5 conseils pour choisir votre certificat SSL

Avec l’arrivée des certificats SSL gratuits (Let’s Encrypt), 2016 est l’année où les sites web et boites mails ont commencé à devenir en grande partie sécurisés au sens premier du terme, c’est à dire cryptés (meilleure confidentialité des données) et authentifiés (possibilité de s’assurer de l’authenticité d’un site web ou d’une boite mail). Certains spécialistes de Google estiment que les sites web sécurisés (HTTPS) ont déjà fait un bond de 4 à 13% en quelques années. Ce chiffre devrait fortement augmenter en 2018, voici quelques conseils si vous aussi souhaitez franchir le pas.

Pourquoi installer un certificat SSL ?

  • ssl-securityComme évoqué dans un précédent article sur le référencement naturel, Google avantage les sites sécurisés (https).
  • Un site web authentifié rassure le client et met en avant le sérieux de votre entreprise.
  • Les sites e-commerce utilisent généralement des plateformes bancaires sécurisés, il n’est donc pas nécessaire que le site lui-même soit sécurisé, cependant la présence du sceau SSL sur le navigateur et du logo correspondant sur un site e-commerce rassure le client et peut augmenter votre taux de conversion.
  • Suivant le certificat choisi, vous pourrez aussi l’utiliser pour sécuriser votre messagerie (webmail, envois SMTP, réception IMAP ou POP) ou pour vos transferts de fichier (FTP).

Quels sont les prérequis pour installer un certificat SSL ?

  • Certificat SSL Domain Validated (DV)
    Certificat SSL Domain Validation (DV)

    Vous devez disposer d’un accès à votre serveur en tant qu’administrateur (hébergement sur un serveur dédié ou virtuel).

  • Si vous disposez d’un hébergement mutualisé, vous devez vous adresser à votre hébergeur pour mettre en place votre certificat SSL.
  • Vous devez disposer en général d’une adresse IP dédiée pour votre site web, si vous êtes sur un serveur mutualisé, votre hébergeur peut en principe vous en fournir une.
  • Votre serveur web (ou autre) doit disposer d’un module SSL (ex : Apache mod_ssl).
  • L’acquisition d’un certificat SSL nécessite un budget pouvant aller de 50€ à plus de 500€ suivant le type de certificat SSL, le certificat doit être renouvelé tous les 1, 2 ou 3 ans.
  • Le projet Let’s Encrypt regroupant plusieurs grands acteurs internet mondiaux, a annoncé la sortie en 2016 d’une autorité de certification qui émettra des certificats SSL gratuits. Comme nous le verrons plus bas, les certificats gratuits seront cependant limités à certains types.
  • La mise en place d’un certificat SSL nécessite l’intervention de 1 à 2 heures d’un administrateur système, les sociétés émettrices de certificats SSL ne fournissent généralement pas ce service, assurez-vous de disposer d’un professionnel pour installer ou renouveler votre certificat.

Quel type de certificat SSL choisir ?

Le choix d’un certificat est déterminant pour s’assurer que vous disposerez du niveau de sécurité souhaité avec un budget maîtrisé. Voici les critères par ordre d’importance :

  • Certificat SSL Business Validated (BV)
    Certificat SSL Business Validation (BV)

    Le niveau de validation :

    • Domain Validation (DV) : il authentifie uniquement le nom de domaine, il s’agit du certificat le plus répandu (possible avec Let’s Encrypt). Budget entre 20 et 50€/an (gratuit avec Let’s Encrypt). Ce budget comprend juste l’acquisition du certificat, à laquelle il faut ajouter l’intervention d’un administrateur système.
    • Business Validation (BV) ou Organization Validation (OV) : vous devez fournir à l’autorité de certification des documents officiels concernant votre entreprise ou association (KBis, Journal officiel, etc.), après vérification l’autorité émet un certificat qui relie votre domaine à votre entreprise, le client peut alors voir sur son navigateur que le site correspond bien à votre société. Budget de 50€ à 100€/an.
    • Extended Validation (EV) : le plus exigeant en terme de certification (documents, délai d’émission, budget) mais aussi le plus rassurant pour vos clients et pour lutter contre le phishing, généralement utilisé par les grandes entreprises à cause de son coût élevé, il met clairement en avant votre société dans le navigateur (à côté de la barre d’adresse). Budget de 200 à 500€/an.
  • Portée du certificat :
    • Un seul domaine : Suffisant pour votre site web, mais pas pour les autres services (mail, webmail, ftp, etc.)
    • Domaine + sous-domaine (wildcard) : Idéal pour votre site web et les autres services (nécessite l’installation par l’administrateur système sur chaque service). Budget x 2 voire plus.
    • Multi-domaine : Généralement réservé aux grandes structures, agences web ou hébergeurs. Budget x 3 voire plus.
  • Certificat SSL Extended Validation (EV)
    Certificat SSL Extended Validation (EV)

