité commerciale et est un certificat SSL / TLS à validation étendue (EV) valide. Seules les entreprises peuvent demander des certificats EV, et ceux - ci impliquent un processus d'émission plus approfondie par une autorité de certification (CA) qui , fondamentalement , vraiment fait en sorte que le site google.com est en fait la propriété de Google, Inc.

Voyez la différence entre les deux: entrez la description de l'image ici

Souvent, les sites Web statiques qui ne sont pas très complexes, ou ne stockent pas de mots de passe, ou des informations sensibles n'ont pas vraiment besoin (mais sont fortement encouragés ) de chiffrer leur trafic à l'aide de certificats HTTPS et SSL. Comme indiqué dans cette question, l'utilisation de HTTPS non seulement sécurise la connexion , mais fournit également une authenticité qui est importante même pour les sites statiques simples.

Pour les sites Web personnels, vous pouvez obtenir un certificat SSL / TLS DV (validation de domaine) régulier. La façon de le faire dépend de l'endroit où votre site est hébergé, mais l'essentiel est que vous devez créer une clé privée (2048 bits s'il vous plaît) et créer avec elle un fichier de demande de signature de certificat (domainame.csr) à envoyer à un CA pour vous délivrer / signer un certificat. Une fois que vous avez le certificat public signé par l'autorité de certification et votre clé privée, vous dites à votre serveur Web où ils se trouvent et pour utiliser SSL / TSL, les détails varient en fonction de votre configuration.

Vous pouvez utiliser startssl.com pour obtenir gratuitement un certificat SSL standard, btw. HTH

protocole inconnu
la source
7
"Souvent, les sites Web statiques qui ne sont pas très complexes ou qui ne stockent pas de mots de passe ou des informations sensibles n'ont pas vraiment besoin de crypter leur trafic à l'aide de certificats HTTPS et SSL." Les gens sont en désaccord. Notez également que HTTP / 2 n'est pris en charge par aucun des principaux navigateurs en mode non crypté, donc si vous voulez HTTP / 2, vous devez parler HTTPS.
un CVn du
6
"Souvent, les sites Web statiques qui ne sont pas très complexes ou qui ne stockent pas de mots de passe ou des informations sensibles n'ont pas vraiment besoin de crypter leur trafic à l'aide de certificats HTTPS et SSL." Si vous ne cryptez pas chaque lambeau de données qui frappe votre serveur et qui me revient, je n'ai pas vraiment besoin de vous donner mon trafic. En outre, tout type de site Web sera pris en compte dans les classements de recherche s'il n'utilise pas le HTTPS complet partout. De plus, une nouvelle icône de la barre d'adresse vient dans Chrome et indique "Non sécurisé" en rouge vif avec un triangle d'avertissement si le domaine n'exécute pas HTTPS. ---> i.imgur.com/ahR6dMg.png
dhaupin
1
@dhaupin Merci. L'avertissement "Not Secure" à venir est une nouvelle pour moi, je vais devoir lire à ce sujet. Mais même les sites qui utilisent des certificats SSL ne chiffrent pas tout leur trafic (contenu statique) ... diable ce site ne sert pas tout en utilisant https.
unknownprotocol
1
@ MichaelKjörling Je sais qu'il est toujours préférable de servir HTTPS, mais pour certains sites html purement informatifs, je pense que parfois le processus d'obtention d'un certificat CA-issues est plus compliqué que cela ne vaut.
unknownprotocol
Il est parfaitement possible d'utiliser Stack Exchange presque exclusivement sur HTTPS, à l'exception actuellement des sites Meta spécifiques au site et à l'exception des images intégrées dans les publications des utilisateurs explicitement via HTTP. Et le processus d'obtention d'un certificat DV SSL n'est certainement pas laborieux, même avant Let's Encrypt. Les certificats EV sont une autre affaire, mais pour de nombreux sites, les certificats EV n'ajoutent pas de valeur significative; HTTPS plutôt que HTTP texte brut fait .
un CVn du
5

D'autres réponses indiquent comment obtenir le certificat, mais ne mentionnez pas que vos utilisateurs doivent utiliser votre site via HTTPS pour voir la barre verte même une fois le certificat installé.

Si l'affichage de la vérification verte est important pour vous et votre site, vous devez rediriger votre site HTTP vers votre site HTTPS afin que les utilisateurs utilisent toujours la version HTTPS qui a la validation.

Stephen Ostermiller
la source
5
Et si c'est vraiment important, vous devez configurer HSTS avec HTTPS.
un CVn du
Une fois que vous avez commencé avec HTTPS, vous devez utiliser un en-tête HSTS afin que les clients utilisant votre site HTTP (non sécurisé) commencent automatiquement à utiliser la version HTTPS. Il y a un bon site qui montrera les en-têtes qui vous manquent ou que vous avez mal configurés: securityheaders.io
BlueCacti
1
@GroundZero Oui, vous devez utiliser HSTS. Mais je ne vois pas comment cela ajoute à la portée de la question. HSTS n'est pas lié à EV. La question concerne spécifiquement EV. Vous pourriez aussi bien mentionner le préchargement de HSTS. Ou l'agrafage OCSP. Ou épinglage de clés. Ou ceci ou cela aussi. Et vous devez faire bien plus que de simplement définir quelques en-têtes.
Num Lock
-3

Si vous avez activé une signature SSL, vous verrez très certainement l'icône verte non seulement dans Google Chrome, mais aussi dans Firefox. Essayez d'obtenir une intégration HTTPS pour votre site Web. Je suis assez nouveau ici, donc je ne peux apparemment pas partager de liens pour certaines raisons. Vous pouvez cependant le rechercher sur Google.

Mukul Sharma
la source
Il faut plus que n'importe quel certificat SSL pour obtenir la barre verte. Il prend spécifiquement un certificat de validation étendue (EV).
Stephen Ostermiller