Skip to main content

Service d’évaluation des vulnérabilités

Analysez les domaines de vos commandes de certificats Secure Site Pro et Secure Site EV pour rechercher des vulnérabilités.

Les certificats Secure Site Pro SSL, Secure Site Pro EV SSL et Secure Site EV sont accompagnés d’un accès au service d’évaluation des vulnérabilités. Ce service d'évaluation des vulnérabilités vous permet d'identifier et d'agir contre les failles les plus facilement exploitables sur votre site Web. Pour en savoir plus sur ce que comprennent les certificats Secure Site Pro et Secure Site EV, consultez les pages Certificats TLS/SSL Pro et Certificats Secure Site.

L'évaluation des vulnérabilités est un service dans le cloud, vous n’avez donc rien à installer. Une fois que nous avons émis votre certificat Secure Site Pro ou Secure Site EV et que vous avez activé l’évaluation des vulnérabilités pour la commande, vous pouvez commencer à utiliser le service immédiatement pour analyser les domaines associés à la commande de certificat.

Important

L’évaluation de vulnérabilité ne remplace pas les analyses de vulnérabilité conforme aux normes de la PCI. Le service vient en complément des protections existantes en apportant une analyse automatique mensuelle ainsi qu'un rapport des vulnérabilités les plus critiques.

L'évaluation des vulnérabilités vous aide à :

  • Éviter que votre site soit placé sur la liste noire des sites contenant des malwares par Google, Yahoo, Bing ou autre moteur de recherche.

  • Réduire le risque que des acteurs malveillants trouvent et attaquent votre site.

  • Identifier les vulnérabilités de votre site Web les plus à risque de servir à une attaque.

  • Corriger rapidement ces vulnérabilités et ainsi, sécuriser plus facilement votre site.

L'évaluation des vulnérabilités comprend :

  • Une analyse mensuelle automatique des vulnérabilités présentes sur les pages Web accessibles au public.

  • Un rapport facile à lire et à exploiter, qui identifie les vulnérabilités critiques méritant votre attention, ainsi que des éléments d'information sur des risques de moindre envergure.

  • La possibilité d'analyser à nouveau votre site Web pour confirmer que les vulnérabilités ont été corrigées.

Le service d’évaluation des vulnérabilités récupère les informations sur vos domaines depuis votre compte CertCentral, depuis lequel vous pouvez voir les détails de toute vulnérabilité découverte afin d’identifier rapidement les failles exploitables et de prendre des mesures de correction pour vos domaines. Vous pouvez également télécharger les rapports, recevoir des notifications et analyser à nouveau votre site Web pour confirmer que les vulnérabilités ont été corrigées.

Comment fonctionne l’analyse de vulnérabilités.

Par défaut, le service d'analyse scanne les domaines de la commande une fois par mois, aussi longtemps que l’analyse de vulnérabilités est activée. À tout moment, vous pouvez également mettre manuellement un domaine en file d'attente pour provoquer une nouvelle analyse. Pour éviter toute analyse, désactivez les évaluations de vulnérabilités pour la commande de certificats.

Le service analyse-t-il tous mes domaines ?

Le service d’évaluation des vulnérabilités n'analyse que les domaines du plus haut niveau sécurisés par le certificat. Dans les tableaux ci-dessous, vous trouverez quelques exemples montrant quels domaines seront analysés par le service en fonction des différents niveaux de domaine sécurisés : domaines de base, sous-domaines de premier niveau et sous-domaines de second niveau.

Domaines sécurisés par le Certificat A :

  • domaine.com – analysé

  • exemple.domaine.com – pas analysé

  • sample.domaine.com – pas analysé

  • siteweb.com – analysé

Lorsqu'un certificat sécurise des domaines de base et des sous-domaines de premier niveau, le service n’analyse que les domaines de base. Dans cet exemple, le certificat sécurise deux domaines de base et deux sous-domaines de premier niveau. Par conséquent, le service n’analyse que les domaines de base.

Domaines sécurisés par le Certificat B :

  • exemple.domaine.com – analysé

  • sous.exemple.domaine.com – pas analysé

Lorsqu'un certificat ne sécurise pas de domaine de base, le service analyse le sous-domaine au niveau immédiatement inférieur. Dans cet exemple, le certificat sécurise un sous-domaine de premier niveau et un sous-domaine de second niveau. Par conséquent, le service n'analyse que le sous-domaine de premier niveau.

Domaines sécurisés par le Certificat C :

  • exemple.domaine.com – analysé

  • sample.domaine.com – analysé

  • demo.domaine.com – analysé

  • sous.demo.domaine.com – pas analysé

Lorsqu'un certificat sécurise plusieurs sous-domaines de même niveau, le service analyse tous les sous-domaines. Dans cet exemple, le certificat sécurise les trois sous-domaines de premier niveau et un sous-domaine de second niveau. Par conséquent, le service analyse tous les sous-domaines de premier niveau.