Tout savoir sur les certificats SSL

À l’ère de la numérisation, le monde des affaires assiste à une transformation digitale très rapide. C’est pourquoi le thème de la sécurité sur Internet  devient la priorité N°1 de toute entreprise en ligne. Si vous avez un site Web et que vous collectez des informations par le biais de celui-ci, vous devez renforcer la sécurité de votre site Web et tout sécuriser: des informations de contact du visiteur de votre site aux détails des cartes de crédit. Cela peut être fait à l’aide d’un certificat SSL.

En plus depuis 2014, Google le géant du web, met la pression sur ses utilisateurs en appliquant les cryptages HTTPS comme signal de classement dans les résultats de recherche, ce qui signifie que plus votre site est sécurisé, mieux il est classé pour le référencement.

Vous trouverez dans cet article les réponses sur les questions les plus fréquentes à propos des certificats SSL

Qu’est-ce qu’un certificat SSL?

Un certificat SSL (Secure Sockets Layer) aborde la sécurité de votre site de deux manières:

  1. Cryptage des données:il garantit que toutes les communications entre votre site Web, son serveur et un visiteur sont cryptées et donc sécurisées. Cela signifie que les noms d’utilisateurs, mots de passe et détails des cartes de crédit des clients sont cryptés, de sorte qu’ils ne peuvent être interceptés ou manipulés par personne.
  2. Authentification:il authentifie l’identité de l’entreprise qui détient le certificat. Cela donne aux visiteurs une idée approximative ou des données exactes sur qui ils traitent, selon le niveau du certificat.

Un certificat SSL protège non seulement les clienst qui achètent auprès de votre site web mais aussi la réputation de votre entreprise. Les clients savent qu’un site est sécurisé, lorsqu’ils voient “https: //” plutôt que “http” dans les résultats du moteur de recherche ou au début d’une adresse de site Web (URL).

Une autre façon d’identifier un site Web sécurisé consiste à rechercher le cadenas au début de l’URL:

Le cadenas et https renforcent la confiance des clients. Ils peuvent également augmenter le classement de votre site dans les moteurs de recherche .Tout cela se traduit par des taux de conversion et un ROI plus élevés.

Sans le certificat SSL, les visiteurs de votre site verront un message «Non sécurisé» dans l’URL. Sans surprise, il est peu probable que vos visiteurs restent pour voir ce que vous avez à offrir.

Comment fonctionne un certificat SSL?

  1. Le navigateur se connecte à un serveur Web (site Web) sécurisé avec SSL (https). Le navigateur demande que le serveur s’identifie.
  2. Le serveur envoie une copie de son certificat SSL, y compris la clé publique du serveur.
  3. Le navigateur vérifie la racine du certificat par rapport à une liste d’autorités de certification approuvées et que le certificat n’est pas expiré, non révoqué et que son nom commun est valide pour le site Web auquel il se connecte. Si le navigateur fait confiance au certificat, il crée, crypte et renvoie une clé de session symétrique à l’aide de la clé publique du serveur.
  4. Le serveur déchiffre la clé de session symétrique à l’aide de sa clé privée et renvoie un accusé de réception chiffré avec la clé de session pour démarrer la session chiffrée.
  5. Le serveur et le navigateur chiffrent désormais toutes les données transmises avec la clé de session.

Types de certificats SSL

Il existe plusieurs types de certificats SSL et il est important de savoir quelle option convient à votre entreprise. Pour vous aider à décider.

Commencez par vous poser ces questions:

  • Cryptage: combien de données sensibles dois-je gérer et, par conséquent, quelle doit être la force de mon cryptage pour des raisons de sécurité
  • Authentification: Quelle est la force des visiteurs de mon site pour savoir que mon entreprise est légitime?
  • Mono ou multi-domaines: combien de sites Web est-ce que je sécurise?

Cryptage: De combien de sécurité ai-je vraiment besoin?

