web-dev-qa-db-fra.com

SSL sur le site Web d'une entreprise rend-elle l'entreprise plus crédible?

J'ai récemment réfléchi à la façon dont de nombreux navigateurs modernes affichent des informations sur les certificats de sécurité d'un site. Au moins, Firefox affiche une zone bleue très visible dans la barre d'adresse sur les sites qui ont des certificats SSL valides, et pratiquement tous les navigateurs donnent une indication encore plus visuelle sur les sites avec des certificats SSL EV plus chers.

Ma théorie est qu'une entreprise peut forcer SSL sur son site Web à apparaître inconsciemment plus digne de confiance, même si le certificat n'a rien à voir avec la crédibilité de l'entreprise elle-même. Y a-t-il des recherches pour soutenir ou réfuter cela? Sinon, existe-t-il des exemples de site Web d'entreprise disponibles via HTTP et HTTPS?

11
Kaivosukeltaja

Alors que certains spécialistes du marketing Internet ont déclaré que l'apparence d'être plus sûr peut avoir un effet mesurable sur les ventes, je doute que cela soit important pour les sites qui ne vendent pas directement quelque chose.

Vous devez également garder à l'esprit que les connexions HTTPS sont plus lentes que HTTP, et donc les gens trouveront probablement votre site plus lent. Amazon a constaté que même une augmentation du temps de chargement de 0,2 seconde avait un taux de diminution sensiblement plus élevé (personnes quittant la page).

En fin de compte, il s'agit de savoir si l'avantage supplémentaire perçu sur votre site particulier l'emporterait sur le sacrifice de vitesse.

Bien sûr, la façon de le faire est avec test A/B. Aucune opinion n'est plus importante dans ce cas que celle de vos clients, et aucun vote plus précis que voter avec leur argent.

En guise de remarque: Gmail était initialement par défaut sur HTTP mais a été remplacé par HTTPS pour des raisons de sécurité. Si votre site a données sensibles, je recommanderais HTTPS.

18
JohnGB

Si je ne me trompe pas, vous rencontrez toutes sortes de problèmes avec les pages HTTPS, en plus des problèmes de performances évoqués par @JohnGB: vous avez plus de difficultés à créer des liens vers des pages internes, certains navigateurs affichent la "page Web cryptée entrant/sortant" à chaque fois les gens entrent/quittent votre site Web, vous rencontrez des problèmes avec des images et des scripts provenant de sources externes, etc. L'augmentation hypothétique de la crédibilité perçue ne vaut tout simplement pas le bordel pour vous et vos utilisateurs.

6

Je ne sais pas dans quelle mesure une entreprise peut "améliorer sa réputation" en utilisant https - pour demander un certificat, vous devez prouver que vous êtes une entreprise sécurisée. Cela reflète qu'une entreprise n'est pas seulement une organisation de nuit.

Les certificats SSL étendus nécessitent encore plus de vérification - ils sont bons si vous pouvez les obtenir et indiquent un degré de fiabilité, car ils indiquent que l'entreprise existe depuis un certain temps.

Mais il est plus lent et nécessite davantage de traitement sur le serveur. Un site plus lent est une mauvaise chose, et une page d'accueil plus lente est un arrêt définitif - s'il est plus lent, les gens risquent de disparaître sans rien savoir du site. Davantage de traitement de serveur est un problème où les entreprises ne veulent pas dépenser plus en matériel (et les entreprises qui ne se soucient pas du coût du serveur n'auront probablement pas besoin de recourir à ces mesures).

Donc, dans l'ensemble, il ne semble pas y avoir de réel avantage à le faire. Il y a un avantage à obtenir le meilleur SSL possible, mais essayer de l'utiliser sur un site est une mauvaise idée, et les entreprises qui essaient cela sont tout aussi susceptibles d'avoir d'autres problèmes.

4

En termes de crédibilité - oui SSL semble plus sécurisé. Le problème est qu'il peut être truqué comme indiqué dans ce qui suit article:

L'Internet Storm Center du SANS Institute a noté l'escroquerie et a informé ses utilisateurs qu '"il n'est pas possible d'identifier de faux sites Web ou de vrais sites Web uniquement par l'icône de verrouillage. ... Bien que vous puissiez vous assurer que le session est cryptée, il n'est pas possible de s'assurer qu'il s'agit bien de la véritable organisation . " Les fraudeurs peuvent également configurer leur serveur Web afin que les certificats SSL trompeurs ne déclenchent pas d'alerte dans le navigateur de l'utilisateur. "L'une des méthodes de codage SSL est le" texte brut "", a noté Neal Krawetz de Secure Science Corporation dans le billet SANS sur la question. "La plupart des serveurs SSL ont cette option désactivée par défaut, mais la plupart des navigateurs le prennent en charge. Lorsque du texte brut est utilisé, aucune autorité de certification centrale n'est consultée et l'utilisateur ne voit jamais de message demandant si un certificat doit être accepté (car le" texte brut "ne le fait pas" t utiliser des certificats). En gardant cela à l'esprit, la petite icône de verrouillage peut même ne pas indiquer un canal crypté. Le petit verrou indique uniquement une connexion SSL. " Une technique appelée usurpation visuelle offre une autre méthode pour présenter un "verrou" aux visiteurs sur un site de phishing Scam. La technique modifie l'interface utilisateur du navigateur Web, en remplaçant les images par des parties de l'interface du navigateur qui aideraient normalement les utilisateurs à détecter la fraude. Les liens Javascript lancent une nouvelle fenêtre de navigateur sans barres de défilement, barres de menus, barres d'outils et barre d'état - qui permet aux escrocs de remplacer une fausse barre d'état contenant l'URL d'un site légitime, ainsi qu'une image d'un "verrou" indiquant un site SSL sécurisé .

Ainsi, cela peut rendre votre site plus crédible, mais cela peut également être truqué. Est-ce que la plupart des gens le savent, probablement pas. Ils peuvent se sentir plus en sécurité si elle est utilisée, mais ce qu'ils ne savent pas, c'est qu'ils pourraient être dupés. En termes de résultat net, vous devez l'utiliser .

Pensez à l'utilisation des guichets automatiques. Les gens se sentent en sécurité en utilisant leurs numéros PIN pour accéder à leur compte. Ce numéro peut-il être volé/enregistré sur la machine qu'ils utilisent et utilisé ailleurs? Absolument, mais ils se sentent toujours en sécurité avec la méthode actuelle.

3
Matt Rockwell

C'est un ancien article ci-dessus mais donnera mon avis en octobre 2013 car il se classe toujours très bien. IMO un SSL donne du crédit. En tant que consommateur, je n'achèterais rien sur un site qui n'utilisait pas SSL. Les choses ont changé depuis les articles ci-dessus. De nombreux fournisseurs SSL fournissent le codage utilisé sur votre site Web, un lien vers le leur indiquant les détails de votre entreprise et confirmant que vous êtes légitime. La plupart des navigateurs lors du premier chargement du site SSL vous renseignent sur le certificat SSL. Vous auriez du mal à trouver un site Web réputé vendant un produit ou un service dans le monde d'aujourd'hui sans SSL. La seule fois où je n'utiliserais pas de SSL si pour un site Web normal qui ne vend pas ou ne nécessite aucune inscription ou n'utilise pas de données personnelles.

0
Muz