CERTIFICAT DE SÉCURITÉ SSL : LE BÉABA POUR FAIRE LE BON CHOIX

Vous devez installer un certificat SSL pour garantir la sécurité de votre site Web, de vos emails et autres transactions et optimiser votre référencement. Lequel choisir ? Quelles caractéristiques doit-il posséder ? Combien de temps faut-il pour l’obtenir ? Vers quelle autorité de certification se tourner ? Voici les étapes à suivre pour installer le bon certificat.

Un site Web dépourvu de certificat de sécurité est le plus souvent inaccessible aux internautes. Quasiment tous les navigateurs Internet exigent en effet ce sésame qu’est le certificat SSL. De quoi s’agit-il ? À quoi sert-il ? Pourquoi est-il indispensable ? En fonction de quelles caractéristiques sélectionner tel ou tel certificat parmi ceux qui sont proposés ? Ce choix pouvant s’avérer complexe et source de confusion, nous vous proposons de découvrir dans le présent article quels sont ces types de certificat et sur quels critères les évaluer. Vous pourrez ainsi, en toute connaissance de cause, choisir celui qui conviendra le mieux à vos activités professionnelles sur Internet.

QU’EST-CE QUE LE CERTIFICAT SSL ?

Rappelons au préalable qu’un site qui a pour adresse http://site.com n’est pas sécurisé. Il utilise le protocole HTTP ( « Hyper Text Transfert Protocol » ou protocole de transfert hypertexte) créé au début des années 1990 pour permettre les échanges de données sur la toile. Avec un inconvénient majeur : aucune protection n’est assurée pendant ces échanges et les informations transmises peuvent donc être interceptées. C’est pour pallier ce problème de vulnérabilité que le protocole HTTPS a été conçu fin 1994 par Netscape : il s’agit d’une extension du protocole HTTP initial auquel la technologie de sécurité SSL (« Secure Sockets Layer ») a été ajoutée. Pour l’activer, un certificat SSL est nécessaire.

Ce certificat SSL (on parle aussi de certificat numérique) est une clé de cryptage associée à un nom de domaine ou une adresse URL qui permet de sécuriser les communications entre un site web, un serveur, une messagerie (mails) et les utilisateurs finaux. En activant le protocole HTTPS (protocole de sécurisation des échanges sur Internet), ce certificat confirme l’identité du nom de domaine et établit avec certitude le lien existant entre un site et son propriétaire (entreprise, commerce, individu…). Ainsi, l’adresse URL d’un site pourvu de ce certificat est affichée dans la barre de votre navigateur sous la forme https://www.site.fr précédée d’un cadenas.

C’est en cliquant sur le symbole de ce cadenas que vous pouvez avoir accès à tout ou partie des informations contenues dans le certificat SSL correspondant, notamment : le nom de domaine lié à celui-ci, l’entreprise titulaire du certificat, le nom de l’Autorité de certification (AC) qui a émis le certificat, etc.

En cherchant un certificat pour l’un de vos noms de domaine, peut-être avez-vous entendu parler de certificat TLS (« Transport Layer Security ») ? Il s’agit en fait d’une nouvelle version du certificat SSL, adoptée suite aux améliorations successives apportées au protocole HTTPS. Cependant l’appellation SSL, qu’on peut qualifier d’historique, est restée en usage.

À QUOI SERT UN CERTIFICAT SSL ?

Un certificat SSL permet de sécuriser nombre de données, sensibles ou moins sensibles : les communications entre votre site Web et les navigateurs Internet des internautes (clients, fournisseurs…), les communications internes sur l’Intranet de votre entreprise, les mails envoyés et reçus, les informations entre serveurs internes et externes ainsi que celles envoyées et reçues à partir d’appareils mobiles. Ces données peuvent être des identifiants, des mots de passe, des renseignements confidentiels (noms, adresses, numéros de sécurité sociale… ), des documents juridiques ou contractuels, des informations bancaires et/ou médicales, etc. En outre, un certificat SSL :

  • sécurise vos clients, fournisseurs, partenaires ou visiteurs en les informant que l’adresse de votre site est authentifiée et que les transactions y sont chiffrées (cryptées) et confidentielles ;
  • évite les atteintes éventuelles causées par les fraudeurs (vol de données confidentielles, mots de passe, etc.). Sans ce certificat, les données seraient échangées en clair et donc accessibles à des acteurs malveillants ;
  • contribue à la notoriété de votre site et à l’image de votre entreprise en augmentant la confiance des utilisateurs ;
  • favorise un meilleur référencement de votre site par les moteurs de recherche.

