Quand utiliser un certificat SSL ?

Si vous demandez aux Internautes sur votre site web des informations qui peuvent s’avérer confidentielles comme un login / mot de passe, vous devez utiliser un certificat SSL. Les informations circulent sinon en clair sur l’Internet.

Assurez-vous également que la version https://www.siteweb.fr ou https://siteweb.fr de votre site web ne présente pas de certificat invalide comme c’est malheureusement souvent le cas.
Les certificats SSL peuvent aussi être utilisés pour chiffrer des VPN ou des messageries électroniques.

De nombreux types de certificats parmi lesquels choisir :

Domain Validated, Organization Validated, Extended Validation, Wildcard, Unified Communication, SAN, Unified Communication, SGC, avec adresse IP, auto-signés, multi-clients. Voir l’article « Tous les certificats ne se valent pas. Il convient de bien choisir son type ».

Les prix varient en moyenne de 150€ à 700€ en fonction du type de certificat.

Les prix à l’année sont souvent dégressifs en fonction du nombre d’années de validité des certificats. Ils sont également dégressifs en fonction du volume de certificats acquis. Rien ne justifie des prix supérieurs.

Certaines AC vendent des certificats SSL à des prix extrêmement bas. D’autres les offrent packagés avec le nom de domaine par exemple. Cela peut apparaitre tentant. Nous avons néanmoins vu avec l’affaire Diginotar et l’affaire Comdo que quelques AC ne respectent pas assez rigoureusement les règles de bases. Vous prenez donc un réel risque. Comme le disent les anglo-saxons « If you pay peanuts you get monkeys ». Pour ces certificats l’enregistrement est par exemple totalement automatisé, ce qui est très dangereux. Vous ne disposez d’aucun service, ni d’aucune garanti en cas de problème.

Commencez par choisir une Autorité de Certification reconnue en France

Vous pouvez choisir une Autorité de Certification française ou étrangère. Comme pour les solutions Cloud vous pouvez être sensible à l’endroit où se trouve l’AC et où sont stockées les informations relatives à votre organisation. Dans tous les cas, choisissez une AC en qui vous avez confiance.

Le certificat électronique garanti en plus du chiffrement que le propriétaire du nom de domaine est bien identifié. Pour ceci si vous cliquez sur le cadenas dans le navigateur Internet vous visualisez l’Autorité de Certification qui a délivré le certificat ainsi que des informations sur le propriétaire de ce certificat.

Les Autorités de Certification (AC) signent un accord avec les éditeurs de navigateurs Internet et s’engagent à suivre des procédures très strictes de vérification avant de délivrer un certificat SSL. Ces Autorité de Certification sont auditées tous les ans.

L’éditeur du navigateur Internet fait confiance à l’Autorité de Certification qui délivre, après les vérifications requises, le certificat électronique SSL à des organisations pour des noms de domaines du type www.organisation.fr .

Les Autorités de Certification sont rassemblées dans la Certification Authorities (CA) and Browser Forum ou CAB Forum https://www.cabforum.org/forum.html.

Validez la qualité du support technique

En fonction des différents AC vous disposerez d’un service technique en français ou pas. Les horaires de ce support dépendent aussi du pays où vous l’achetez. Certains supports ne se font que par email avec parfois une très mauvaises réactivité. Certaines AC ne vous informent pas quand vos certificats expirent.

Des durées de validité de 1 à 3 ans pour se simplifier la vie et réduire les coûts

Les certificats SSL ont comme une carte bleue, une durée de validité. Le nom de domaine, peut changer de main, l’organisation évoluer, etc. A noter que si vous arrêtez d’utiliser un nom de domaine ou le cédez, vous vous devez contractuellement de révoquer le certificat.

Les durées de validité sont de 1 an, 2 ans et 3 ans, excepté pour les certificats EV et RGS* pour lesquels la durée de validité est de limitée à 1 an ou 2 ans. Certains fournisseurs de certificats SSL proposent des certificats au-delà de 3 ans, mais ces durées sont très rarement demandées, pour des raisons de sécurité comme de financement.
Assurez-vous bien que vos certificats ont des tailles de clé de 2048 bits
Les tailles de clé des certificats SSL étaient autrefois de 1024 bits. Aujourd’hui il est possible d’attaquer avec succès, en y mettant des moyens considérables certes, des clés de 1024 bits. Les clés des certificats SSL sont donc de 2048 bits. Des tailles de clés au-delà sont aujourd’hui inutiles. Certains navigateurs ne valident plus les tailles de clés en 1024bits. Vous devez également choisir des algorithmes de cryptage de 256 bits.

Les offres en volume avec des interfaces graphiques : tirer soit même ses certificats

Les AC qui délivrent des certificats proposent aussi souvent des offres pour lesquels l’organisation et des noms de domaines sont préalablement validés. Vous disposez d’une interface graphique vous permettant de vous auto-délivrer des certificats dans cette liste blanche de certificats préalablement validés.

Une durée d’émission du certificat qui peut varier

La durée d’émission se fera en une demi-journée pour les DV à trois jours maximum pour les EV, et ceci à partir du moment où vous avez rassemblé les documents nécessaires aux vérifications. Avant de demander un certificat SSL assurez-vous que votre « whois » est à jour avec les bonnes coordonnées du contact administratif et du contact technique. Pour ceci adressez-vous à votre registraire de nom de domaine.

Les sceaux dynamiques : accroitre un peu plus la confiance

Certaines AC proposent également un sceau dynamique : « Secured by Keynectis » ou « Norton Secured verfied by Verisign » par exemple. Quand l’utilisateur clique sur ce logo apposé sur votre page web, des informations relatives au certificat s’affichent dans une nouvelle fenêtre en https à l’adresse du nom de domaine Keynectis.com ou Verisign.com. Le sceau dynamique est un petit plus qui rassure les Internautes.