Il existe trois grands types de certificat TLS (anciennement SSL) pour assurer la protection d’un site web : le certificat à validation de domaine (DV), le certificat à validation d’organisation (OV) et le certificat à validation étendue (EV). Le certificat TLS en général est un certificat qui intègre le protocole TLS. Il permet de sécuriser les connexions et de donner la mention https aux sites web par une authentification mutuelle.
Il est donc important pour votre site internet de disposer d’un certificat valide et de l’installer.
Les différents types de certificats TLS peuvent prêter à confusion. La plupart des utilisateurs ne connaissent pas le sens de l’icône de cadenas de sécurité dans la barre d’adresse du navigateur ou l’avertissement « Non sécurisé ».
Le point sur les différents certificats existants et le niveau de sécurité qu’ils offrent.
La pression exercée par les géants du web, notamment Google, pour sécuriser davantage les sites web, pousse les administrateurs à basculer leur site en HTTPS. La connexion sécurisée est sûre puisque cryptée par une clé de session protégée par un certificat numérique TLS. Dès qu’un site n’est pas protégé par un certificat TLS, les navigateurs Web indiquent « non sécurisé ». Cette mention nuit à la confiance entre l’internaute et la société propriétaire du site. C’est un problème encore plus important pour les sites de e-commerce ou demandant des données confidentielles.
Il existe trois types de certificats TLS, tous délivrés par une Autorité de Certification (AC), seule habilitée à fournir des certificats.
Si l’Autorité de Certification n’est pas reconnue ou que le certificat est expiré, le navigateur affichera un message d’alerte.
Le certificat TLS à validation de domaine (DV)
C’est le certificat de premier niveau de sécurité, le moins coûteux et le plus simple à obtenir. Il assure simplement que le propriétaire du certificat est le propriétaire du domaine, en quelques échanges de mail. L’Autorité de Certification ne vérifie pas l’identité de l’organisation. En général, ce type de certificat est utilisé pour sécuriser des blogs ou des wikis. Ce sont pour les sites web sans transfert de données sensibles ou de transactions monétaires.
Les certificats DV peuvent être remis à des sites internet peu fiables, voire contenant des malwares et autres programmes frauduleux. Cela peut arriver car le propriétaire du domaine n’est pas vérifié. Par exemple, Let’s encrypt, autorité de certification et organisme à but non lucratif porté par l’Internet Security Research Group (ISRG), délivre gratuitement des certificats à validation de domaine.
Le certificat à validation d’organisation (OV)
Ce type de certificat offre un niveau de sécurité intermédiaire. L’Autorité de Certification vérifie au préalable que le demandeur est bien le propriétaire de l’organisation pour laquelle le certificat est demandé. Mais elle ne vérifie pas son identité.
La vérification prend plus de temps que pour un certificat DV. Quelques échanges via plusieurs canaux : e-mail, courrier, téléphone permettent d’avoir ledit certificat en quelques jours. Par exemple, le certificat utilisé par le webmail d’Outlook certifie que l’organisation Microsoft Corporation existe juridiquement mais ne vérifie pas son identité :
Le certificat à validation étendue (EV)
Les certificats à validation étendue offrent le plus haut niveau de sécurité. En effet, les contrôles du demandeur sont plus importants : existence légale de l’entreprise, véracité de l’ensemble des informations fournies via justificatifs, vérification de l’identité du responsable de l’organisation…
Ce type de certificat est principalement utilisé par des sites permettant des transactions bancaires (banques, administration…). Lorsque de tels certificats sont utilisés, les navigateurs affichent le nom de l’entreprise en vert dans la barre d’adresse, ce qui renforce le sentiment de sécurité chez l’internaute.
S’il est incontestable que les certificats à validation étendue procurent la meilleure protection et confiance pour les utilisateurs, cette solution a cependant un coût annuel non négligeable.
Une analyse poussée sur le niveau d’importance de sécurité des données qui transitent entre le serveur et les utilisateurs est nécessaire pour déterminer la nature du certificat à implémenter. Une fois les certificats en place, il faut gérer différents paramètres, comme leurs cycles de vie.
