Qu'est-ce qu'un certificat SSL

Qu'est-ce qu'un certificat SSL ?

On explique tout sur les certificats SSL : Qu'est-ce qu'un certificat SSL et à quoi ça sert ! Pour finir on présente les 4 types de certificats SSL et où trouver les meilleurs prix !

Sommaire

 

Tout d'abord, qu'est-ce que le SSL ?

SSL signifie "Secure Socket Layer" et l'acronyme TLS signifie "Transport Layer Security".
Le protocole SSL / TLS permet d'assurer la confidentialité des données échangées entre un utilisateur (Internaute ou application / logiciel) et une application (site Internet, service de messagerie / e-mail).

Cette confidentialité est assurée par un chiffrement des données échangées entre l'utilisateur et l'application. Elle évite toute interception en "clair" des informations communiquées.

 

De manière générale, on utilise du SSL pour effectuer du chiffrement de données confidentielles (informations de connexions, transactions bancaires ...).
Parfois, il est également utilisé pour de l'authentification forte : Cela permet de s'assurer qu'on communique bien avec la bonne personne / serveur.

Prenons un exemple très simple : Vous êtes connecté sur un Hotspot WiFi, (dans hôtel, par exemple), et vous avez besoin de visualiser votre compte bancaire via l'application mobile (ou site web) de votre banque. Vous y renseignez donc vos identifiants de banque à distance. Si votre banque n'était pas sécurisée par SSL (désormais le TLS), un hacker connecté sur ce même WiFi pourrait intercepter vos identifiants. Mais rassurez-vous, cette sécurité SSL est bien entendu utilisée par votre banque !

Malgré cela, beaucoup d'autres sites Internet demeurent aujourd'hui non sécurisés... Pour les Webmasters, il devient impératif d'y remédier.


 

Qu'est-ce qu'un certificat SSL ?

Un certificat SSL est un fichier qui contient diverses données :

  • Une clé cryptographique dite "publique" qui est liée à une seconde clé cryptographique dite "privée" (installée sur le serveur qui héberge le site ou l'application) ;
  • La ou les adresse(s) sécurisée(s) (www.certificat-ssl.info, par exemple) ;
  • Et pour un certificat OV ou EV, la raison sociale de l'entreprise / organisation propriétaire de l'adresse sécurisée ;

C'est ce certificat qui permet l'initialisation de la connexion sécurisée visible sur le navigateur par la présence du HTTPS et par l'affichage d'un cadenas de sécurité.

Comme expliqué, activer le SSL permet de garantir une navigation sécurisée entre l'utilisateur et un serveur / application / site web grâce à un chiffrement SSL / TLS.
Un certificat SSL peut aussi permettre au webmaster de vous prouver son identité : Il vous garantit que communiquez bien avec celui qu'il prétend être...

Prenons un exemple (encore très simple) : Tout le monde (ou presque) a malheureusement déjà reçu un e-mail "émanent de sa banque" en vous invitant à y renseigner des coordonnées confidentielles. Il s'agit bien entendu d'un e-mail frauduleux, dit de "Phishing". Cet e-mail vous redirige vers un site Internet (plus ou moins bien imité) et dont l'adresse (nom de domaine) se rapproche parfois de l'adresse du site de votre banque.

Deux possibilités :

  • Ce site ne dispose pas de certificat (absence de cadenas de sécurité + https) : Signe qu'il s'agit d'un site malveillant puisque votre banque en utilise le SSL (souvent de type EV) ;
  • Parfois, il peut arriver que le pirate utilise un certificat SSL DV (à Validation du Domaine : Il s'agit d'un certificat SSL pas cher et bas de gamme) pour activer le cadenas de sécurité + https sur son site de phishing. Vous croyez ainsi être en sécurité, et bien non !

 

Car effectivement, un site avec SSL signifie seulement qu'il chiffre les données afin d'éviter toute interception "en clair" jusqu'au serveur.
De plus, le SSL DV n'indique pas l'identité du propriétaire du site sécurisé : Il peut être acheté par tout particulier, sans justificatif et pour n'importe quel nom de domaine, tant que celui-ci lui appartient.

 

Alors comment savoir si nous nous trouvons bien sur le site qu'il prétend être ? En vérifiant l'identité inscrite dans le certificat SSL !

Exemple d'un certificat SSL EV sur Google Chrome :

 


 

Les 4 types de certificats SSL

 

Le certificat SSL EV (Extended Validation)

Dans le cas d'un certificat EV, l'identité de l'entreprise propriétaire du site Internet est inscrite à l'intérieur de celui-ci.
On y trouve entre autre : La raison sociale, la ville, le département ainsi que le pays dans lequel le siège social est basé.

Le SSL EV procure un niveau d'identification le plus élevé possible : C'est pour cette raison qu'il s'appelle EV (à Validation Etendue, en anglais : Extended Validation).
En plus du chiffrement SSL, l
a raison sociale (avec un éventuel nom commercial) est affichée dans la barre d'adresse URL qui devient verte. Le cadenas de sécurité s'active, tout comme le protocole HTTPS.

Pour qu'un certificat SSL EV soit émis, l'identité de l'entreprise / organisation est préalablement vérifiée par l'Autorité de Certification qui se doit de respecter des règles simples, mais très strictes. Ces vérifications visent à s'assurer que le demandeur du SSL EV est bien propriétaire du site Internet qu'il souhaite sécuriser : Un pirate informatique ne pourra donc pas obtenir un certificat SSL pour "www.nom-de-votre-banque.fr".