POURQUOI LE CERTIFICAT SSL EST-IL INDISPENSABLE, VOIRE OBLIGATOIRE ?

Pour les raisons énoncées plus haut, le certificat SSL s’avère indispensable. Il est même devenu quasiment obligatoire :

1. D’une part, parce que les navigateurs, depuis quelques années, interdisent de plus en plus fréquemment l’accès aux sites non sécurisés avec un message d’alerte suffisamment éloquent pour dissuader les visiteurs de passer outre, tel que celui ci-dessous :

C’est notamment le cas de Chrome (Google) qui annonce clairement que « tous les sites Web devraient être protégés par HTTPS, même ceux qui ne traitent pas de données sensibles ». Google déclarait d’ailleurs dès décembre 2015 appuyer la généralisation du protocole HTTPS.

Notons que certains sites peuvent présenter un message d’alerte similaire alors qu’ils sont temporairement inaccessibles, faute d’avoir renouvelé le certificat dans les délais. En effet, depuis le 1er septembre 2020, les certificats SSL/TLS ne peuvent plus être émis pour une durée supérieure à 13 mois (397 jours). Il faut donc être vigitant et renouveler suffisamment tôt un certificat pour garantir l’accessibilité de votre site.

2. D’autre part, le 25 mai 2018, l’entrée en vigueur du Règlement général sur la protection des données (RGPD) imposait aux entreprises et associations des États membres de l’UE ainsi qu’à celles de pays hors UE mais collectant ou traitant des données de résidents européens (Amazon ou Facebook par exemple) de sécuriser toutes les informations envoyées ou reçues via Internet. À défaut, une entreprise non sécurisée peut être rendue responsable des dommages occasionnés.

LES DIFFÉRENTS TYPES DE CERTIFICATS SSL ET LEURS CARACTÉRISTIQUES

Bien que les différents certificats aient pour première et commune fonction d’authentifier l’identité d’un site et d’en sécuriser les échanges, deux caractéristiques principales les distinguent : le niveau de validation souhaité d’une part, le nombre et le type de domaine que le certificat devra prendre en charge, d’autre part.

Les niveaux de validation des certificats ssl

Les Autorités de certification, dites AC, sont des tiers de confiance habilités à émettre des certificats après avoir procédé à certaines vérifications. Celles-ci sont plus ou moins poussées selon le type de certificat souhaité par le demandeur et peuvent aller du simple test automatisé à l’examen approfondi des justificatifs prouvant l’existence et l’activité de l’entreprise concernée. Plus le niveau de validation d’un certificat est élevé, plus grande sera la confiance accordée au site auquel il est associé. Les types de certificats décrits ci-dessous correspondent à ces niveaux :

  • Les certificats à validation de domaine (DV)

Ils permettent de sécuriser votre site en quelques minutes en activant le protocole HTTPS et en affichant le cadenas. Économique, cette protection minimale convient aux blogs, médias sociaux ou sites vitrines sans collecte de données ou transactions financières possibles.

  • Les certificats à validation de l’organisation (OV),

En offrant le même niveau de protection que les certificats DV (protocole HTTPS et cadenas), confirment en outre que l’entreprise associée au nom de domaine est bien enregistrée et légitime. Les informations communiquées pour obtenir le certificat sont vérifiées par l’Autorité de certification et le nom du propriétaire du site est affiché dans la barre du navigateur. Ces certificats sont adaptés aux sites Web des entreprises.

