Dans le contexte de la Loi 25 sur la protection des renseignements personnels au Québec, la sécurité des communications entre un site web et ses visiteurs constitue une mesure de protection de base.

Lorsqu'une organisation collecte ou transmet des renseignements personnels par l'entremise de son site web, elle doit s'assurer que ces échanges sont protégés contre l'interception ou l'altération.

Loi25.certi360.com fait donc une série de tests techniques pour vérifier si les communications web sont chiffrées de manière raisonnable.

Pourquoi tester le chiffrement TLS/SSL

La Loi 25 n'impose pas une technologie précise ni un niveau de chiffrement spécifique. Elle exige toutefois que les renseignements personnels soient protégés par des mesures de sécurité raisonnables, notamment lors de leur transmission sur Internet.

Les tests effectués par Loi25.certi360.com

1. Vérification HTTPS seulement

Ce test vérifie si le site web est accessible uniquement via HTTPS et si toute tentative d'accès en HTTP est automatiquement redirigée vers HTTPS.

2. Validité du certificat TLS

Ce test vérifie que le certificat utilisé par le site web est valide, reconnu et non expiré. L'outil établit une connexion TLS avec le site et valide la chaîne de certification à l'aide de règles équivalentes à celles d'un navigateur moderne.

3. Correspondance entre le nom de domaine et le certificat

Ce test s'assure que le certificat TLS est bien émis pour le nom de domaine du site analysé. L'outil compare le nom de domaine du site avec les champs de validation du certificat (CN et SAN).

4. Protocoles TLS utilisés

Ce test vérifie que le serveur utilise des versions de TLS encore considérées comme sécurisées par les navigateurs modernes. Les versions TLS 1.2 et TLS 1.3 sont actuellement considérées comme sécurisées.

5. Absence d'erreurs bloquantes côté navigateur

Ce test vise à confirmer qu'un navigateur moderne peut accéder au site sans afficher d'alerte de sécurité bloquante.

Ce que ces tests signifient

Les tests TLS/SSL de Loi25.certi360.com permettent d'observer si les communications web sont chiffrées de manière raisonnable et acceptée par les navigateurs modernes.

Attention: Ils ne constituent pas une preuve de conformité à la Loi 25 et ne remplacent ni une analyse juridique ni un audit de sécurité.