Réservé aux entreprises / organisations, les certificats EV SSL, peuvent permettre l'accroissement du taux de conversion pour des sites e-commerce :
Grâce à l'activation de la barre d'adresse verte, à l'affichage du nom de l'entreprise ainsi que sa localisation [FR], ces informations attirent l'attention du visiteur sur la barre d'adresse, et donc sur le cadenas de sécurité : Il s'agit en web-marketing, d'un élément de réassurance.

   
 

Le certificat SSL OV (Organization Validation)

Le certificat SSL OV (validation de l'organisation) est similaire au EV. Il se distingue par le fait que la raison sociale n'est pas affichée dans la barre d'adresse URL mais uniquement à l'intérieur du certificat SSL. Il n'active donc pas la barre d'adresse verte. 

   
 

Le certificat SSL DV (Domain Validation)

Pour le certificat SSL DV, les AC (Autorités de Certification) ne vérifient pas l'identité du propriétaire du site Internet.
Ils s'assurent simplement que le titulaire du nom de domaine à sécuriser a bien donné son accord pour l'émission d'un SSL DV pour cette adresse.
Cette vérification s'effectue par l'envoi d'un e-mail d'approbation (simple lien sur lequel l'utilisateur doit cliquer), ou par l'upload d'un fichier à la racine du nom de domaine.

L'identité n'étant pas vérifiée, celle-ci n'est ni affichée dans le certificat, ni affichée dans la barre d'adresse.
Ce certificat active néanmoins le cadenas de sécurité et permet bien entendu l'utilisation du protocole HTTPS.

   
 

Le certificat SSL auto signé

Un certificat auto signé est un certificat SSL gratuit qui est signé par le serveur qui l'a édité. Il n'est donc pas émis par une Autorité de Certification.
Par conséquence, il affiche une erreur de sécurité sur tous les navigateurs web, ce qui pousse les visiteurs à quitter la page.

Il est très rarement utilisé, excepté pour certains besoins internes (intranet) ou l'affichage d'une erreur de sécurité n'est pas problématique.

 


 

 


 

Où acheter un certificat SSL pas cher et au meilleur prix ?

Nous vous recommandons d'acheter votre certificat SSL chez Wistee.fr, et ce, pour plusieurs raisons :

  1. Ils revendent les certificats des plus grosses Autorités de Certification mondiale : RapidSSL ; Thawte ; GeoTrust ; GlobalSign et Symantec
  2. Le prix d'achat du certificat SSL est nettement inférieur aux tarifs des Autorités de Certification (jusqu'à -45%)
  3. Le support est composé d'experts en sécurité SSL
  4. Si vous leur demander, ils se chargent d'installer le certificat SSL sur votre serveur... Dans les règles de l'art et gratuitement !

Voici un résumé des principaux certificats SSL, avec le meilleur rapport qualité / prix :

  •  
  • Certificat SSL DV
  • https + cadenas de sécurité
  • 1 seule adresse : www.example.com
    25 € HT / an
  • Sous-domaine illimités : *.example.com
    79 € HT / an
  •  
  •  
  • Certificat SSL OV
  • https + cadenas de sécurité
    Emis au nom de l'entreprise / organisation
  • 1 seule adresse : www.example.com
    129 € HT / an
  • 1 à 5 adresses : www.example.com + .fr ...
    279 € HT / an
  • Sous-domaine illimités : *.example.com
    389 € HT / an
  •  
  •  
  • Certificat SSL EV
  • https + cadenas de sécurité
    Barre d'adresse URL verte + raison sociale
  • 1 adresse : www.example.com
    199 € HT / an
  • 1 à 5 adresses : www.example.com + .fr ...
    389 € HT / an
  •  

 

Certificat SSL DV :

- 25 € HT / an : Il est émis par RapidSSL et permet de sécuriser une seule adresse : www.example.com ; mail.example.com ...
- 79 € HT / an : Il est émis par AlphaSSL et permet de sécuriser, de manière illimité, l'ensemble des sous-domaine d'un même nom de domaine.

 

Certificat SSL OV :

L'Autorité de Certification GeoTrust est incontournable pour l'émission d'un certificat SSL à validation d'organisation.

- 129 € HT / an : Il permet de sécuriser une adresse. Exemple : www.example.com ; mail.example.com ...
- 279 € HT / an : Il permet de sécuriser de 1 à 5 adresses pour seulement 279 € HT / an : Exemple : www.example.com + mail.example.com + clients.example.com + www.autre-nom-de-domaine.fr ...
- 389 € HT / an : Il permet de sécuriser de manière illimité, l'ensemble des sous-domaine d'un même nom de domaine.

 

Certificat SSL EV :

GeoTrust reste, là encore, l'Autorité de Certification la moins cher pour l'achat d'un certificat SSL :

- 199 € HT / an : Il permet de sécuriser une adresse en EV (barre verte). Exemple : www.example.com ; clients.example.com ...
- 389 € HT / an : Il permet de sécuriser de 1 à 5 adresses en EV (barre verte) pour seulement 389  € HT / an : Exemple : www.example.com  + clients.example.com + www.autre-nom-de-domaine.fr ...

 

Si vous avez des questions concernant les certificats SSL, n'hésitez pas à déposer un commentaire ou à nous contacter au 03 44 02 02 15 !

Notez cet article:
4
01/10/2016 : Fin des certificats SSL pour les adre...