Certificats SSL : que sont-ils, pourquoi devriez-vous en utiliser et comment en obtenir ?

19 Jan, 2021  - écrit par  dans Noms de domaine

La sécurité devenant une priorité pour de plus en plus d’utilisateurs du web, les navigateurs et les propriétaires de sites web s’efforcent de mettre la sécurité des sites web au premier plan. 

Il n’y pas pas si longtemps, l’utilisation du HTTPS, un protocole web sécurisé qui utilise des certificats SSL, n’était pertinente que dans certains contextes. La majorité des gens savait qu’il fallait chercher la petite icône représentée par un cadenas dans la barre d’adresse, lorsqu’ils achetaient des choses en ligne. Les administrateurs de sites web, eux, s’assuraient que cette icône s’affichait sur chaque page exigeant des identifiants et/ou l’usage de cartes de crédit.

Toutefois, ces derniers temps, nous avons assisté à une impulsion de la part des développeurs des sites web les plus courants menant à universaliser l’utilisation des certificats SSL en rendant l’absence d’un certificat beaucoup plus évidente et flagrante. (lien en anglais)

Mais qu’est-ce que le HTTPS ? Qu’est-ce qu’un certificat SSL ? Pourquoi devriez-vous en utiliser un ? Comment en obtenir un ?

Qu’est-ce que le HTTPS ?

La confiance est l’un des principaux problèmes du web.

La possibilité de communiquer instantanément avec pratiquement n’importe qui sur la planète s’est révélée extrêmement précieuse et a alimenté une petite révolution au sein de notre société.

Mais cette nouvelle façon d’échanger les uns avec les autres a également entraîné des problèmes. Des utilisateurs mal intentionnés exploitent cet anonymat ainsi que le partage libre et ouvert des informations pour voler des données précieuses destinées à être communiquées uniquement en privé à une personne ou une entité de confiance.

Le HTTPS est une réponse à ce problème de base.

HTTPS est une version sécurisée de HTTP (HTTP étant la règle qui régit le transfert de données de sites web sur internet). Cela signifie que tout ce qui se trouve sur les pages web que vous visitez, et tout ce que vous saisissez dans les formulaires du site web ou communiquez d’une autre manière avec le site web lui-même (comme lorsque vous cliquez sur un lien) utilise les règles du HTTP pour communiquer. C’est un peu comme un langage partagé.

Le S signifie simplement « sécurisé », donc le HTTPS est un moyen de faire cela sans que personne ne puisse voir ce qui est envoyé et reçu. À l’origine, le HTTP ne disposait pas de cette fonctionnalité et toute personne pouvant « espionner » les communications entre votre ordinateur et le serveur du site web (l’ordinateur sur lequel vit le site web ) avait accès à qui était envoyé.

Ou encore, quelqu’un pouvait s’insérer au milieu du canal de communication, relayant secrètement les communications entre le site web et le visiteur du site sans qu’aucun des deux ordinateurs ne sache qu’il ne communique pas directement avec l’autre.

C’est ainsi que les pirates informatiques pouvaient voler des mots de passe ou des numéros de carte de crédit lorsqu’ils étaient saisis dans des formulaires sur des pages utilisant le protocole HTTP.

Le HTTPS répond à ces deux façons de voler des informations en faisant deux choses :

  • Authentification : en établissant un lien direct entre un site web et le visiteur du site afin que chaque partie sache qu’elle communique avec celle qu’elle pense.
  • Chiffrement : garantir que seuls le site web et le visiteur du site web peuvent lire ce qui se trouve dans une communication donnée en l’encodant avec un code spécial que seuls le visiteur et le site web peuvent (facilement) décoder.

Qu’est-ce qu’un certificat SSL ?

Vous avez sûrement déjà utilisé un chiffrement basique. Les anneaux décodeurs de WOW et les messages codés font de bonnes énigmes, mais ce genre de messages codés ne suffit pas pour le web. Vous ne voudriez probablement pas utiliser un anneau décodeur pour chiffrer des données sensibles comme votre numéro de carte de crédit.

Pour cela, vous voudriez un code inviolable ou presque.

Mais dans ce cas, sans fournir le code à la personne ou à l’entité avec laquelle vous communiquez, votre message ne serait pas lisible pour son destinataire à son arrivée.

Ce n’est pas un problème si vous pouvez tout simplement donner le code de cryptage physique. Mais cela ne vous donne pas la possibilité d’acheter quelque chose dans un magasin en ligne où vous n’êtes jamais allé(e). Si vous deviez remettre le code en personne, quel serait l’avantage de faire des achats en ligne ?

Ce qu’il vous faut, c’est un moyen de communiquer ce chiffre sur Internet sans que personne ne puisse le reconstituer en espionnant vos activités. Cela semble impossible, n’est-ce pas ?

Il se trouve que c’est possible grâce aux maths. Nous vous épargnons les explications, mais globalement, vous pouvez utiliser les mathématiques pour faire en sorte que vous, le visiteur du site web, et un site web, ayez des codes secrets séparés que vous seul connaissez. Vous pouvez utiliser ces chiffres pour chiffrer un message et l’envoyer à l’autre personne, et l’autre personne peut utiliser son code pour le décoder.

Un certificat SSL relie les informations de l’entreprise à ce code, ou clé cryptographique, afin que vous puissiez être sûr de pouvoir faire confiance au site web avec lequel vous communiquez.