Lors de l’achat d’un certificat SSL, notez que la force de chiffrement de certains produits peut varier. La force de cryptage du certificat est une mesure du nombre de bits dans la clé utilisée pour crypter les données pendant une session. Plus le nombre est élevé, plus il faudrait de temps à un ordinateur pour déchiffrer les données.

Authentification: Dans quelle mesure le visiteur de mon site a-t-il besoin de savoir que mon entreprise est légitime?

Tous les certificats SSL chiffrent la communication, mais chacun offre un niveau d’authentification différent.

           – Un certificat SSL de validation de domaine (DV)

Ce certificat (DV) crypte la communication et il authentifie la propriété du domaine. Du point de vue visiteur, ses données sensibles seront sécurisées et s’il connaît et fait confiance à votre entreprise, il n’aura pas besoin de savoir qui se cache derrière le domaine. Cependant, si la est marque inconnue, vous ferez bien de mettre à niveau votre validation de domaine vers une validation étendue afin que votre visiteur ait confiance en la propriété et la légitimité de votre entreprise.

  • Ce qu’il offre:cryptage symétrique 256 bits et validation de domaine
  • Ce que vous devez faire:prouver la propriété de votre domaine
  • Combien de temps il faut pour émettre:généralement quelques minutes

          – Un certificat SSL de validation d’organisation (OV)

Ceci est le niveau suivant. le certificat OV offre également un cryptage symétrique 256 bits et le niveau d’authentification est plus élevé car seules les entités juridiques légitimes peuvent en obtenir un. Les organisations sont authentifiées par de vrais agents qui vérifient les informations par rapport aux bases de données du registre du commerce hébergées par les gouvernements. Voici les éléments vérifiés:

Les visiteurs, en cliquant sur le certificat OV, peuvent voir les informations nécessaires pour valider votre organisation.

Le problème est qu’à première vue, il n’est pas facile pour le visiteur de faire la distinction entre un certificat SSL DV et OV, et tout le monde ne sait pas où trouver les informations supplémentaires disponibles sur votre entreprise. Dans l’URL, il ressemble exactement à un certificat SSL de validation de domaine

  • Ce qu’il offre:cryptage symétrique 256 bits, authentification commerciale légère et affichage des informations organisationnelles vérifiées dans les détails du certificat.
  • Ce que vous devez faire:Fournissez la preuve que:
  • Vous possédez le domaine
  • Votre entreprise est une entité juridique légitime
  • Votre entreprise est basée là où vous le dites
  • Combien de temps cela prend:1 – 2 jours

          – Un certificat SSL à validation étendue (EV)

Un certificat EV comprend également un cryptage symétrique 256 bits, mais la validation de votre organisation est du plus haut niveau. Dans certains navigateurs, il est extrêmement évident pour les visiteurs que votre site est sécurisé, car la barre d’adresse s’affiche en vert et affiche le nom de votre entreprise, ainsi que le cadenas et «https».

Il a été prouvé que ce niveau de protection supplémentaire stimule les ventes, ce qui signifie que, même si cela coûte un peu, vous obtenez un bon retour sur investissement. Voici les éléments vérifiés dans ce certificat:

  • Ce qu’il offre:cryptage symétrique 256 bits et validation étendue de l’organisation
  • Ce que vous devez faire: Fournissez la preuve que:
  • Vous possédez le domaine
  • Votre entreprise est une entité juridique légitime
  • Votre entreprise est basée là où vous le dites
  • Votre entreprise est enregistrée comme entreprise
  • Votre entreprise approuve le certificat SSL
  • Tous les documents de validation d’entreprise que vous devez fournir sont corrects
  • Combien de temps cela prend: généralement 1 à 5 jours mais parfois plus

Combien de sites Web est-ce que je sécurise?

Une fois que vous avez décidé du niveau de validation dont vous avez besoin, vous devez vous assurer que votre certificat sécurise tous vos domaines. Choisissez parmi:

  • Un certificat SSL de domaine unique

Les certificats SSL à nom unique couvrent un seul domaine ou sous-domaine.

