Le projet SSL Pulse est présenté comme un tableau de bord dont l'objectif est de rendre compte de l'implémentation de SSL ( Secure Socket Layer ) sur le Web. L'outil sert surtout à mettre en lumière le fait que cette implémentation laisse souvent à désirer.
Également connu sous le nom de TLS ( Transport Layer Security ), SSL est un protocole de sécurité qui chiffre les données sensibles lors de transactions en ligne. Devenu pierre angulaire de la sécurité sur Internet, la manière de son déploiement peut néanmoins compromettre cette sécurité.
Avec pour socle SSL Labs de Qualys, SSL Pulse vérifie par exemple la longueur des clés, les versions des protocoles pris en charge par des sites en HTTPS. Il peut s'agir de SSL 3.0, TLS 1.0 ou mieux TLS 1.1 voire 1.2 si possible. SSL 2.0 est par contre à proscrire, cette version n'étant plus sûre.
SSL Pulse s'intéresse à près de 200 000 sites SSL considérés comme les plus populaires au monde en fonction du classement Alexa. Près de 50 % des sites ont obtenu la note de A, ce qui signifie que les autres sites doivent améliorer leur configuration de SSL.
Mais même avec une note de A, et donc une bonne configuration de SSL, des faiblesses demeurent au niveau du support de la renégociation SSL ou d'une vulnérabilité à une attaque BEAST ( voir notre actualité ). Au bout du compte, la première analyse de SSL Pluse estime que seulement 10 % des sites sont véritablement sécurisés. Une mise à jour mensuelle permettra de suivre les progrès réalisés par les sites.
SSL Pluse est une initiative du Trustworthy Internet Movement ( TIM ) mis en place par des experts en sécurité et entrepreneurs irrités par la lenteur des améliorations pour la sécurité en ligne. L'organisme à but non lucratif a été fondé par le président et PDG de Qualys.
Le premier projet du TIM est la gouvernance SSL et des propositions en vue d'une meilleure protection sur Internet. Un groupe de travail est constitué d'experts venus de PayPal, Google, Qualys, Whisper Systems ( récemment acquis par Twitter ), GMO GlobalSign ( fournisseur de certificats SSL ). L'un des créateurs du protocole SSL, Taher Elgamal, est également impliqué.