Que ce soit pour votre site e-commerce ou votre serveur local de messagerie, l’utilisation des certificats SSL n’a jamais été aussi cruciale. En effet, celui-ci sécurise les échanges entre les internautes et un site Web, et démontre que ce dernier est digne de confiance.
Cet article vous dit ce qu’il faut savoir avant d’acquérir un certificat SSL pour votre site ou application Web.
La nécessité des certificats SSL
Quel que soit le type de site Web que vous avez entrepris de créer, pensez à le sécuriser par un certificat SSL. Même si l’on remarque rapidement son utilité pour les sites e-commerce, il est autant important pour les autres types de sites Web. Mis à part, qu’il sécurise tous les échanges numériques, il contribue aussi positivement à son référencement naturel.
En effet, depuis un moment déjà, le moteur de recherche Google, pénalise les sites Web ne disposant pas de certificat SSL valide. De plus, les internautes hésitent à s’engager avec des pages Web sans certificat SSL pour ne pas courir le risque du vol de leurs informations personnelles ou bancaires.
Types de validation
Les certificats SSL permettent aussi d’authentifier le propriétaire d’un site Web, fournissant ainsi une assurance supplémentaire aux visiteurs. Suivant le degré d’authentification, on distingue 3 types de certificats SSL :
- Les certificats SSL à validation de domaine (DV), qui se limitent à sécuriser un site Web sans fournir d’informations sur le propriétaire de ce site.
- Les certificats SSL à validation d’organisation (OV), qui en plus, informent le visiteur du site sur l’organisation propriétaire d’un site Web et attestent de son existence physique et juridique.
- Les certificats SSL à validation étendue (EV), qui offrent le plus haut niveau de fiabilité. Ils certifient que l’organisme propriétaire d’un site a été dûment vérifiée et affichent le nom de l’entreprise au niveau du navigateur.
La délivrance d’un certificat SSL se fait par une autorité de certification après validation (Digicert, Sectigo, Geotrust…). La durée de validation va de 1 à 5 jours en fonction du niveau de validation.
Nombre de domaines
On classe aussi les certificats SSL en fonction du nombre de noms de domaine qu’un seul certificat SSL sécurise. Suivant votre besoin, vous pouvez acquérir :
- Certificat SSL à domaine unique : Ce certificat se charge de la sécurité d’un unique nom de domaine ou d’un unique sous-domaine comme par exemple : votredomaine.com ou blog.votredomaine.com par exemple.
- Certificat SSL wildcard : Celui-ci va sécuriser tous les sous-domaines d’un seul nom de domaine. Par exemple : blog.votredomaine.com, www.votredomaine.com, shop.votredomaine.com, etc.
- Certificat SSL multi-domaine : Vous permettra de sécuriser plusieurs sous-domaines de noms de domaine différents. Ainsi, avec ce certificat SSL, vous pourrez sécuriser par exemple : blog.votredomaine.com, www.votreboutique.com, etc. Généralement ces certificats sont livrés avec un nombre limité de sous-domaines. Vous pouvez ajouter des sous-domaines supplémentaires payables séparément.
- Certificat SSL wildcard multi-domaine : Comme son nom l’indique, il sécurise des noms de domaine différents et tous leurs sous-domaines.
Prix des certificats SSL
Les prix sont très différents suivant les types de certificats SSL, allant d’une centaine à quelques dizaines de milliers de dirhams par an, ce prix varie suivant plusieurs critères :
- La notoriété de la marque.
- Le nombre de sous-domaines à sécuriser.
- La garantie offerte avec le certificat.
- Les options qui accompagnent le certificat (Tests de vulnérabilités, Anti-malware…).
Les certificats SSL gratuits
Les certificats SSL gratuits s’apparentent à la catégorie des certificats SSL à validation de domaine (DV) cités plus haut. Ils conviennent le plus souvent pour des blogs, des sites personnels ou encore pour une création de site web local. La sécurité de base est garantie, puisqu’au même titre qu’un certificat payant, il protégera le site en assurant le cryptage et le chiffrement des données transmises.
Sa durée de validité varie de 90 jours à 180 jours, selon l’organisme de certification choisi. Il convient aussi particulièrement lorsque l’on démarre sa présence en ligne et que l’on souhaite transmettre dès le départ une image de confiance à ses visiteurs.
À mesure que l’activité se développe et en particulier si des transactions financières ont lieu sur le site, il est possible et recommandé de passer à un niveau de protection supplémentaire, en optant pour un certificat aux niveaux de vérification et d’authentification plus étendus.
Durée de vie des certificats SSL
Les certificats SSL ont une durée de vie de 1 an renouvelable. Cela n’a pas toujours été le cas, puisqu’au tout début, ils avaient une durée de vie de 10 ans. Cette durée a été réduite en plusieurs étapes afin de faire face aux défis de sécurité actuels. Quelques hébergeurs proposent des durées de plus de 1 an. Dans ce cas, l’administrateur devra regénérer et réinstaller le certificat au bout de chaque année après sa date d’expiration.
Lorsque le certificat SSL d’un site expire et que son administrateur ne procède pas à son renouvellement, les navigateurs Web affichent des alertes de sécurité préjudiciables pour l’image de la marque, à tout visiteur. Raison pour laquelle il convient de rester vigilant et prévoir le renouvellement avant expiration de son certificat SSL.
Acheter un certificat SSL ne suffit pas
Lorsqu’une autorité de certification vous délivre un certificat SSL, elle vous fournit une sorte de clé unique avec laquelle les échanges avec votre site seront chiffrés. Pour rendre cela effectif, il faut installer ce certificat SSL sur le serveur hébergeant votre site Web. Votre hébergeur Web peut vous assister dans cette procédure au besoin.
Par la suite, tout internaute qui sollicitera votre site Web en HTTPS verra la confirmation au niveau du navigateur que votre site Web est sécurisé.
Forçage au niveau du développement Web
Il est important de noter que l’installation du certificat SSL ne signifie pas que tout internaute souhaitant visiter votre site Web aura une connexion sécurisée grâce à HTTPS.
En effet, la connexion à un site Web depuis un navigateur Web s’effectue en HTTP par défaut. Toutefois, ce protocole est la version non sécurisée du protocole HTTPS. Si votre visiteur ne précise pas l’utilisation de HTTPS, sa communication avec votre site Web ne sera pas sécurisée.
Pour avoir une connexion sécurisée en toute circonstance, un forçage doit être effectué du côté du développement du site Web pour rediriger tout le trafic HTTP vers HTTPS, afin de s’assurer que tout visiteur de votre site Web puisse naviguer sur votre site en toute sécurité.
Si vous utilisez WordPress par exemple, il existe des plugins qui effectuent ce forçage HTTPS et quelques fonctionnalités de plus suivant le plugin utilisé (exemple : WP Force SSL & HTTPS Redirect).
Conclusion
Le coût d’obtention d’un certificat SSL diffère d’un prestataire à un autre. Certains hébergeurs Web proposent même des offres d’hébergement Web avec un certificat SSL gratuit inclus.