Donc, si vous achetez un SSL à nom unique pour un site Web appelé www.cheapdeals.com, il ne couvrira pas mail.cheapdeals.com.

Cela peut être utile si, par exemple, vous avez ajouté un sous-domaine après avoir obtenu votre certificat SSL d’origine pour votre domaine principal.

  • Un certificat SSL générique

Un certificat SSL générique couvre plusieurs sous-domaines qui relèvent d’un même domaine, tant que la structure d’URL provient du domaine principal.

Donc, si vous en achetez un pour oxabox.com, il peut également couvrir mail.oxabox.com ou login.oxabox.com, mais pas example.shop.oxabox.com.

Cela signifie que vous n’avez besoin de passer par le processus de validation qu’une seule fois pour tous vos sous-domaines, ce qui vous fait gagner du temps et de l’argent. Notez que tous les sous-domaines doivent être répertoriés sur votre certificat SSL.

  • Un certificat SSL multi-domaine

Les certificats multi-domaines (ou SAN) vous permettent de sécuriser plusieurs domaines et leurs sous-domaines sous un même certificat, ce qui vous fait gagner du temps et de l’argent.

Facteurs à considérer lors du choix d’un certificat SSL

Avant de vous précipiter pour acheter votre certificat SSL, vous devez réfléchir à plusieurs autres aspects. Nous avons déjà mentionné:

  • La force du cryptage
  • Les différents niveaux d’authentification – domaine, organisation et validation étendue – et,
  • Le nombre de domaines dont vous disposez.

Voici quelques autres facteurs à prendre en compte lors de votre choix:

  • Garantie: si une activité frauduleuse se produit sur votre site de commerce électronique malgré la sécurité que vous avez en place, l’autorité de certification vous remboursera. Le montant que vous obtiendrez dépendra du niveau de validation dont vous disposez.
  • Réputation: assurez-vous que l’autorité de certification (CA) que vous choisissez est bien respectée et compte de nombreux utilisateurs. Ils sont plus susceptibles d’avoir une infrastructure solide et de rester au fait des derniers développements en matière de cybercriminalité.
  • Délais d’émission: comme nous l’avons déjà mentionné, plus le niveau de validation est élevé, plus il faut de temps pour obtenir votre certificat SSL. Le certificat EV en particulier peut prendre un certain temps, car toutes les informations que vous soumettez doivent être minutieusement vérifiées par l’AC.
  • Prix: le coût de votre certificat SSL dépendra de l’autorité de certification que vous utilisez, du niveau d’authentification et du nombre de domaines et de la période de validation. Une validation pluriannuelle peut vous faire gagner du temps et de l’argent, surtout si votre entreprise est bien établie.
  • Service client: votre autorité de certification doit être disponible pour vous aider lorsque vous avez besoin d’assistance. Si vous ne pouvez pas les obtenir, ce n’est pas bon signe.

Pourquoi la durée maximale des certificats SSL n’est plus que de 12 mois ?

Les certificats avec une durée de validité de 2 ou 5 ans ont tiré leur révérence. les administrateurs ne les mettaient pas à jour après l’installation, ce qui provoque facilement des incidents de sécurité de l’information. Apple a annoncé lors du forum CA/Browser (CA/B) qui a eu lieu en février 2020, que son navigateur web n’affichera plus les sites dont la période de validité des certificats est supérieure à 12 mois. L’objectif de cette réduction est d’améliorer la sécurité sur le web en renouvelant les certificats chaque année. Cela signifie que, depuis le 1er septembre 2020, les certificats SSL ne sont plus valables que pendant un an. 

Gardez à l’esprit que la sécurité fait partie intégrante d’une présence en ligne et que votre certificat SSL vous apportera des dividendes dont la confiance des clients et les ventes. Faites donc une bonne impression avec un site Web sécurisé.

Souhaitez-vous en savoir plus sur les certificats SSL? Discutez avec nos experts pour voir comment le certificat à domaine unique peut être bénéfique pour votre entreprise.