Comment choisir le bon certificat SSL/TLS et lequel choisir ?

Comment choisir le bon certificat SSL/TLS et lequel choisir ?

par Sidick Allaladé le 7/01/2020 |

Mis à jour le 27/09/2020


Dans cet article j’utiliserai le terme plus exacte qui est SSL/TLS plutôt que l’abus de language qui fait que l’on dit plus souvent SSL, dans l’article ‘Pourquoi avoir un certificat SSL sur tous vos projets web’ je l’explique un peu.

Commençons donc par expliquer les autorités de certification, ou CA en format abrégé. Les autorités de certification sont des entités qui émettent des certificats numériques. Ils certifient la propriété d'une clé publique. Rappelez-vous, c'est ce que fait un certificat SSL. Il certifie la propriété d'une clé publique.

Le plus important, c'est que nous allons leur dire quelle URL nous allons utiliser, puis nous allons leur donner une clé publique. Et parfois, nous devrons aussi payer des frais.

Ils valideront alors à leur tour que cette clé publique et ces informations correspondent et ont l'air correct et nous retournerons un certificat certifiant la propriété de cette clé publique. C'est un peu comme si on notariait une identité. 

Dans le monde réel, vous pouvez aller chez un notaire ou un assermenteur et lui demander de légaliser ou certifier un document que vous signez. Vous pourriez apporter vos pièces d'identité pour qu'il puisse voir qui vous êtes et il pourrait dire qu'il vous a vu signer le document.

C'est pas mal le même processus ici. L'idée est d'avoir une tierce partie de confiance qui va se porter garante de cette clé publique. Les navigateurs vont garder une liste des autorités de certification, soit leur propre liste, soit ils vont en emprunter une du système d'exploitation. Et il feront confiance à ces autorités de certification, et puisqu'une autorités de certification a certifié qu'une URL particulière possède une clé publique, les navigateurs savent qu'ils peuvent faire confiance à cette clé publique.

Ce qui a été certifié, c'est qu'une clé publique appartient à une URL particulière. C'est tout !

Elle ne dit rien sur l'entité derrière cette URL. Nous ne savons pas si ce sont de bonnes ou de mauvaises personnes. Nous ne savons pas si leurs affaires vont bien ou s'ils sont sur le point de faire faillite. Tout ce que nous savons, c'est que cette clé publique est une clé légitime pour cette URL. 

La plupart d'entre elles exigent des frais en échange de leurs services, de la même façon qu'un notaire peut exiger des frais minimes pour authentifier un document pour vous. Mais il existe un projet à but non lucratif d’une communauté immense Let’s Encrypt qui vous fournit des certificats gratuits

Voici différents type de certificats

1- Certificats auto-signés (Self-signed certificates)

 Les certificats auto-signés sont des certificats qui n'ont pas été approuvés par une autorité de certification, mais qui ont été signés par vous. C'est vous qui vous en portez garant, pas une autorité de certification. Cela vous permet quand même d'effectuer le chiffrement avec eux parce qu'ils ont toujours une clé publique attachée. Mais ce qui leur manque, c'est la confiance d'une tierce partie. Nous n'avons pas une organisation externe sur Internet qui se porte garante sur  le fait que cette clé publique appartient à cette entité.

Donc, si vous essayez de visiter un site Web qui utilise un certificat auto-signé, le navigateur va afficher une alerte de sécurité parce qu'il ne lui fait pas confiance. 

Alors pour un site internet ce n’est certainement pas ce que vous voulez. 

Mais pourquoi voudriez-vous utiliser un certificat qui n'est pas digne de confiance par une tierce partie ?

Ils sont surtout utiles quand vous avez deux systèmes qui veulent communiquer entre eux et qui se font déjà confiance. 

2- Single domain certificates (Certificats de domaine unique)

Il s'agit d'un certificat dans lequel une clé publique est certifiée comme appartenant à un seul site Web, par exemple: www.votresite.com il est donc certifié uniquement pour www.votresite.com et votresite.com.

Mais supposons que vous souhaitez avoir blog.votresite.com ou admin.votresite.com ceci ne sera pas possible, il vous fera ce qu’on appelle un certificat Wildcard.

3- Wildcard certificate 

C’est exactement la même chose qu’un Single domain certificates, a la seul différence qu’il vous permet de l’utiliser sur plusieurs sous-domaine.

4- Multi-domain certificate (Certificat multi-domaine )

Encore une fois, c'est le même type de certificat, sauf qu’il peut être utilisé pour plusieurs domaines. Il peut être utilisé pour votresite.com, votresite.ca et monsite.com. Il y a une variation sur ce point qui est le certificat UCC ou SAN. Ils sont similaires aux certificats multi-domaines, mais ils sont principalement utilisés pour les environnements de communication Microsoft Exchange et Office.