    La durée du certificat : Un certificat SSL s’émet en général pour une durée de 1 an (3 mois pour Let’s Encrypt). Certains prestataires proposent des certificats valables 2 ou 3 ans. L’intérêt est de bénéficier d’un prix dégressif et aussi de réduire les frais d’installation/renouvellement. Sachez aussi que le renouvellement d’un certificat nécessite de s’y prendre plusieurs semaines à l’avance. Un certificat expiré aura pour effet d’afficher une alerte de sécurité à vos utilisateurs qui serait très dissuasif.

  • Garantie : Un certificat SSL (payant) fourni aussi généralement une garantie, dont le montant peut varier de 10 000$ à 250 000$ suivant le certificat. Cette garantie permet uniquement de couvrir un sinistre en cas de défaut éventuel du certificat.
  • Ré-émission : Certains proposent aussi la possibilité de révoquer et de ré-émettre votre certificat gratuitement en cas de perte ou de compromission (recommandé).
  • Le niveau de cryptage : Le niveau actuel est de 256 bits, il s’agit de la longueur de la clé de cryptage.
  • L’autorité de certification : Un certificat SSL peut être émis par une autorité de certification racine, dans ce cas vérifiez que l’autorité soit bien reconnue par tous (99,9%) des navigateurs, sinon vos clients risquent d’avoir un avertissement de sécurité qui serait contre-productif. Le certificat SSL peut être aussi émis par une autorité de certification intermédiaire (généralement moins cher). Dans ce cas une étape d’installation supplémentaire est nécessaire pour que votre certificat fonctionne correctement (chaînage de certificat). Sachez aussi qu’il est possible d’émettre un certificat autosigné, mais dans ce cas l’utilisateur aura systématiquement un avertissement de sécurité qu’il pourra ou pas ignorer. Les certificats autosignés peuvent être intéressants uniquement si vous avez un service limité à quelques utilisateurs (ex : petit intranet) et que vous n’avez vraiment pas de budget.

Comment installer ou renouveler un certificat SSL ?

Alerte de sécurité pour un certificat mal installé ou expiré
Alerte de sécurité pour un certificat SSL mal installé ou expiré

L’installation et le renouvellement d’un certificat est sensiblement la même opération. Comme évoqué plus haut elle nécessite l’intervention d’un administrateur système. Voici les étapes de cette opération :

  • Pour un renouvellement, préparer l’intervention au plus tard 15 jours avant l’expiration du certificat.
  • L’administrateur système crée une paire de clés privée et publique.
    Point important : La clé privée doit être stockée dans un dossier accessible uniquement par l’administrateur. L’ensemble de la sécurité du certificat SSL repose sur ce point précis.
  • L’administrateur système crée une demande de signature de certificat (CSR) à partir de la paire de clés.
  • Vous (ou un prestataire) commandez le certificat auprès de l’autorité, en joignant les documents officiels et le CSR fourni par l’administrateur.
  • L’autorité crée et valide votre certificat (cela peut prendre plusieurs jours suivant le niveau de validation).
  • L’administrateur système installe le certificat sur le(s) service(s) concerné(s) : web, mail, webmail, etc.

Quel prestataire choisir ?

On l’a vu, le choix, l’installation et le renouvellement d’un certificat SSL nécessite des compétences techniques. Bien sûr il est possible de s’adresser directement à une autorité de certification pour payer un prix « brut » comme Comodo, Thawte, Verisign, RapidSSL, etc. L’inconvénient est que ces services sont généralement en anglais, ne fournissent que peu de conseils, et pas d’assistance administrateur système. Vous risquez donc de perdre beaucoup de temps à en comprendre les rouages, voire d’investir dans une mauvaise solution ou de ne pas être en mesure de la mettre en place.

Avant de vous lancer, nous vous recommandons fortement de prendre contact avec votre hébergeur et votre webmaster. Suivant votre hébergement, les services que vous voulez sécuriser et le niveau de sécurité, ils vous orienteront vers la meilleure solution, en tenant compte de votre budget.

Si vous souhaitez mettre en place un certificat SSL sur votre site web n’hésitez pas à nous contacter, nous pourrons vous conseiller au mieux et en effectuer l’installation.