Masquer WP-Admin

Un certificat SSL gratuit est-il plus dangereux qu'un certificat payant ?

Depuis mai 2016, Let's Encrypt est disponible en version complète et offre à chaque opérateur de site web la possibilité de mettre en place le SSL gratuitement. Mais quelle est la différence entre un certificat SSL gratuit et un certificat payant ? Techniquement rien, mais d'autant plus sur le plan de l'organisation.

La réponse la plus importante dès le début : non, un certificat SSL gratuit n'est pas plus dangereux qu'un certificat payant. Mais quelle est la différence essentielle ? D'une manière ou d'une autre, les certificats SSL gratuits doivent faire l'objet d'un financement croisé. Il existe également une réponse rapide à cette question : le parrainage. Let's Encrypt montre comment le système fonctionne.

La mission de l'initiative Let's Encrypt peut être résumée comme suit : La communication cryptée devrait être un droit fondamental sur l'internet. Car jusqu'en 2016, les utilisateurs devaient généralement payer pour le cryptage de la communication entre le serveur web et le navigateur. Le libre accès aux certificats n'était donc pas garanti.

Avec Let's Encrypt, cependant, une nouvelle autorité de certification existe depuis l'année dernière qui délivre un certificat SSL gratuit à chaque utilisateur et met ainsi le cryptage à la disposition de tous les propriétaires de sites web dans le monde entier. Cela change beaucoup de choses : avec les certificats gratuits, les demandes pour le HTTPS comme nouvelle norme sur le web sont à portée de main.

Pour les exploitants de magasins ou les entreprises, le verrouillage de la ligne d'adresse a toujours été un indicateur de confiance important - ne serait-ce que pour des raisons juridiques. Mais en réalité, tout exploitant de site web, qu'il soit blogueur, indépendant ou propriétaire de magasin, devrait s'en remettre au cryptage. Car cela apporte de nombreux avantages - quel que soit le coût du certificat. En effet, en termes de principes techniques de cryptage, les types de certificats ne diffèrent pas.

Dans cet article, je vais donc parler des avantages et des bases techniques de l'authentification et du cryptage SSL.

Un certificat SSL rend ton site plus sécurisé et est bon pour Google

Tout d'abord, l'aspect sécurité est bien sûr décisif en ce qui concerne le SSL. D'une part, un certificat confirme l'authenticité du serveur contrôlé. D'autre part, la communication entre le serveur web et le client - c'est-à-dire le navigateur - est cryptée. Cela protège la communication contre l'accès et les modifications et rend donc inaccessibles les données personnelles, telles que l'adresse ou les informations bancaires.

Un certificat SSL joue également un rôle important pour l'optimisation des moteurs de recherche. Bien que l'on ne sache pas dans quelle mesure le SSL est pertinent comme critère de classement pour Google, il est prouvé que le HTTPS est un signal de classement. Il y a deux ans, Google a annoncé qu' il accorderait un traitement préférentiel aux pages cryptées dans les résultats de recherche et qu'il étendrait progressivement cette tendance.

De plus, il est clair depuis peu que Chrome, le navigateur de Google, marquera bientôt les pages non cryptées d'un "non sécurisé" dans la barre d'adresse. Du moins, si les pages qui demandent des mots de passe ou des informations de carte de crédit ne sont pas cryptées. Déjà lors de la conférence des développeurs de Google I/O, en janvier 2016, les développeurs de la société de sécurité CloudFlare ont présenté une capture d'écran qui donne un avant-goût de ce que Google prévoit.

Enfin, Google préfère également le HTTPS pour le crawling.

Un certificat SSL gratuit permet d'éviter que Chrome soit signalé comme "non sécurisé".
Même les sites absolument fiables comme t3n.de sont marqués comme dangereux avec Google Chrome. Dans ce cas, cependant, le marquage ne provient pas d'une page non sécurisée, mais de la configuration de mon navigateur lors de l'appel de la page.

Un certificat SSL rend votre site web plus rapide et plus fiable

HTTPS signifie que la communication du serveur web avec le client est cryptée. Toutefois, cela ne signifie pas que le SSL est un tueur de performance. Bien au contraire : depuis que la norme HTTP/2 existe, les pages cryptées s'exécutent beaucoup plus rapidement que les pages non cryptées. Cela s'applique également à leurs versions mobiles. Pour ceux qui se sont jusqu'à présent abstenus de chiffrer pour des raisons de performance, cette inquiétude est donc infondée !

En fin de compte, un certificat SSL a toujours un effet psychologique sur les visiteurs de votre site. Le symbole du cadenas dans la barre d'adresse et le bon sentiment concernant le cryptage ont un effet sur les conversions. On pourrait penser que le cryptage est donc plus pertinent pour les systèmes de magasins, les fournisseurs de paiement, etc. Au plus tard depuis que Let's Encrypt propose des certificats SSL gratuits, les blogueurs et autres professionnels de l'internet peuvent également profiter des avantages du HTTPS - et ce sans frais supplémentaires.

Un certificat SSL gratuit offre les mêmes avantages techniques qu'un certificat SSL payant.