  • Les certificats à validation étendue (EV)

Assurent le plus haut niveau de protection grâce à un processus de vérification extrêmement strict propre à assurer aux consommateurs qu’ils sont bien sur un site de confiance. Ces certificats sont essentiels pour les grandes entreprises, banques, assurances comme pour les sites de vente en ligne car ils renforcent leur crédibilité. Ils prouvent aux consommateurs que l’identité du site web est confirmée par l’Autorité de certification et que les transactions y sont sécurisées. Ces certificats EV déclenchent l’affichage, en sus du cadenas, d’une barre d’adresse verte qui inclut le nom de l’entreprise ou de l’entité propriétaire du domaine.

La prise en charge d’un ou plusieurs domaines

Les besoins des entreprises sont liés à leur activité sur Internet et, de ce fait, le nombre de noms de domaine à protéger peut varier. Plusieurs options leur sont proposées afin de leur permettre le choix le plus approprié ; elles sont pour la plupart disponibles pour les certificats DV, OV et EV décrits ci-dessus.

  • Les certificats à domaine unique

Ils permettent de sécuriser un nom de domaine complet, dit FDQN (nom de domaine pleinement sécurisé), tel que https://site.com et toutes les pages sous cette adresse comme https://site.com/exemple ou https://site.com/info. Ils sont plutôt destinés aux entreprises qui ne gèrent qu’un petit nombre de sites web.

  • Les certificats génériques, dits Wildcard

Ils offrent aux entreprises la possibilité de sécuriser, sous un seul nom de domaine, tous les sous-domaines qui y sont liés. Ainsi, un seul certificat de ce type protègera https://site.com ainsi que https://info.site.com, https://exemple.site.com, etc. et facilitera la gestion de vos domaines, sous-domaines et sites associés. Remarque : ils sont disponibles uniquement dans les variantes DV et OV.

  • Les Certificats multi-domaine ou SAN (Nom Alternatif de Sujet)

Ils sont particulièrement destinés aux entreprises titulaires de nombreux noms de domaine. En évitant de multiplier le nombre de certificats, ils constituent une solution pratique et avantageuse (gain de temps, gestion simplifiée, coût réduit) pour assurer la sécurité des flux d’informations transitant entre un site Web et ses utilisateurs. Un certificat SAN peut être installé sur un nombre illimité de serveurs et il est également possible d’ajouter ou de supprimer des noms à tout moment en fonction des besoins de l’entreprise.

TABLEAU COMPARATIF DES CERTIFICATS SSL ET DE LEURS CARACTÉRISTIQUES

CERTIFICAT DV
à validation de domaine
CERTIFICAT OV
à validation de l’organisation
CERTIFICAT EV
à validation étendue
CONTRÔLES DE L’AUTORITÉ DE CERTIFICATION Contrôle simple : validation du droit de propriété sur le nom de domaine concerné
Même contrôle que pour le certificat DV plus vérification des informations concernant l’organisation
Contrôle approfondi avec validation du domaine et de l’organisation, plus vérifications auprès des organismes officiels (Chambre de commerce, par exemple)
CARACTÉRISTIQUES / CRITÈRES DE SÉLECTION DES CERTIFICATS Protocole HTTPS : sécurise les échanges entre votre site et les visiteurs
Le cadenas dans la barre d’adresse (confiance)
Référencement optimisé par les moteurs de recherche
Informations relatives à l’entreprise et au propriétaire du site. Particulièrement importantes pour les boutiques et sites de vent en ligne
Sceau de confiance  : sa présence confirme la fiabilité du site
Nom de l’entreprise dans la barre d’adresse
DÉLAIS D’ÉMISSION DES CERTIFICATS Selon le certificat sélectionné quelques minutes de quelques minutes
à une journée
de 1 à plusieurs jours selon l’Autorité de certification

INSTALLATION DU CERTIFICAT : LES PRÉ-REQUIS TECHNIQUES À CONNAÎTRE

Ce sont des préalables indispensables à l’obtention d’un certificat de sécurité. Nous vous les présentons ci-dessous.

Qu’est-ce que le « common name » ou « nom commun » ?

