Quel certificat SSL pour un site Internet ?

Les certificats SSL existent en plusieurs saveurs :

  • auto-signé,
  • approuvé,
  • accrédité,
  • avec une certification étendue.

La première version est gratuite, encore faut-il savoir le faire ; la procédure est simple mais relativement indigeste et opaque pour le profane. Seul petit bémol, la visite d’un site Internet pourvu d’un certificat SSL auto-signé provoque l’affichage d’un message inoffensif mais peu engageant :

untrustedSSLPour épargner aux visiteurs cette étape particulièrement dissuasive, il faut l’approbation d’une autorité de certification. On en trouve à tous les prix mais, même gratuit, en choisissant l’option de base, on en a pas vraiment pour son argent ! Il vaut mieux éviter les sites où l’on fait tout en ligne, en particulier la génération de la clé secrète (qui risque de ne pas l’être…).

Le niveau suivant, le certificat SSL approuvé passe inaperçu. On sait qui l’a approuvé, mais on ignore pour qui…

verifiedSSLPour un peu plus cher, on peut faire figurer l’organisme qui a demandé un certificat accrédité. Mais pour que les visiteurs le voient, il faudra qu’il le cherchent dans les détails du certificat ; c’est très peu probable qu’ils le fassent.

Et pour avoir cette information affichée directement, avec la fameuse “barre verte” si rassurante, il faut le top des certificats SSL : celui à validation étendue :

En fait un certificat SSL d’un site Internet sert à :

  1. crypter les échanges,
  2. valider la légitimité du site.

Pour le point 1, ils se valent tous ; le certificat auto-signé, gratuit, est parfait.

Pour le point 2, cela dépend des visiteurs :

  • ceux qui comprennent comment ça marche n’auront aucun état d’âme à ajouter une “exception de sécurité” sur un certificat auto-signé,
  • la plupart des visiteurs se contenteront d’une acceptation du certificat par leur navigateur (pas de message d’alerte),
  • les plus anxieux exigeront la “barre verte” (certificat de validité étendue),
  • les plus rigoureux iront voir les détails du certificat, même avec une “barre verte”.

Pour avoir la reconnaissance automatique du navigateur ou la “barre verte”, il faut payer. Mais contrairement à une idée largement répandue, on paye pour un vrai service : le contrôle de la légitimité du site.

Même pour une reconnaissance automatique, une autorité de certification sérieuse vérifiera que le demandeur du certificat est bien celui qui contrôle légitimement le nom de domaine.

Pour un certificat de validité étendue, c’est une enquête complète qui vérifie tout (enregistrement officiel de la société, adresse, téléphone) et contacte directement le dirigeant et 2 autres personnes (demandeur et approbateur) !

Maintenant, le certificat SSL est un critère retenu par les moteurs de recherche pour favoriser la visibilité des sites qui en sont pourvus. Et avec la prise de conscience de l’importance de la protection des données privées sur Internet, on peut s’attendre à ce que cela devienne presque incontournable.

Pour être accompagné dans la mise en place d’un accès https à votre site, c’est là :