L’installation d’un certificat TLS est de nos jours une condition obligatoire pour tout site web ! Nous vous invitons à relire notre article « Le certificat SSL ou l’allié indispensable de votre site Internet » pour en savoir plus sur ce qu’est un certificat et son utilité.
De nombreux acteurs sont présents sur le marché des certificats, proposant des solutions payantes ou gratuites, et offrant différents niveaux de protection.
Les certificats pouvant être émis gratuitement sont :
- Soit les certificats auto-signés, qui sont donc signés directement par l’émetteur
- Soit les certificat par Domain Validation, signé par une autorité de certification open source type Let’s Encrypt, FreeSSL
Problème, les certificats auto-signés déclenchent des alertes de sécurité sur la plupart des navigateurs car non vérifiés par une autorité de certification de confiance. On conseille ainsi aux internautes de quitter la page. Que l’usage de ce certificat soit sur un site personnel ou professionnel, cela représente une barrière à la consultation…
Bien que le niveau de cryptage soit le même pour tous les certificats, pour les Domain Validation, l’autorité de certification ne valide rien d’autre le fait que vous ayez accès au nom de domaine. Ce type de certificat est suffisant pour un usage interne, un blog ou un site de particulier.
En raison du contrôle sommaire réalisé par les autorités de certification, ces certificats sont également particulièrement attractifs pour les pirates et leurs sites malveillants.
Depuis mars 2020 et la crise liée au COVID, nous assistons à une recrudescence du nombre de fraudes : + 47% du nombre du site d’hammeçonnage au premier trimestre 2020. 82,7% des sites frauduleux utilisaient un certificat par Domain Validation…
La différence majeure entre Domain Validation gratuit et payant va être sur les garanties prises en charge par l’autorité de certification en cas de vol de données. Par exemple, pour les certificats Domain Validation disponible sur www.namebay.com, l’Apha SSL offre une garantie de 1000$ tandis que le Domain SSL va jusqu’à 10 000$.
Pour une vérification plus approfondie de l’entreprise, les certificats à validation d’entité (EV) et à validation étendue (OV) offrent des niveaux de confiance plus élevés. Ce sont donc les deux types de certificats à privilégier pour les entreprises afin de conserver la confiance de leurs clients.
Nos experts vous conseille :
Voici l’avis du Responsable de la sécurité et des systèmes d’information de Namebay, Gilles Buisson :
Il est important de comprendre que les offres de certificat payant au-delà du type DV englobe 2 concepts, chiffrer la communication entre vous et le site web consulté (la rendre invisible pour toute autre personne) et la reconnaissance de l’identité de ce site (être sûr que sncf.com est bien un site de la société SNCF par exemple)
Un certificat de type DV n’assurera donc que la confidentialité des données échangées avec un site web alors qu’un type OV/EV vous permettra d’être en confiance vis-à-vis de la société associée au site consultée
Des questions sur le choix de votre certificat ?
N’hésitez pas à nous contacter à l’adresse contact@namebay.com.
