Comment choisir un certificat SSL ?

Une gamme complète de produits SSL qui répond à divers besoins en matière de domaines et de sécurité existe actuellement sur le marché. De nombreux fournisseurs de SSL proposent une multitude d’options complémentaires, ce qui rend la comparaison des fournisseurs relativement difficile. Dans cet article, vous trouverez les étapes à suivre pour choisir le certificat SSL qui répond le mieux à vos besoins.

 

Les certificats SSL

Avant de sélectionner un certificat SSL, il est essentiel de bien le définir. SSL signifie Secure Sockets Layer. Il s’agit d’un outil de sécurité qui permet de crypter des données lors de leur transfert sur un serveur. Les certificats SSL contribuent à protéger le transfert d’informations sensibles telles que les numéros de carte de crédit, les mots de passe et les noms d’utilisateur, les numéros de sécurité sociale… Les certificats SSL utilisent une clé publique et une clé privée, qui fonctionnent ensemble pour établir une connexion cryptée. En général, les données envoyées entre un navigateur et un serveur web sont envoyées en texte clair, ce qui peut vous rendre vulnérable aux pirates informatiques. Choisir un certificat SSL est essentiel pour profiter d’une protection cryptée lors du transfert en ligne d’informations sensibles. Notez par exemple que l’industrie des cartes de paiement [PCI] exige que vous ayez un certificat SSL si vous recueillez des informations sur votre carte de crédit sur votre site. Les certificats SSL peuvent également vous aider à gagner la confiance de vos clients et à vous protéger. Choisir un certificat SSL présente aussi des avantages du point de vue du référencement. En effet, Google donne désormais un léger coup de pouce au classement des sites web utilisant le HTTPS. Techniquement, Google ne prend en compte que les cinq premiers caractères de l’URL, ce qui signifie que votre site peut utiliser le protocole HTTPS sans certificat valide et bénéficier d’un classement amélioré. Toutefois, comme l’a suggéré Gary Illyes de Google, des contrôles plus stricts seront éventuellement mis en place.

 

Comment trouver un bon certificat SSL ?

Choisir un certificat SSL se fera en fonction du niveau de sécurité dont votre site web a besoin. Un certificat SSL validé par le domaine, autrement dit un certificat à faible niveau d’assurance, est le type de certificat standard émis. La validation automatisée garantit que le nom de domaine est enregistré et qu’un administrateur approuve la demande. Pour que la validation soit effectuée, le webmaster doit soit confirmer par courrier électronique, soit configurer un enregistrement DNS pour le site.

Pour choisir le certificat SSL, il est recommandé de suivre cette procédure :

L’enregistrement de votre domaine.

Vous devez d’abord enregistrer votre domaine avant de pouvoir sélectionner un certificat SSL de confiance et l’obtenir. En effet, les autorités de certification (AC), les organisations qui émettent les certificats, doivent vérifier la propriété du domaine. L’enregistrement de votre domaine est une étape essentielle pour la mise en place d’un site public. Il y a donc de fortes chances que, si vous cherchez à choisir un certificat SSL pour sécuriser un site web public au moins, vous ayez déjà franchi cette étape et puissiez passer à la deuxième. Si votre domaine n’est pas enregistré, il s’agit probablement d’un nom de serveur interne. Un nom interne est un domaine ou une adresse IP qui fait partie d’un réseau privé. À partir de novembre 2015, il est interdit aux AC d’émettre des certificats SSL de confiance publique contenant des noms de serveurs internes ou des adresses IP réservées. De ce fait, ces noms ne sont pas uniques et sont utilisés en interne, de sorte qu’il n’y a aucun moyen pour une AC de vérifier que l’entreprise en est propriétaire.

Avant de choisir un certificat SSL, vous devez savoir que vous ne pouvez pas utiliser un certificat SSL de confiance publique. Si vous voulez sécuriser les communications entre vos serveurs internes qui utilisent des noms de serveurs internes, une option consiste à utiliser des certificats autosignés ou à créer une autorité de certification interne et à émettre des certificats à partir de là. Bien que ces options soient certainement viables, la gestion de votre propre autorité de certification nécessite une grande expertise interne et peut exiger beaucoup de ressources. Certaines AC proposent également des certificats conçus exactement pour ce cas d’utilisation. Émis à partir d’une racine non publique, ces certificats n’ont pas besoin de respecter les mêmes règles que les certificats publics, ils peuvent donc inclure des éléments tels que des noms de serveurs internes et des IP réservés. Ainsi, vous pouvez sécuriser vos serveurs internes sans avoir à gérer votre propre AC ou à utiliser des certificats autosignés.

