Certificat SSL : quel type de certificat choisir pour son entreprise ?

Une connexion web est sécurisée ou elle ne l’est pas. Les échanges de données sont cryptés ou ils ne le sont pas. Mais alors, pourquoi existe-t-il plusieurs types de certificats numériques ? En effet : pour activer le protocole SSL (désormais TLS) sur votre site web d’entreprise, vous devez obtenir un certificat SSL délivré par une Autorité de Certification (AC) comme CertEurope. Or, en fonction de vos besoins, le niveau de sécurisation de votre connexion ne sera pas le même. Quels sont les différents certificats accessibles et comment choisir le bon en vue d’afficher le fameux cadenas de sécurité dans votre adresse URL ?

 

Pourquoi proposer plusieurs certificats numériques ?

L’activation d’un certificat SSL (ou d’un certificat TLS, puisqu’il s’agit de la même chose) garantit une connexion sécurisée entre l’internaute et votre site web, grâce à un système de chiffrement des données.

Mais, dans sa version de base, il ne fait « que » cela : crypter les informations échangées pour éviter toute interception par un tiers malveillant. Il ne donne aucune indication quant à l’identité du propriétaire, qui peut être lui-même malintentionné (dans le cas du « phishing », par exemple). Pour assurer un niveau de protection plus élevé, il faut installer un certificat SSL permettant d’authentifier l’entreprise qui possède et gère le site.

Pour cette raison, il existe plusieurs niveaux de certification. Donc plusieurs types de certificats SSL. Voyons quels sont les trois principaux.

 

Trois certificats SSL, trois niveaux de sécurité

Le certificat SSL à validation de domaine (DV)

C’est le niveau de sécurisation basique. Pratique, si vous voulez simplement passer votre site web en HTTPS sans fournir trop d’informations à l’Autorité de Certification ni puiser trop abondamment dans votre trésorerie. Rien de plus simple : pour obtenir un certificat SSL DV (domain validation), il suffit d’être propriétaire du nom de domaine.

L’AC s’assure que vous donniez votre accord en vue de l’émission d’un certificat SSL en tant que titulaire du nom de domaine. Cela fonctionne comme la validation d’une adresse mail lors d’une inscription sur un site web : l’Autorité vous envoie un mail d’approbation, vous cliquez sur le lien, et le tour est joué.

Avec ce type de certificat SSL, le cadenas apparaît suite à l’activation du protocole HTTPS. Mais votre identité n’est pas vérifiée, ni affichée dans la barre d’adresse.

Le certificat SSL à validation d’organisation (OV)

Le certificat SSL OV (organization validation) propose un niveau de sécurité plus poussé, puisqu’il oblige le propriétaire du nom de domaine à être également celui de l’entreprise qui fait la demande. Car, non, ce n’est pas toujours le cas !

Prenez l’exemple de l’entreprise Lambda. Quelqu’un peut demander un certificat SSL DV afin de sécuriser la connexion sur le nom de domaine « lambda.fr », sans pour autant être le propriétaire de la société idoine. Dans le cadre d’une certification à validation d’organisation, l’AC va s’assurer que le propriétaire de l’entreprise est bien celui qui fait la demande, en le contactant directement par le biais des coordonnées trouvées sur les plateformes officielles (Infogreffe, Insee…). La vérification prend environ deux jours.

Une fois le protocole HTTPS activé, l’affichage dans votre barre d’adresse est identique à celui d’une certification à validation de domaine. À une différence près : l’internaute peut consulter votre raison sociale à l’intérieur du certificat SSL.

Le certificat SSL à validation étendue (EV)

Si vous cherchez le niveau de certification le plus élevé, c’est du côté du certificat SSL EV (extended validation) qu’il faut regarder.

Ici, l’AC ne se contente pas de prendre contact avec le demandeur pour vérifier qu’il est bien propriétaire de l’entreprise affiliée au nom de domaine. Elle effectue des vérifications poussées quant à l’existence légale de l’entité et l’exactitude des informations exigées (celles-ci pouvant varier en fonction de l’Autorité contactée). Ce type de certificat est principalement utilisé par les plateformes souhaitant sécuriser des transactions à partir de données bancaires, comme les sites e-commerce, les banques ou les administrations.

Ce certificat numérique se porte garant de la fiabilité de l’entreprise. La raison sociale (voire le nom commercial) de celle-ci, ainsi que son pays d’origine, apparaissent dans la barre d’adresse, en vert. Ces informations viennent s’ajouter au cadenas de sécurité et à la mention HTTPS.

 

Définissez vos besoins pour faire le bon choix

Ces trois types de certificats numériques permettent d’activer le HTTPS sur votre site. Mais chacun répond à des besoins différents.

D’un côté, il y a les entreprises qui veulent simplement assurer la sécurité des échanges à travers une certification basique (certificat SSL DV). De l’autre, celles qui souhaitent, en plus, prouver leur légitimité et créer un socle de confiance : deux objectifs qui ne sont accessibles qu’à travers un certificat SSL OV ou EV.

 

Hélène Toutchkov

Hélène Toutchkov
Content Manager