On explique tout sur les certificats SSL : Qu'est-ce qu'un certificat SSL et à quoi ça sert ! Pour finir on présente les 4 types de certificats SSL et où trouver les meilleurs prix !
SSL signifie "Secure Socket Layer" et l'acronyme TLS signifie "Transport Layer Security".
Le protocole SSL / TLS permet d'assurer la confidentialité des données échangées entre un utilisateur (Internaute ou application / logiciel) et une application (site Internet, service de messagerie / e-mail).
Cette confidentialité est assurée par un chiffrement des données échangées entre l'utilisateur et l'application. Elle évite toute interception en "clair" des informations communiquées.
De manière générale, on utilise du SSL pour effectuer du chiffrement de données confidentielles (informations de connexions, transactions bancaires ...).
Parfois, il est également utilisé pour de l'authentification forte : Cela permet de s'assurer qu'on communique bien avec la bonne personne / serveur.
Prenons un exemple très simple : Vous êtes connecté sur un Hotspot WiFi, (dans hôtel, par exemple), et vous avez besoin de visualiser votre compte bancaire via l'application mobile (ou site web) de votre banque. Vous y renseignez donc vos identifiants de banque à distance. Si votre banque n'était pas sécurisée par SSL (désormais le TLS), un hacker connecté sur ce même WiFi pourrait intercepter vos identifiants. Mais rassurez-vous, cette sécurité SSL est bien entendu utilisée par votre banque !
Malgré cela, beaucoup d'autres sites Internet demeurent aujourd'hui non sécurisés... Pour les Webmasters, il devient impératif d'y remédier.
Un certificat SSL est un fichier qui contient diverses données :
C'est ce certificat qui permet l'initialisation de la connexion sécurisée visible sur le navigateur par la présence du HTTPS et par l'affichage d'un cadenas de sécurité.
Comme expliqué, activer le SSL permet de garantir une navigation sécurisée entre l'utilisateur et un serveur / application / site web grâce à un chiffrement SSL / TLS.
Un certificat SSL peut aussi permettre au webmaster de vous prouver son identité : Il vous garantit que communiquez bien avec celui qu'il prétend être...
Prenons un exemple (encore très simple) : Tout le monde (ou presque) a malheureusement déjà reçu un e-mail "émanent de sa banque" en vous invitant à y renseigner des coordonnées confidentielles. Il s'agit bien entendu d'un e-mail frauduleux, dit de "Phishing". Cet e-mail vous redirige vers un site Internet (plus ou moins bien imité) et dont l'adresse (nom de domaine) se rapproche parfois de l'adresse du site de votre banque.
Deux possibilités :
Car effectivement, un site avec SSL signifie seulement qu'il chiffre les données afin d'éviter toute interception "en clair" jusqu'au serveur.
De plus, le SSL DV n'indique pas l'identité du propriétaire du site sécurisé : Il peut être acheté par tout particulier, sans justificatif et pour n'importe quel nom de domaine, tant que celui-ci lui appartient.
Alors comment savoir si nous nous trouvons bien sur le site qu'il prétend être ? En vérifiant l'identité inscrite dans le certificat SSL !
Exemple d'un certificat SSL EV sur Google Chrome :
Dans le cas d'un certificat EV, l'identité de l'entreprise propriétaire du site Internet est inscrite à l'intérieur de celui-ci.
On y trouve entre autre : La raison sociale, la ville, le département ainsi que le pays dans lequel le siège social est basé.
Le SSL EV procure un niveau d'identification le plus élevé possible : C'est pour cette raison qu'il s'appelle EV (à Validation Etendue, en anglais : Extended Validation).
En plus du chiffrement SSL, la raison sociale (avec un éventuel nom commercial) est affichée dans la barre d'adresse URL qui devient verte. Le cadenas de sécurité s'active, tout comme le protocole HTTPS.