Il s’agit du nom de domaine du site Internet que vous souhaitez sécuriser. Selon le certificat demandé, vous devrez fournir des indications spécifiques :

  • Pour un certificat à domaine unique, renseigner ce nom commun est simple puisqu’il s’agit de la seule adresse à sécuriser, par exemple www.site.com. Si vous devez couvrir d’autres adresses sous ce nom de domaine, comme « info.site.com », un deuxième certificat ou un certificat Wildcard sera nécessaire. En revanche, le certificat destiné à sécuriser https://www.site.com protégera également https://site.com et inversement car l’Autorité de certification inclut automatiquement le « www ».
  • Pour un certificat générique, dit Wildcard, l’insertion du caractère joker « * » indiquera que vous souhaitez sécuriser un niveau de sous-domaine. Ainsi, « *site.com » protégera l’adresse spécifiée www.site.com ainsi que les adresses « info.site.com » ou « news.site.com » mais pas l’adresse « news.info.site.com », d’un niveau inférieur.
  • Pour un certificat multi-domaines (SAN), une seule adresse, dite « adresse principale » doit être renseignée au préalable. Celle-ci ne pourra jamais être modifiée. Chaque adresse supplémentaire à protéger sera intégrée au certificat lors de la création du fichier CSR et des éventuelles modifications ultérieures à l’émission du certificat (ajout ou suppression). Il faut ainsi savoir qu’un certificat SAN émis pour le nom « site.com » ne protégera pas www.site.com qui devra faire partie des adresses additionnelles.

Qu’est-ce qu’un fichier CSR ?

La demande de signature de certificat, dite CSR pour Certificate Signing Request, doit être générée par le demandeur d’un certificat numérique et adressée par lui à l’Autorité de certification choisie (AC). Elle doit contenir les informations suivantes sous forme cryptée :

  • le nom du serveur (CN=) ;
  • le nom de l’entreprise qui génère la demande (O=) ;
  • l’unité organisationnelle (OU=), sous la forme du numéro de SIREN précédé de « 0002 » ;
  • la localité (L=) et la région (S=) où est situé le siège social de l’organisation ;
  • le pays (C=) sous la forme d’un code ISO à deux lettres ;
  • l’adresse mail de l’intermédiaire au sein de l’entreprise (le plus souvent, c’est la personne en charge de la gestion des certificats).

Le cryptage des informations contenues dans la demande nécessite cependant l’utilisation de deux clés, l’une privée, l’autre publique :

  • La clé privée peut être créée à l’aide d’une boîte à outils (OpenSSL par exemple). Après la création d’un mot de passe indispensable, la clé sera générée automatiquement grâce à l’utilisation d’un algorithme mathématique, lui donnant ainsi une valeur unique. Cette clé privée doit, bien entendu, rester secrète. Elle vous permettra de générer la demande de certificat (CSR) auprès de l’Autorité de certification avec le mot de passe créé précédemment.
  • La clé publique est créée automatiquement pendant le processus de génération de la CSR. Elle est notamment utilisée pour crypter des informations que le propriétaire de la clé privée est seul habilité à recevoir mais peut être mise à la disposition du public.

TUTO : COMMENT DÉPLOYER UN CERTIFICAT SSL AVEC EBRAND ?

1. Lister les noms de domaine et sous-domaines à protéger
2. Déterminer ce que ce certificat doit valider
3. Ce certificat doit-il porter sur plusieurs domaines ou sous-domaines (standard, Wildcard ou SAN) ? Pour vous aider à y répondre, reportez-vous au tableau ci-dessus.
4. Une fois que vous avez répondu à ces trois questions, reste à choisir l’Autorité de certification

Le choix de l’Autorité de certification

Une Autorité de Certification (AC ou CA pour Certificate Authority en anglais) est un tiers de confiance permettant d’authentifier l’identité des correspondants. Une Autorité de certification délivre des certificats décrivant des identités numériques et met à disposition les moyens de vérifier la validité des certificats qu’elle a fournis. Il en existe de nombreuses, parmi lesquelles Sectigo, GlobalSign, Comodo, Certeurope, GeoTrust, Digicert, Untrust Datacard…

Toutes proposent les mêmes types de certificats. Ce qui les distingue, c’est le niveau de garantie offert et surtout leur délai de réponse lors de la délivrance d’un certificat.