Le niveau de protection que vous exigez

Il s’agit d’un élément clé pour choisir un certificat SSL. Les niveaux de protection offrent une sécurité de session et cryptent toutes les informations soumises par le biais du site web, mais ils diffèrent en termes de quantité d’informations d’identité incluses dans le certificat et de la manière dont elles s’affichent dans les navigateurs. Il existe trois principaux niveaux de confiance pour les certificats SSL, du plus élevé au plus bas : certificat à validation étendue (EV), certificat d’organisation validée (OV) et certificat domaine validé (DV). Pour choisir un certificat SSL et sélectionner les niveaux de confiance, vous devez vous poser les questions suivantes : « Quel degré de confiance voulez-vous transmettre à vos visiteurs ? ». Souhaitez-vous que votre marque soit clairement présentée dans la barre d’adresse du navigateur ou simplement incluse dans le certificat lui-même ? Ou le fait de lier votre identité de marque à votre domaine n’est-il pas si important pour vous ? En effet, vous devez également considérer l’importance de votre identité de marque pour votre présence sur le web

Les certificats à validation étendue EV contiennent le plus grand nombre de données d’entreprise. Les entreprises doivent répondre aux exigences les plus élevées et les plus strictes de tout type avant de choisir un certificat SSL et l’obtenir. Ils confèrent également la plus grande crédibilité à votre site web en mettant en avant l’identité vérifiée de votre entreprise, en affichant clairement le nom de votre entreprise dans une barre d’adresse verte. Ce type de certificat vérifie ainsi que l’entreprise est une entité juridique et exige que des informations commerciales soient fournies comme preuve de la propriété du domaine. Les certificats SSL standard ne garantissent pas que votre site web soit exploité par une entreprise légitime et vérifiée. Une caractéristique exclusive de l’achat d’un certificat EV est que la barre de navigation de votre site web affichera un cadenas vert. Cela peut contribuer à renforcer la confiance des consommateurs et à les rassurer sur la sécurité de la transaction.

Avant de choisir un certificat SSL, retenez que les certificats d’organisation validée OV incluent également une authentification commerciale, ce qui signifie que des informations sur votre entreprise sont incluses. Contrairement aux certificats EV, ces informations ne sont pas affichées de manière très visible.

Les certificats DV sont le type de certificat SSL le plus basique. En effet, ils comprennent moins d’informations d’identité et prouvent seulement que le propriétaire du site web pouvait démontrer un contrôle administratif sur le domaine. Bien que les certificats DV offrent un cryptage de session, ils ne contiennent aucune information sur l’entreprise. Cela signifie, par exemple, que rien n’est inclus dans un certificat SSL DV délivré à www.companyefg.com pour vérifier qu’il est incontestablement géré par l’entreprise EFG. Pour cette raison, les certificats DV sont déconseillés aux entreprises.

Tout en tenant compte de la montée des sites web d’imposteurs, il est suggéré aux opérateurs de sites web de choisir des certificats SSL qui incluent des informations sur l’identité de l’entreprise (c’est-à-dire OV ou EV) afin que les visiteurs du site puissent voir l’identité du propriétaire du domaine.

Le nombre de domaines à protéger avec le certificat

Si vous devez protéger un seul domaine, utilisez un certificat standard. Si vous n’avez besoin de sécuriser qu’un seul domaine (par exemple. nomdedomaine.com, vous devez alors acheter un seul domaine, ou un certificat standard). Pour choisir un certificat SSL, vous avez le choix du niveau de confiance : DV, OV ou EV. Si, toutefois, vous devez sécuriser plusieurs domaines (par exemple pour les sites régionaux — .com, .co.uk, .de), ou plusieurs sous-domaines (par exemple pour les espaces clients — login-securite.exemple.com), vous devez envisager d’acheter un certificat Wildcard ou multi-domaines. L’utilisation d’un seul certificat pour couvrir plusieurs noms de domaine complets est plus rentable que l’achat de plusieurs certificats individuels. Cela simplifie la gestion, en particulier au moment du renouvellement du certificat.