Pour qu'un certificat SSL EV soit émis, l'identité de l'entreprise / organisation est préalablement vérifiée par l'Autorité de Certification qui se doit de respecter des règles simples, mais très strictes. Ces vérifications visent à s'assurer que le demandeur du SSL EV est bien propriétaire du site Internet qu'il souhaite sécuriser : Un pirate informatique ne pourra donc pas obtenir un certificat SSL pour "www.nom-de-votre-banque.fr".
Réservé aux entreprises / organisations, les certificats EV SSL, peuvent permettre l'accroissement du taux de conversion pour des sites e-commerce :
Grâce à l'activation de la barre d'adresse verte, à l'affichage du nom de l'entreprise ainsi que sa localisation [FR], ces informations attirent l'attention du visiteur sur la barre d'adresse, et donc sur le cadenas de sécurité : Il s'agit en web-marketing, d'un élément de réassurance.
Le certificat SSL OV (validation de l'organisation) est similaire au EV. Il se distingue par le fait que la raison sociale n'est pas affichée dans la barre d'adresse URL mais uniquement à l'intérieur du certificat SSL. Il n'active donc pas la barre d'adresse verte.
Pour le certificat SSL DV, les AC (Autorités de Certification) ne vérifient pas l'identité du propriétaire du site Internet.
Ils s'assurent simplement que le titulaire du nom de domaine à sécuriser a bien donné son accord pour l'émission d'un SSL DV pour cette adresse.
Cette vérification s'effectue par l'envoi d'un e-mail d'approbation (simple lien sur lequel l'utilisateur doit cliquer), ou par l'upload d'un fichier à la racine du nom de domaine.
L'identité n'étant pas vérifiée, celle-ci n'est ni affichée dans le certificat, ni affichée dans la barre d'adresse.
Ce certificat active néanmoins le cadenas de sécurité et permet bien entendu l'utilisation du protocole HTTPS.
Un certificat auto signé est un certificat SSL gratuit qui est signé par le serveur qui l'a édité. Il n'est donc pas émis par une Autorité de Certification.
Par conséquence, il affiche une erreur de sécurité sur tous les navigateurs web, ce qui pousse les visiteurs à quitter la page.
Il est très rarement utilisé, excepté pour certains besoins internes (intranet) ou l'affichage d'une erreur de sécurité n'est pas problématique.
Nous vous recommandons d'acheter votre certificat SSL chez Wistee.fr, et ce, pour plusieurs raisons :
Voici un résumé des principaux certificats SSL, avec le meilleur rapport qualité / prix :
- 25 € HT / an : Il est émis par RapidSSL et permet de sécuriser une seule adresse : www.example.com ; mail.example.com ...
- 79 € HT / an : Il est émis par AlphaSSL et permet de sécuriser, de manière illimité, l'ensemble des sous-domaine d'un même nom de domaine.
L'Autorité de Certification GeoTrust est incontournable pour l'émission d'un certificat SSL à validation d'organisation.
- 129 € HT / an : Il permet de sécuriser une adresse. Exemple : www.example.com ; mail.example.com ...
- 279 € HT / an : Il permet de sécuriser de 1 à 5 adresses pour seulement 279 € HT / an : Exemple : www.example.com + mail.example.com + clients.example.com + www.autre-nom-de-domaine.fr ...
- 389 € HT / an : Il permet de sécuriser de manière illimité, l'ensemble des sous-domaine d'un même nom de domaine.
GeoTrust reste, là encore, l'Autorité de Certification la moins cher pour l'achat d'un certificat SSL :
- 199 € HT / an : Il permet de sécuriser une adresse en EV (barre verte). Exemple : www.example.com ; clients.example.com ...
- 389 € HT / an : Il permet de sécuriser de 1 à 5 adresses en EV (barre verte) pour seulement 389 € HT / an : Exemple : www.example.com + clients.example.com + www.autre-nom-de-domaine.fr ...
Si vous avez des questions concernant les certificats SSL, n'hésitez pas à déposer un commentaire ou à nous contacter au 03 44 02 02 15 !