Certificat SSL - HTTPS pour le site concepteur-developpeur-web.fr

Quel certificat SSL pour votre site internet

L’obtention d’un certificat SSL est un passage obligé pour créer un site bénéficiant d’un protocole http sécurisé ou passer un site existant au HTTPS. Mais la mise en place d’un protocole HTTPS sur un site web peut parfois dérouter. Les créateurs de sites les plus novices confondront souvent des concepts tels que le certificat SSL ou le Secure Transport Layer et se sauront pas toujours quel certificat choisir pour leur propre site web.  Cet article vous fait le point sur le SSL et les bénéfices que l’on peut attendre de son installation sur un site internet. 

Qu’est-ce qu’un certificat SSL ?

Un certificat SSL est une garantie fournie par une organisation faisant autorité qui permet d’authentifier formellement une entité comme étant propriétaire d’un domaine ou d’une URL de site web. Le certificat SSL inclut aussi le moyen de sécuriser les échanges des données réalisés sur le site internet à l’aide d’un système basé sur des clés de cryptage.

Ce certificat pend la forme d’un fichier de données hébergées sur le serveur du site et qui permet d’initialiser une négociation SSL qui permettra de certifier l’authenticité du propriétaire du site et à chiffrer les transmissions de données entre le navigateur et le serveur.

Le certificat SSL créé ainsi un lien entre nom de domaine, nom d’hôte et l’identité d’une entité ou d’une personne (parfois un lieu).

En fonction du type de certificat obtenu, celui-ci permettra donc de :

  • Certifier le domaine (et/ou ses sous-domaines) visité par l’internaute
  • Accéder aux informations et coordonnées de l’organisation détentrice du certificat SSL
  • Accéder à une clé publique dite de chiffrement des données
  • Accéder à l’autorité de certification ayant délivré le certificat SSL ainsi qu’à sa signature

C’est le certificat SSL qui permet au protocole du site internet de passer du http au HTTPS.

Que signifie SSL ?

Le SSL est un protocole de sécurité, « une couche » situé entre les protocoles HTTP et TCP/IP, qui permet de chiffrer et de vérifier l’intégrité des données transmises sur internet ou lors d’échanges e-mails.

Le protocole SSL est basé sur la transmission d’une clé publique par un site ou un serveur au navigateur connecté, et qui qui sera utilisée par ce « client » pour crypter les données renvoyées à ce même serveur. Une clé de déchiffrement dite « privée », permettra alors de déchiffrer les données cryptées transmises.

En 20   ans, Le protocole SSL a beaucoup évolué, soit, depuis janvier 1999, date de l’ajout de la couche TSL (Transport Socket Layer) au protocole http et depuis laquelle la couche de sécurité a connu trois mises à jour majeures, TLS 1.1 en 2006, 1.2 en 2008 et 1.3 en 2014.

Fonctionnement du SSL/TSL

Une fois l’authenticité du site validée, le protocole SSL Initialise la couche Secure Socket Layer au dessus protocole de communication http, afin de garantir une navigation sécurisée. La connexion chiffrée entre site web et navigateur web s’effectue ensuite via cette couche intermédiaire supplémentaire appelée désormais TSL (Transport Socket Layer) en utilisant des algorithmes de chiffrement.

Le processus initié consiste alors en une succession d’échanges entre le navigateur (le client) et le serveur du site internet :

  • Une demande d’authentification adressée au serveur (site) ;
  • L’envoie de l’authentification du serveur au navigateur via un certificat ;
  • La vérification du certificat et la demande des clés de chiffrement au serveur en cas de validation et l’envoi d’une demande de chiffrement et d’une clé publique de cryptage ;
  • L’utilisation d’une clé publique permettant la transmission d’échanges d’informations chiffrées ainsi que la vérification de l’intégrité des données transmises ;
  • Le traitement des données transmises.

Utilité d’un certificat SSL

Comme nous l’avons vu, un certificat SSL permet d’initialiser le chiffrement des transmissions de données sensibles, rien d’étonnant donc à ce que les sites e-commerce aient été les premiers à utiliser ce système permettant de pérenniser les transactions sur le web.

Mais au fil du temps, et dans un contexte d’interconnexion grandissante entre les sites et autres plateformes internet, la quasi-totalité du web s’est progressivement doté de ce certificat afin de garantir la confidentialité des échanges mais aussi de permettre, pour les plus grosses enseignes, d’éviter les usurpations d’identité de domaine ou d’adresse IP, ou les détournements de marques.

Enfin, l’utilisation généralisée du certificat SSL permettant de créer un sentiment de confiance pour l’utilisateur finale du site internet, Google a fini par intégrer sa présence aux critères de positionnement des sites sur son moteurs de recherche.

Ainsi, si la présence d’un certificat SSL n’est pas aujourd’hui un critère déterminant pour le référencement des sites web, son absence commence véritablement à pénaliser leur positionnement sur les pages de résultats des recherches des internautes.

Sécuriser les échanges de données, éviter les usurpations d’identité et répondre aux critères d’exigences de Google sont finalement trois bonnes raisons d’installer le HTPS sur un site internet.

Les différents types de certificats SSL

Il existe 6 types de certificat SSL dont 3 sont très couramment utilisées. Mais la grande majorité des sites de dimensions raisonnables tels que les sites vitrines, petits e-commerce, blog pro, etc. bénéficieront généralement d’un certificat DVC (à validation de domaine) ou générique).