Voici comment cela fonctionne :

  • Lorsque vous vous connectez à un site web, votre navigateur demande que le serveur web qui héberge le site s’identifie
  • Le serveur renvoie une copie de son certificat SSL
  • Le navigateur vérifie le certificat
  • Le navigateur confirme avec le serveur qu’il a bien vérifié le certificat
  • Le serveur renvoie un accusé de réception signé numériquement
  • Le serveur lance une « session cryptée »
  • Les données sont partagées entre le navigateur et le serveur au cours de session

Au cours de ce processus, afin de confirmer que le certificat SSL appartient bien au serveur en question, le certificat doit être signé par une Autorité de Certification.

Il s’agit d’un groupe restreint de fournisseurs qui prennent des mesures pour vérifier que la personne qui demande un certificat SSL est bien celle qu’elle dit être. Il existe différentes manières de valider cette information, et la validation qui a lieu correspond exactement aux différents types de certificats SSL.

Comment obtenir un certificat SSL ?

Lorsque vous achetez un certificat SSL, il y a deux principaux éléments à prendre en compte.

Tout d’abord, de quel type de validation avez-vous besoin ? La validation peut être très simple, voire automatique, mais elle peut aussi prendre un mois de vérification des documents juridiques et des bases de données publiques d’enregistrement des entreprises.

Voici les étapes élémentaires nécessaires à la création d’un certificat SSL :

  1. Choisir la taille du certificat
  2. Créer la CSR (demande de signature de certificat)
  3. Choisir la méthode de validation

Les « tailles » de certificat

Il existe également des « tailles » de certificat correspondant au nombre d’adresses couvertes par un seul certificat :

  • Certificat unique : cette taille de certificat couvre un seul sous-domaine de votre nom de domaine ainsi votre nom de domaine unique (sans aucun sous-domaine). Le plus souvent, le sous-domaine choisi est www.
  • Certificat Wildcard : les certificats Wildcard couvrent tous les sous-domaines d’un nom domaine. Le nom vient du « caractère joker », *, qui signifie que le caractère peut être remplacé par n’importe quelle valeur, ainsi *.example.com signifie www.example.com mais peut aussi signifier foo.example.com, shop.example.com, store.example.com, etc. Un certificat Wildcard couvrirait toutes ces possibilités.

/!\ Un certificat wildcard couvre *.example.com mais pas *.*.example.com. C’est-à-dire qu’il couvre foo.example.com mais pas www.foo.example.com, shop.foo.example.com, foo.shop.example.com, ou tout autre domaine de ce type.

  • Multi-domaine : cela couvre plus d’un nom de domaine. Vous devez préciser à quels noms de domaine il s’adresse, mais vous pouvez choisir de couvrir plusieurs de vos noms de domaine, qu’ils soient connectés ou liés de quelque manière que ce soit.

Demande de signature de certificat

La demande de signature de certificat (en anglais CSR pour Certificate Signing Request ) est un fichier envoyé à l’Autorité de Certification (CA) qui sert à la fois de demande de certificat et de début du processus de création de votre certificat en fournissant à la CA ce dont elle a besoin pour « signer » votre certificat.

Il peut être généré automatiquement si vous achetez votre certificat SSL chez votre hébergeur, comme c’est le cas si vous obtenez un certificat SSL chez Gandi pour votre instance Simple Hosting.

Vous pouvez également trouver comment générer une CSR dans notre documentation.

Vous devrez ensuite choisir votre méthode de validation. Voici les types de validation de certificats SSL disponibles :

Validation standard

Un certificat standard utilise un type de vérification automatique. Ce niveau de vérification a pour but de vérifier que le demandeur d’un certificat a également des droits administratifs sur le nom de domaine, ce qui signifie qu’il peut modifier la configuration technique du nom de domaine. Il existe plusieurs façons de le faire :

  • La vérification DNS : l’autorité de certification (ou CA) fournit un enregistrement DNS que le propriétaire du nom de domaine doit ajouter à son fichier de zone DNS. L’autorité de certification délivre le certificat une fois qu’elle peut vérifier que l’enregistrement a été ajouté.
  • La vérification par e-mail : le CA envoie un e-mail à l’adresse e-mail admin@ pour le nom de domaine en question qui contient un lien de vérification. Une fois que le propriétaire du nom de domaine a reçu l’e-mail et cliqué sur le lien, l’autorité de certification délivre le certificat.
  • La vérification de fichiers : le CA fournit un fichier que le propriétaire du domaine doit télécharger sur son serveur web. Une fois que l’autorité de certification peut vérifier la présence du fichier, elle peut délivrer le certificat.

Un certificat de validation standard est utile pour sécuriser toutes les pages de connexion de votre site web, telles qu’une interface administrative sur votre site ou un espace réservé aux membres, ou encore un service de messagerie web.

Validation Pro

Un certificat Pro ajoute à la validation d’un certificat Standard en ajoutant une garantie en cas de violation ou de problème de sécurité.

Ainsi, si vous souhaitez acheter ce type de certificat, vous devez fournir des documents d’identification agissant comme condition de validation supplémentaire.

Les certificats Pro sont valables pour les sites qui effectuent tout type de transactions financières, tels que les sites de e-commerce ou une zone de connexion client.

Entreprises ou Validation étendue (VE)

Ces certificats sont validés de la même manière que les certificats Pro, mais ils incluent également la vérification de votre entreprise dans les documents d’enregistrement publics. Ils comprennent également une étape de vérification des appels téléphoniques. Tout cela afin de fournir une vérification supplémentaire à vos clients.

Ce type de certificat convient aux sites web qui traitent un grand nombre de données très sensibles, tels que les grands sites de e-commerce , et ils offrent le plus haut niveau de protection actuellement disponible.

Obtenez un certificat SSL chez Gandi

Si vous êtes prêt(e) à vous procurer votre certificat SSL chez Gandi, vous pouvez le faire chez Gandi dès maintenant.