Il existe aussi des différence dans les niveau de validation de domaines et celles-ci ont un impact sur les prix. Mais c’est compréhensible car ce qui est essentiellement différent, c'est l'effort que l'autorité de certification fait pour valider la propriété de cette clé publique. En termes simples, elle demande plus d'argent pour faire plus de travail afin de valider qu'un propriétaire est bien celui qu'il est.

Voici les differents type de validations :

- La validation de domaine



Elle est la plus courante, elle certifie seulement que la clé publique et le nom de domaine du site Web sont liés. Généralement, la façon de procéder est d'envoyer un courriel automatique au propriétaire du site Web qui est inscrit dans la base de données WHOIS. Ainsi, il l'enverra à quiconque dit être le propriétaire de ce site Web, et s'il peut recevoir ce courriel et y répondre, alors c'est une preuve suffisante de propriété. Une autre option est qu’ils vont vous demander d'afficher un fichier de données en general .txt sur le site Web parce que si vous êtes propriétaire du site Web, vous devriez pouvoir y mettre le fichier de données qu'ils pourront ensuite voir publiquement.

- La validation de l’organisation


Comme vous l'imaginez celle-ci comprend tout ce qui est inclus dans la validation de domaine mais en plus elle confirme également l'authenticité de l'organisation en vérifiant les bases de données de l'entreprise pour les statuts constitutifs et en confirmant l'adresse physique de l'entreprise. 

- La validation étendu 


La validation étendue fait le même type de validation que la validation de l'organisation, mais ils font une étape supplémentaire pour valider l'organisation.

Un humain contacte l'entreprise à un numéro de téléphone publié. Elle peut même y parler à plusieurs personnes. Mais il suffit qu'une personne réelle vérifie que quelqu'un répond au téléphone à cet endroit et que l'entreprise est bien celle qu'elle prétend être. Et c'est tout ce qu'elle fait, elle vérifie juste pour s'assurer que quelqu'un répond au téléphone et dit oui, c'est la bonne entreprise. L'un des avantages de la validation étendue, cependant, est que de nombreux navigateurs l'affichent différemment lorsque vous allez sur un site qui a une validation étendue. Ils mettront une belle et grande barre verte en haut et ils pourraient même mettre le nom de la compagnie au lieu de l'URL. Cela peut les rendre beaucoup plus fiables.

Alors lequel faut-il choisir ?

Chaque prêtre prêche pour sa paroisse dis t’on. Donc les autorités de certification veulent vous vendre l’option la plus chère en général en vous essayant de vous vendre pleins d’avantage mais …

Si votre but est de crypter vos communications ou d'empêcher les navigateurs de se plaindre à vos utilisateurs, choisissez simplement la validation de domaine simple. Si votre objectif est de rassurer au maximum votre client, choisissez tout de même la validation étendue, ou optez pour le juste milieu qui est la validation de l’organisation. 

Plus de validation permet toujours de renforcer la confiance de vos clients à l'heure actuelle. Par contre si le coût supplémentaire de plus de validation vous fait hésiter, alors vous n'en avez certainement pas besoin.

Si vous souhaitez de l’aide pour un besoin en sécurité web contactez nous ici (internal link) et nos experts se feront un plaisir de vous aider.

Partagez nous vos aventures liées au SSL/TLS en commentaire ?

Sidick Allaladé

Sidick Allalade, est directeur technologique à Oshara INC, et Co-fondateur de l'application web Osortoo. Il adore résoudre les problèmes informatiques complexes, doué dans le code et l'univers informatique, il a une bonne connaissance du marketing en ligne et en Gouvernance, Audit et sécurité des TI. 

Ses expériences sur des centaines de projets avec des compagnies de différentes envergures font de lui un atout précieux dans le web.

Cet article a-t-il été utile ?

Les lecteurs de cet article lisent aussi ...

Pourquoi suivre un processus de conception pour vos logiciels ou applications web ?

Un sage a dit un jour que si on ne planifie pas, on planifie alors d'échouer. Souhaitez-vous réduire le temps de développement de vo...

Pourquoi suivre un processus d...


Développer une application Native, Hybride ou Web ? Quelles sont les différences ?

Il existe différents types d'application (app), ayant chacune leurs avantages et inconvénients. Nous essayerons ici d'éclaircir vos ...

Développer une application Na...


Une agence de communication tout ce qu'il faut savoir

Une agence de communication to...


Comment installer un projet Laravel que vous avez cloné depuis Git

Laravel est un Framework php puissant et comme son slogan le mentionne c'est vraiment le Framework PHP pour les artisans du web. 'The P...

Comment installer un projet La...


Les secrets d'une stratégie marketing conforme au RGPD sans diminuer vos revenus ?

Le GDPR ou en francais RGPD est l’initiale de Réglement Général pour la Protection des Données et désigne la dernière directive...

Les secrets d'une stratégie m...


Les avantages du Marketing Social

Personne n'aurait pu s’imaginer il y a quelques années à quel point les médias sociaux gagneraient en popularité. Statista révè...

Les avantages du Marketing Soc...


×