Votre devis en 48 H chrono !

Demandez à être rappelé !

Nous préciserons ensemble votre projet
de vive voix 

Certificat SSL à validation de domaine

Un Certificat SSL à validation de domaine (DomainSSL ou DV) est le plus courant. Permet aux entreprises et particuliers de bénéficier d’un certificat de cryptage sans contrainte de transmission de document à une autorité de certification. Ce certificat, qui est aussi le moins cher, voire gratuit, est généralement proposé par les l’hébergeur du site web dès les offres dites planchers.

Les certificats à validation d’organisation

Un certificat SSL à validation d’organisation (OrganizationSSL ou OV) nécessite la vérification des informations des droits détenus par une entité pour l’utilisation du domaine. Le nom de l’organisation apparaît dans le certificat.

Les certificats à validation étendus

Un certificat SSL à validation étendus (EV) sest oumis à des critères exigeants de validations (les EV guidelines) incluant la vérification de l’existence légale et opérationnelle, les droits exclusifs d’utilisation, etc.

Les certificats SSL génériques

Les certificats SSL génériques permettent de protéger un domaine ainsi qu’un certain nombre de sous-domaines non ciblés. On utilise généralement l’astérisque pour cibler la zone de domaine souhaitée pour sécuriser l’ensemble des sous domaines correspondants.
Par exemple *.mon-site.com permettra de prendre en charge aussi bien blog.mon-site.com que boutique.mon-site.com.

Les certificats à domaine multiples

Les certificats SSL à domaine multiples (MDC) permettent à une entité de sécuriser un nom de domaine principal ainsi que des DNS ou domaines périphérique, sans toutefois inclure les sous-domaines correspondants. Ce type d’offre de certificat SSL s’adresse donc principalement aux entités possédant plusieurs sites ou serveur sur plusieurs domaines différents, parfois aussi sur plusieurs TLD différents.

Les certificats SSL de communication unifiée

Les certificats SSL de communication unifiée (UCC) permette de répertorier, de labéliser l’ensemble des domaines et sous-domaines d’une entité sous le même certificat. Il est fréquent de voir des offres proposant la sécurisation de plusieurs centaines de domaine par le même certificat SSL UCC. Ce type de certificat SSL utilise des wildcards aussi appelé Subject Alternative Name (SAN).  Là encore, il s’agit d’une offre s’adressant aux grands groupes internationaux ou entité gouvernementales.

Attribution d’un certificat SSL

Les certificats SSL sont généralement demandés directement auprès des hébergeurs tels que IONOS, OVH, etc. Mais dans tous les cas de figure les certificats sont finalement délivrés par une autorité de certification (Certification Authority) chargée :

  • De garantir l’authentification d’une entité, personne physique ou morale,
  • De garantir l’authenticité d’un domaine lié à cette entité
  • De relier cette organisation à un certificat établi incluant des clés de chiffrement privées et publiques
  • In fine, d’établir un lien étendu entre le domaine et l’organisation, son existence juridique, sa localisation, ses droits exclusifs à utiliser le domaine en question.

Les principales autorités de certifications sont aujourd’hui :

  • Comodo avec plus de 40% des certificats délivrés ;
  • Digicert avec un peu plus de 15% ;
  • GoDaddy qui fournit près de 8 % ;
  • GlobalSign qui assure près de 5%.

Le certificat SSL minimal pour sécuriser son site internet

Il peut être intéressant de se demander s’il est pertinent de fournir un certificat SSL à un domaine existant ou à l’occasion d’une création de site internet, et, si tel est le cas quel certificat choisir ou demander à son hébergeur.

Les mini-sites ou les blogs pourront peut-être se passer d’une installation de certificat SSL, mais nous voyons de plus en plus de sites de ce type afficher fièrement un cadenas en barre d’adresse, contribuant ainsi à la sécurisation globale du réseau. Après tout, nombre d’exploitation de brèches ou de vols de mots de mots de passe se produisent tous les jours sur des sites de très petite dimension.

Les sites e-commerce de petite dimension ainsi que les sites vitrine ou les sites proposant de petits volumes de transactions pourront se contenter d’un certificat à validation de domaine. Mais il est à noter qu’il n’est pas conseiller de ne pas échanger de ‘informations financières sur ce type de certificat puisque, dans l’absolu, celui-ci n’offre pas de validation d’organisation qui pourraient permettent d’éviter une usurpation d’identité (un site se faisant passer pour un autre).

Les sites e-commerce plus conséquents ou autres plateformes proposant des échanges de données sensibles devront quant à eux recourir a minima, à un certificat à validation d’organisation.

Prix des certificats SSL les plus courants

Dans ce contexte, la plupart des hébergeurs proposent aujourd’hui la mise en place d’un certificat SSL gratuit tel que LetsEncrypt ou une offre de certificat à validation de domaine (DV) à un prix raisonnable (25 à 40€/an).

Le prix des certificats SSL à validation d’organisation (OV) se situe quant à lui entre 80 et 120 €/an.

Il vous faudra enfin compter 200 à 250€/an pour un certificat SSL à validation étendue (EV).

N’hésitez pas à demander l’avis de votre webmaster si vous avez le moindre doute sur le choix et l’installation d’un certificat SSL sur votre site web.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *