ssl-choisir

Quel certificat SSL choisir

Depuis le début de l’année, Chrome affiche des alertes dans les navigateurs pour les sites qui ne sont pas en HTTPS. Cela faisait un moment que Google nous prévenait à ce sujet, et le couperet a fini par tomber. Firefox n’a pas tardé à suivre, et il affiche lui aussi une alerte, un peu moins anxiogène, dès qu’on se trouve sur une page qui demande un couple login – mot de passe, et qui n’est pas sécurisée par certificat SSL.

Du coup, c’est le rush, et tout le monde veut son petit fichier pour avoir le fameux cadenas vert dans sa barre d’URL. Mais sans trop savoir quoi commander. Un certificat DV ? Un certificat « Let’s Encrypt » ? Ou un EV ? Pour combien de domaine ? Et niveau SEO, ça pousse ?

Franchement, depuis le début d’année, on a lu un peu tout et n’importe quoi sur le SSL. Voici donc un petit topo « HTTPS », pour que vous vous y retrouviez, sans vous prendre la tête.

Source : technico-commercial pendant deux ans pour un gros dealer de SSL en France…

Pourquoi acheter un certificat SSL ?

« Boost sur le SEO », « rassurer le client », « se protéger des pirates », on a beaucoup entendu ça au sujet du SSL. Il y a à la fois du vrai, et du faux, dans tous ces arguments, car ils sont utilisés un peu n’importe comment. Faisons le tri…

Pour améliorer son référencement

Google a annoncé à plusieurs reprises accorder un boost au niveau SEO pour les sites qui sont https. Pour l’instant, le boost est si faible qu’on ne peut pas vraiment voir la différence. À mon avis, ça doit être un signal très marginal, qui ne pèse pas grand-chose dans la balance.

S’il est compliqué aujourd’hui d’estimer l’impact de l’Https sur le positionnement d’une page dans les Serp, il est en revanche très claire que ça ne pèsera jamais autant que le contenu ou les backlinks. Même si le nombre de sites en Https a considérablement augmenté dans la SERP, ça ne veut pas dire que ce seul facteur fait tout. Quelques années après la première annonce du boost SEO grâce à HTTPS, Moz publie l’été dernier un article démontrant plutôt l’efficacité de la campagne de communication de Google à ce sujet, tandis que de nombreux SEO expliquent que le boost est vraiment, vraiment faible.

Désolé, si vous comptiez sur le SSL pour pistonner votre site dans les SERP, vous allez être déçus…

ssl-boost

Pour authentifier son site

On va développer un peu par la suite, quand on va aborder le cas des certificats OV et EV. Mais, clairement, ça fait partie de l’argumentaire déroulé par les revendeurs de SSL, surtout en France. Oui, on peut voir le propriétaire du certificat, mais c’est vraiment, vraiment tiré par les cheveux. Si vous avez un EV, ça peut peser (l’info est visible tout de suite). Sinon, ça ne changera pas grand-chose, car il faut accéder aux données du certificat, et ça ne se fait pas si simplement…

Pour chiffrer sa connexion client-serveur

Oui ! Et en fait, c’est la raison première d’un certificat SSL : chiffrer la connexion entre votre navigateur et le serveur. Ici, chiffrer, ça veut dire « crypter », c’est-à-dire que si quelqu’un intercepte le signal entre votre navigateur et le serveur, il ne verra que de la « bouillie ». Et c’est pour cette raison là que vous devez vouloir un certificat SSL. Pas pour le SEO, pas pour le marketing (même si c’est vrai que ça pèse un peu), mais bien pour le côté « sécurité » (et encore, on va nuancer).

man-in-the-middle
Https permet de contrer les attaques de type « man in the middle »

Pour sécuriser son site ?

Non. Le SSL va chiffrer la connexion, point barre. Il ne va pas sécuriser le serveur, ni le navigateur du client, et il ne remplacera jamais de bonnes pratiques en matière de sécurité. Un certificat SSL ne sécurise pas un site Internet ! Vous aurez beau chiffrer la connexion tant que vous voulez, si on peut toujours faire de l’injection SQL, des attaques de type brute-force via SSH, que vous ne cachez pas l’adresse de connexion à votre back office, et que vous utilisez des couples login – mot de passe super faible, votre site tombera tôt ou tard, SSL ou pas… Ce n’est pas parce que la connexion est chiffrée que votre serveur est inviolable.

Que faut-il pour installer un certificat SSL ?

Pour installer un certificat SSL, vous devez avoir en votre possession plusieurs éléments :

  • Le certificat, dont le format dépendra du serveur sur lequel vous installez
  • La clé privée, générée en même temps que le CSR (Certificate Signing Request)
  • Éventuellement, une chaine de certification intermédiaire (ça dépend des autorités de certification)

Mais ça ne suffit pas ! En fait, tout dépend de la machine sur laquelle votre site est hébergé

Sur un serveur dédié

En priorité, il vous faut un truc : des compétences. Ou un administrateur-system. Ou un bon tuto (comme celui-ci, si vous êtes sur Apache). Installer un SSL sur un site simple (un nom de domaine, une seule adresse à sécuriser, une seule machine etc.), ça ne prend que quelques minutes.

Sur un serveur mutualisé

Là, vous devrez forcément passer la main. Comme votre serveur est mutualisé, vous ne pouvez pas vraiment le configurer à fond. Vous êtes donc à la merci des offres commerciales de votre hébergeur…

Quelles adresses devez-vous sécuriser ?

On rentre dans le vif du sujet : vous avez compris qu’aujourd’hui, un site sans SSL, c’est un site en perdition : Https est un nouveau standard. Et quand bien même vous n’avez qu’une recette de tarte au citron sur votre page, l’internaute peut craindre le pire (à tort) s’il voit que vous êtes encore en http. Vous n’avez plus le choix désormais (merci Google) …

Pour sécuriser un seul domaine

Vous devez sécuriser www.exemple.com ? Et c’est tout ? Alors un certificat « classique » fera parfaitement l’affaire ! Pour le « type » de certificat, c’est une autre histoire (on en parle plus bas). Mais pour ce qui est du FQDN (Fully Qualified Domain Name), ne vous prenez pas la tête, et optez pour un certificat sécurisant « 1 domaine ».

Pour sécuriser plusieurs domaines

Vous devez sécuriser www.exemple.com et blog.exemple.com ? Ou même www.exemple.fr ? Dans ce cas, il vous faut un certificat multi-domaine. OK. Mais lequel ?

Le Multi-SAN

Un SAN, c’est un Subject Alternative Name. Un certificat SSL de type SAN vous permet de sécuriser plusieurs sites. Par exemple :

  • fr
  • com
  • 168.0.22.4
  • toto.xyz

Voilà, vu comme ça, c’est plus simple. Mais attention, toutes les autorités de certification n’acceptent plus les IP locales, il faut voir au cas par cas.

C’est typiquement le genre de certificat que vous pouvez prendre pour sécuriser plusieurs sites sur un serveur dédié que vous contrôlez à 100%, et qui vous sert à héberger les sites de vos clients. À vous de voir si c’est plus rentable que de prendre plusieurs certificats mono-domaine.

Le WildCard

Le Wildcard est un type de certificat particulier : il peut sécuriser une infinité de sous-domaines. Par exemple :

  • domaine.fr
  • www.domaine.fr
  • blog.domaine.fr
  • machin.domaine.fr
  • etc

Mais attention, l’étoile ne s’applique qu’à un seul niveau de sous-domaine : dans notre exemple ci-dessus, vous ne pourrez pas sécuriser « bidule.www.domaine.fr » en plus du reste.

Les différents types de certificats SSL

On revisite un peu l’argumentaire commercial des revendeurs. Si vous dépensiez des centaines, voire des milliers d’euros par an en SSL, vous allez très probablement faire de belles économies désormais…

Le certificat DV (Domain Validated)

En théorie, c’est le type de certificat qu’on devrait trouver le plus sur Internet. À l’international, c’est déjà ce qui se passe. Mais en France, avant l’arrivée de Let’s Encrypt, c’était loin d’être le cas. Pourquoi ? Simplement parce que les revendeurs de certificat SSL poussent toujours le consommateur à prendre des certificats « Organisation validated » (plus grosse marge).

Un certificat domain-validated, c’est un certificat SSL qui va chiffrer la connexion entre le serveur et le client. Oui, c’est justement à ça que sert un certificat SSL. Chiffrer une connexion, point-barre. Un certificat domain-validated coûte tout aux plus quelques dizaines d’euros (un peu plus si c’est un certificat particulier, comme un Wildcard ou un multi domaine). On l’obtient en quelques minutes, et il fait très bien son travail.

Oui, il ne permet pas d’authentifier la société qui a pris le certificat. Mais comme très, très peu d’internautes vérifient cette info sur les certificats OV, ça ne change pas grand chose.

Perso, je ne prends que ça, sauf sur les projets e-commerce où je prends un EV.

Le certificat OV (Organisation Validated)

Ce type de certificat se retrouve un peu dans une position bâtarde, entre le certificat domain-validated et le certificat de type EV. La différence avec un certificat de type domaine validated ? On trouve des champs supplémentaires sur le certificat, pour voir :

  • Le nom de la société qui a commandé le certificat (le champ O, comme « Organisation »)
  • La région où se situe le siège de l’entreprise (Champ ST, comme « State »)
  • La ville où se situe le siège social de l’entreprise (Champ L, comme « Location »).

Et c’est tout ! Donc, clairement, oui, on peut « authentifier » le propriétaire du certificat, mais qui vérifie le champ O sur un certificat lorsqu’il passe une commande quelque part ? Combien d’internautes sont assez paranoïaques pour vérifier autre chose que le nom de domaine, en jetant un coup d’oeil à l’URL dans le navigateur ? Combien vont aller cliquer sur le petit cadenas, puis sur « afficher le certificat » etc ? 1 sur 1000 ? 1 sur 10 000 ?

À moins d’être sur un montage serveur complexe, qui requiert que deux machines s’identifient mutuellement en examinant toutes les deux le champ O de leurs certificats respectifs, un certificat domain-validated fera parfaitement l’affaire dans la grande majorité des cas. À moins que vous soyez sur du E-commerce, et là, il faudra monter en gamme (avec un EV).

Le certificat EV (Extended Validation)

La Rolls-Royce du certificat SSL ! Les certificats SSL de type EV permettent d’afficher une grosse barre verte dans le navigateur. Niveau chiffrement, c’est à peu près la même chose, vous n’aurez pas « plus de sécurité » parce que c’est un certificat EV. Par contre, niveau marketing, c’est un gros plus : le public a l’habitude de trouver cette barre verte sur les gros sites e-commerce, ou les sites de banque. Dans l’inconscient collectif, c’est donc une source de sécurité et de notoriété. Installer ce type de certificat sur un site E-commerce, c’est un très bon moyen de faire baisser le taux d’abandon de panier.

Et, si vous avez les bonnes adresses, un certificat SSL EV ne coûte pas si cher !

Et Let’s Encrypt ?

Magnifique initiative, Let’s Encrypt vous permet d’avoir un certificat SSL gratuit pour sécuriser un nom de domaine. Un bémol, car les certificats ont une durée de vie super courte (3 mois). Mais, grâce à une tache CRON et un petit script supplémentaire, on peut activer le renouvellement et le remplacement en mode automatique. Pourtant, je ne recommande pas cette solution, en dépit de son aspect « open source », car j’ai déjà vu des certificats Let’s Encrypt plantés, et ce à plusieurs reprises. Pas super pour la sécurité, encore moins pour le marketing.

Vu le faible prix d’un SSL aujourd’hui, il vaut mieux prendre une solution payante, mais qui fonctionnera tout le temps… Reste que si vous voulez tenter l’expérience, ou n’avez pas de budget pour un certificat SSL, Let’s Encrypt demeure une super alternative !

letsencrypt

Quelle autorité de certification choisir ?

Symantec, Thawte, GeoTrust, GlobalSign, Comodo, le marché dénombre moult autorité de certification SSL. Si le groupe Symantec détient de larges part de marché, ce n’est pas pour autant qu’il faut se précipiter sur leurs produits sans examiner leurs offres.

Clairement, niveau support, c’est le top. Mais un support de qualité a un coût. Et ici, ça pique un peu. Coté « Outsiders », Comodo est très bien, tout comme Globalsign. Au final, c’est presque une question de préférence personnelle, même s’il faut prendre en compte certains aspects techniques, comme la reconnaissance de la racine des certificats sur les différents navigateurs.

Pour des sites « grand public », la question ne se pose pas vraiment, car la plupart des navigateurs modernes reconnaissent la quasi-totalité des racines existantes. Par contre, si vous devez faire un site pour une population qui tourne encore sur IE6, il faudra examiner cet aspect un peu plus en profondeur…

Où acheter un certificat SSL pas cher ?

On trouve de nombreux distributeurs de certificat SSL sur le Web, et, clairement, les moins chers ne sont pas en France. Personnellement, je me fournis chez NameCheap : non seulement les tarifs sont au ras des pâquerettes, mais en plus les certificats sont livrés très rapidement. On y trouve vraiment de tout, du certificat domain-validated à moins de 10 €, au certificat EV multi-domaine, vous avez l’embarras du choix 🙂

Vous préférez prendre un certificat Organisation-validated a pratiquement 900 € pour un an ? Si vous avez du budget à claquer, pourquoi pas… Sinon…

Go Go Namecheap !

Verdict

A retenir : si vous voulez juste sécuriser une connexion client/serveur, pas besoin de claquer des milles et des cents !

On kiffe
On kiffe pas
A propos de l'auteur
Charles Annoni

Charles Annoni est chef de projet web depuis 2008. Formateur en référencement naturel, E-commerce et Webmarketing (Groupe FIM, AIFCC, IAE de Caen), il est également Webmaster Freelance et accompagne les entreprises dans leur développement sur le web.

Voir d'autres tests

2 réflexions au sujet de “Quel certificat SSL choisir”

  1. Bonjour,
    Je suis une jeune entrepreneuse et mon site e-commerce est sur le point d’être fini. Je l’ai crée via la plateforme Wizishop. Hier, ils m’ont appris que je devais configurer un certificat SSL, et qu’ils le proposaient à 299€/an… J’ai donc été faire mes recherches car j’ai trouvé ça vraiment très cher… Et, je suis tombé sur votre vidéo, qui vraiment très bien. Au vue de toutes les offres présentent sur le marché, je me doutais bien que tout ceci n’était que commercial. Mais j’ai une question, car sur les différentes offre, il parle de montant garanti… Sur l’offre la plus basse de Namecheap, le montant est de 10 000 dollars. Est-ce que cette offre pourrait quand même convenir à mon activité ? Je ne voudrais pas prendre de risques. Et, d’autres part, est ce compliqué à configuré ?
    Merci d’avance.

    Répondre

  2. Bonjour, tout d’abord, merci pour ce super article qui m’a beaucoup appris sur le sujet. J’ai une question par rapport à mon cas.
    J’ai un site e-commerce actuellement sur un serveur mutualisé. J’ai donc choisi l’option EV qui comme vous le dites rassurante marketingement parlant sur ce type de site. Le point qui me pose problème est que nous allons passer prochainement sur un serveur dédié et plus puissant pour faire face à notre trafic. Je souhaite donc savoir s’il vaut mieux mettre en place le certificat SSL avant ou s’il vaut mieux le mettre une fois le site basculé sur le nouveau serveur.
    Je vous remercie d’avance pour votre réponse.
    Julien

    Répondre

Laisser un commentaire

J’accepte les conditions générales d'utilisation et la politique de confidentialité