Sur ce dernier point, seule l’expérience permet d’en juger. Chez EBRAND, sur notre portail de gestion des noms de domaine, nous avons choisi d’automatiser la délivrance des certificats Sectigo car nous savons que nos clients ont besoin de réactivité et, à ce sujet, Sectigo fait vraiment la différence.

Utilisateur EBRAND, voici comment commander et activer votre certificat ssl

1. Connectez-vous à l’interface d’administration des noms de domaine EBRAND1800 à l‘aide de vos identifiant et mot de passe

2. Dans le menu situé en haut de l’écran, cliquez sur « Produits », puis sur « SSL »

3. Ajouter au panier le type de certificat souhaité et cliquer sur la case d’option Wildcard si nécessaire

4. Finaliser la commande (à ce stade le « common name » du certificat n’est pas demandé)

5. Retour dans le menu PRODUITS / SSL, un « jeton » est disponible. Cliquer sur ACTIVER

6. Cocher « Nom de domaine avec EBRAND France » si votre domaine est géré par nos soins

7. Copier/Coller ou Téléverser votre fichier CSR. L’outil en extraira les données à droite pour vous permettre une vérification. S’il s’agit d’un certificat OV par exemple, il est important que les données fournies pour votre société soient valides et puissent être vérifiées sur les bases en ligne. L’email et le numéro de téléphone fournis sont également importants car ils peuvent être utilisés pour la validation de l’Autorité de certification.

8. Validation du propriétaire du domaine : sélectionner DNS record pour la validation

9. Cliquer sur « ACTIVER VOTRE CERTIFICAT SSL »

10. Ouverture de la procédure de validation chez Sectigo : Sectigo vérifie que les données fournies sont cohérentes par rapport aux informations de la société disponibles sur les bases en ligne. Cela peut prendre plusieurs jours. Sectigo envoie d’abord un email à l’adresse incluse dans le CSR voire à l’adresse email du whois. Dans cet email, Sectigo propose un numéro de téléphone qu’ils utiliseront pour effectuer la validation. Vous devez vous assurer que la personne indiquée à ce numéro est prête et confirmer à Sectigo qu’ils peuvent appeler. Sectigo envoie alors un code de validation à ce numéro. Si le numéro proposé n’est pas le bon, l’email permet d’en proposer un autre mais il faut alors fournir un numéro que Sectigo pourra aussi vérifier sur les bases en ligne. Nous ne pouvons malheureusement pas intervenir entre Sectigo et le client pendant la procédure de validation. Aussi en cas de délais, je vous invite à contacter Sectigo directement au +19147328446 (Validation: option 2) pour accélérer la validation. Il vous faudra fournir le « Order ID » que vous verrez apparaitre sur votre demande de certificat dans les différents emails. Sectigo recommande aussi de créer un ticket sur https://sectigo.com/support-ticket en demandant un traitement en priorité.

11. Une fois validé, vous recevez votre certificat par email et vous pouvez aussi à tout moment le retrouver pour téléchargement dans le menu PRODUITS / SSL

Par Raphael TESSIER et Sophie AUDOUSSET pour EBRAND France.

Bannière - Télécharger la checklist des points névralgiques à contrôler - Sécurité du DNS

Get in touch

Our experts are ready to provide you with a customized solution. Fill out the contact sheet to connect with us.

Contactez-nous

Nos experts sont à votre disposition pour vous fournir une solution personnalisée. Remplissez ce formulaire pour prendre contact avec nous.

Connexion client

Bienvenue sur le portail de connexion client, où les utilisateurs EBRAND accèdent à leurs plateformes de solutions. Sélectionnez votre solution ci-dessous :

Vous n’êtes pas encore client EBRAND ? S’enregistrer
Découvrez-en plus sur nos pages Solutions