28 Mai

Différences entre les certificats SSL (DV, OV et EV) pour passer au https

Quel certificat SSL choisir ?

Vous avez reçu le message de Google dans Search console « La collecte non sécurisée de mots de passe entraînera l’affichage d’avertissements » et vous paniquez devant la complexité des offres de certificats. Faut-il choisir un certificat DV, ou un OV, ou un EV ? Ce billet est un résumé pour vous aider à choisir et passer au https.

Trois types de certificats sont disponibles pour passer au https

Si tous les certificats SSL chiffrent les données transmises, ces certificats varient en fonction du niveau de confiance que l’on peut leur accorder.

On notera aussi que la confiance peut aussi dépendre de l’autorité qui délivre le certificat, certaines pourtant très renommées comme Symantec se sont prises des coups de règle sur les doigts. On peut aussi se demander dans quelle mesure une autorité de certification américaine saura refuser les demandes pressantes de son gouvernement, mais c’est un autre sujet…

Le certificat DV (domain validation)

C’est le plus simple à valider. Pour obtenir ce certificat, il suffit de justifier que vous êtes bien le propriétaire de votre nom de domaine. Un simple fichier à la racine du site ou la validation d’un e-mail du domaine suffit. Aucune autorité de certification n’a vérifié l’identité du propriétaire du site. N’importe qui peut obtenir ce type de certificat. Certains certificats de ce type sont même gratuits comme Let’s Encrypt (autant dire que dans ce cas, tous les filous vont s’empresser de vous afficher de beaux cadenas verts…, rappelez vous qu’un site truffé de malwares peut très bien avoir un certificat ssl).

En gros, si vous avez simplement un blog sans accès sensible, ce type de certificat (DV) suffit très largement sur le principe.  En revanche il est forcément plus rassurant d’afficher des informations plus complètes si votre structure veut donner confiance (pour un e-commerce par exemple).

Le certificat OV (organization validation)

Le certificat SSL OV est un peu plus complexe à obtenir puisque vous devrez prouver que votre entreprise ou organisation existe réellement en produisant des documents justificatifs. C’est par exemple le certificat utilisé par Wikipédia. L’autorité de certification vérifie l’existence juridique sur la base de documents officiels.

En résumé, c’est le certificat qui devrait être utilisé pour un e-commerce ou toute organisation souhaitant rassurer ses visiteurs. On peut tout de même regretter que les navigateurs web ne différencient pas de suite un certificat DV et un OV, il faut pour cela plusieurs clics avant d’accéder à l’information.

Le certificat EV (extended validation)

Le certificat SSL EV est sans doute le must. Si la validation est plus complexe, car même l’identité du responsable de l’organisation doit être validée (en plus de tout le reste), ce certificat à l’avantage d’afficher le nom de l’entreprise en vert dans la barre d’adresse du navigateur en plus du cadenas vert. Ce certificat est celui qui à terme rassurera sans doute le mieux les utilisateurs quand ceux-ci en auront pris l’habitude. Vu les différences de tarifs avec les certificats OV, les EV sont un bon choix même s’ils sont plus compliqués à valider.

Pourquoi passer au https ?

  • Vu la pression que met Google, la plupart d’entre vous veulent passer au https pour des raisons seo. Notons qu’à ce jour rien n’est vraiment flagrant en terme de ranking, à suivre donc… (voir l’edit ci-dessous, Google confirme un impact nul)
  • La 2e raison est l’affichage d’une mention dans les navigateurs. Avec Chrome par exemple, une page d’ouverture de compte sur un e-commerce se voit affublée d’un joli « Non sécurisé » dans la barre d’adresse. Autant dire que c’est un sacré repoussoir. Le cadenas vert est donc un plus indéniable.
  • Il est prévu que cette mention « Non sécurisé » apparaissent à terme sur TOUTES les pages des sites non https.
  • Pour ceux qui voudraient gérer leurs sites en se connectant à leur admin à partir du wifi du MacDo ou d’un hôtel, c’est tout de même un gros plus pour éviter de vous faire sniffer vos login et mot de passe.
  • Enfin, pour ceux qui philosophiquement ou pratiquement veulent proposer le top de la sécurité en terme de transmissions de données vers leur site, le SSL est un incontournable.

En conclusion

DV, OV, EV, la confusion règne souvent entre les différents certificats SSL. Ne parlons même pas du manque de clarté pour les utilisateurs lambda qui ne comprennent déjà pas toujours ce que veut dire la présence du petit cadenas et son utilité en fonction de la page sur laquelle on se trouve (indispensable sur une page de paiement par CB par exemple).

Si vous souhaitez passer au https tout seul, ne croyez pas les tutos qui vous disent que c’est fait en 1 heure, même les pros cafouillent parfois (en oubliant de re-uploader un fichier de désaveu par exemple…car il n’y a pas que des 301 à faire. Pensez aussi que TOUTES les ressources de votre site doivent être en https…).

Vous avez des conseils à donner pour passer du http au https, les commentaires sont là pour ça.

Source : axe-net

Partager