Lorsque l'on discute des caractéristiques de sécurité du SSL, il est d'abord important de faire la distinction entre les autorités de certification et les certificats SSL eux-mêmes.

Une autorité de certification (AC) délivre des certificats et les signe, c'est-à-dire en confirme l'authenticité. Dans ce processus, les certificats sont stockés sur le serveur web. Si un client visite maintenant un site web sur ce serveur web, ce site peut s'identifier comme étant le propriétaire du certificat.

Le navigateur vérifie alors le certificat stocké sur la page avec l'"arbre de certificats" qui l'accompagne (voir la figure ci-dessous). Le certificat racine se trouve au sommet de l'arbre. Tous les autres certificats et finalement aussi les certificats gratuits de Let's Encrypt sont basés sur cela. Si le certificat racine et tous les autres certificats en amont sont valides, une connexion cryptée est établie. Les autorités de certification sont donc la cheville ouvrière de la validation des domaines. Et la confiance est la clé de voûte de ces cas.

Que vous ayez un certificat SSL gratuit ou non, c'est ainsi que fonctionne le processus de vérification du navigateur.
C'est ainsi que le processus d'authentification SSL fonctionne à partir de la base. Peu importe s'il s'agit d'un certificat SSL gratuit ou d'un équivalent payant.

Les certificats servent à leur tour à authentifier les partenaires de communication - c'est-à-dire le serveur web et le navigateur - et à lancer le mécanisme de cryptage proprement dit. Ils garantissent que le serveur web et le navigateur reçoivent les clés publiques et privées correctes pour lancer la communication protégée.

Tout d'abord, le serveur s'authentifie auprès du client en tant que détenteur du certificat. Ensuite, un cryptage asymétrique est établi et les clés correspondantes sont échangées. Ceux-ci permettent alors un cryptage symétrique. À partir de ce moment, toute communication entre le client et le serveur est cryptée.

Les clés sont régulièrement renouvelées pendant toute la durée de la communication. Ainsi, le flux de données reste protégé contre les écoutes et les modifications, même si un attaquant réussit à le pirater une seule fois.

Mais quelle est la puissance réelle du cryptage ? Cela dépend entièrement des configurations des serveurs web de l'hébergeur respectif.

Chaîne de confiance des certificats SSL gratuits de Let's Encrypt
Cette figure montre la "chaîne de confiance" des certificats "Let's Encrypt". Vous pouvez voir : Les certificats Let's Encrypt sont basés sur les certificats racine de l'autorité de certification IdenTrust.

Que vous ayez un certificat SSL gratuit ou non, la confiance est primordiale

D'un point de vue technique, il n'y a pas de différence fondamentale entre les certificats SSL payants et gratuits. Mais ce qui est très différent, c'est l'autorité de certification. Les avis divergent sur la question de la confiance qui peut être accordée à l'AC.

Derrière les organismes de certification classiques, il y a une entreprise plus ou moins performante sur le plan économique. L'atout le plus important de cette entreprise est la confiance de ses clients et du public dans ses services de certification.

En revanche, Let's Encrypt et son organisation mère, l'Internet Security Research Group, ne sont pas à but lucratif, mais poursuivent une mission à but non lucratif. Cependant, des géants de l'industrie tels que Chrome, Facebook, Mozilla et Linux soutiennent Let's Encrypt.

Ainsi, la question de la confiance dans l'organisme de certification est dans une certaine mesure une question de jugement : suis-je plus enclin à faire confiance à la société qui fait du marketing pour maximiser la confiance placée en elle, ou à l'organisme de certification à but non lucratif qui s'appuie sur la réputation des leaders de l'industrie qui le soutiennent ?

Conclusion : il n'y a guère de différences techniques - mais il y en a sur le plan de l'organisation.

Qu'il provienne de Comodo, Thawte and Co. ou de Let's Encrypt : le cryptage SSL apporte de nombreux avantages à votre site et le rend globalement plus compétitif. Sur le plan technique, les types de certificats ne diffèrent guère : HTTPS est HTTPS. La puissance de cryptage, d'autre part, est principalement liée à la configuration du serveur web.

Si vous disposez d'un certificat SSL gratuit, vous n'avez pas à vous soucier des inconvénients par rapport aux certificats payants. En effet, le point de départ le plus important en matière de sécurité pour les certificats validés par domaine est l'autorité de certification, et non le certificat lui-même. Le choix de l'autorité de certification à laquelle vous faites confiance est à nouveau une question de discrétion. Tant l'initiative open source, qui est promue par les géants de l'industrie, que l'entreprise à but lucratif, dont la valeur d'entreprise la plus importante est la confiance de ses clients, ont intérêt à être considérées comme aussi dignes de confiance que possible.

Nous, l'équipe de Raidboxes, avons décidé de faire confiance au projet Let's Encrypt. Car il nous permet de transmettre directement - et surtout gratuitement - les nombreux avantages de SSL à nos clients.

As-tu aimé cet article ?

Tes évaluations nous permettent d'améliorer encore plus notre contenu.

Laisse un commentaire

Ton adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués d'un *.