Le certificat est un certificat de validation étendue (EV)
+10 puntu
Le site web HTTP redirige vers HTTPS (Always-On SSL)
+10 puntu
Le serveur privilégie les suites de chiffrement offrant une forte sécurité Perfect Forward Secrecy (PFS)
+10 puntu
Le serveur fournit l'extension TLS_Fallback_SCSV
+10 puntu
Le serveur implémente la sécurité stricte du transport HTTP (HSTS) avec une longue durée ou le domaine est inclus dans la liste de préchargement HSTS
+10 puntu
Le serveur prend en charge TLSv1.3
+10 puntu
Le certificat X509 du serveur est antérieur à la version 3
-5 puntu
Le certificat du serveur a été délivré depuis plus de 398 jours
-5 puntu
Le certificat du serveur n'a pas été signé avec l'algorithme approprié
-5 puntu
Le serveur ne prend pas en charge l'OCSP stapling
-5 puntu
Le serveur ne prend en charge ni les courbes P-256 ni les courbes P-384
-5 puntu
Le serveur ne prend pas en charge certaines suites de chiffrement requises par les directives du NIST ou les recommandations HIPAA
-5 puntu
Des suites de chiffrement non approuvées par les directives du NIST ou les recommandations HIPAA sont prises en charge
-5 puntu
Le serveur prend en charge les courbes elliptiques mais ne prend pas en charge l'extension EC Point Format
-5 puntu
La chaîne de certificats n'est pas fournie
-10 puntu
Le site web inclut du contenu non sécurisé (HTTP)
-10 puntu
Le serveur accepte la renégociation sécurisée initiée par le client
-10 puntu
Le serveur ne fournit pas d'informations sur la prise en charge de la renégociation sécurisée
-10 puntu
Le serveur ne prend pas en charge TLSv1.3
-10 puntu
La chaîne de certificats repose sur un certificat expiré, ce qui peut interrompre la connexion pour certains clients
-20 puntu
La signature du certificat n'est pas SHA2
-20 puntu
Le certificat ne fournit pas d'informations sur la révocation
-20 puntu
SSL est pris en charge mais TLSv1.1, TLSv1.2 ou TLSv1.3 sont préférés
-20 puntu
Des suites de chiffrement SSL/TLS non approuvées par le PCI DSS sont prises en charge
-40 puntu
La longueur de la clé du certificat ou les paramètres DH sont trop petits (< 2048 bits ou 256 bits pour EC)
-40 puntu
Le serveur prend en charge au moins une courbe elliptique dont la taille est inférieure à 224 bits
-40 puntu
SSL est pris en charge tandis que TLSv1.1, TLSv1.2 ou TLSv1.3 ne le sont pas
-40 puntu
Le serveur prend en charge la compression TLS, ce qui peut permettre une attaque CRIME
-40 puntu
Des suites de chiffrement SSL/TLS non approuvées par le PCI DSS sont préférées
-50 puntu
Le certificat est non fiable ou invalide*
-60 puntu
Le serveur est vulnérable à CVE-2014-0224 (faille OpenSSL CCS)
-60 puntu
Le serveur est vulnérable à CVE-2016-2107 (faille de padding-oracle OpenSSL)
-60 puntu
Le serveur peut être vulnérable à CVE-2021-3449 (vulnérabilité de renégociation malveillante OpenSSL)
-60 puntu
Le serveur est vulnérable à POODLE sur TLS
-60 puntu
Le serveur est vulnérable à GOLDENDOODLE
-60 puntu
Le serveur est vulnérable à Zombie POODLE
-60 puntu
Le serveur est vulnérable à Sleeping POODLE
-60 puntu
Le serveur est vulnérable à 0-Length OpenSSL
-60 puntu
Le serveur accepte la renégociation non sécurisée initiée par le client
-60 puntu
Le serveur est vulnérable à ROBOT (Retour de la menace de l'Oracle de Bleichenbacher)
-60 puntu
Le serveur est vulnérable à Heartbleed
-70 puntu
* y compris le décalage entre le CN du certificat et le SAN, sauf si le test concerne une adresse IP et que le PTR de l'IP correspond au domaine du CN et du SAN