Cer­ti­fi­cat SSL : dé­fi­ni­tion, validité et coûts

Un cer­ti­fi­cat SSL est un fichier numérique qui confirme l’identité d’un site Web et permet d’établir une connexion chiffrée entre le serveur et le na­vi­ga­teur. Il protège les données sensibles, comme les mots de passe, contre tout accès non autorisé. Les sites Web disposant d’un cer­ti­fi­cat SSL se re­con­nais­sent à la mention https dans l’URL et au petit cadenas affiché dans le na­vi­ga­teur.

Qu’est-ce qu’un cer­ti­fi­cat SSL ?

Les cer­ti­fi­cats SSL modernes n’utilisent plus l’ancien protocole SSL (Secure Sockets Layer), mais reposent sur la norme plus récente et plus sûre TLS (Transport Layer Security). Dans la pratique, on continue cependant à parler de cer­ti­fi­cats SSL lorsqu’il s’agit de sécuriser un site Web et un serveur grâce à la technique de chif­fre­ment. Le cer­ti­fi­cat en lui-même est un simple en­re­gis­tre­ment de données : un fichier contenant de nom­breuses in­for­ma­tions, comme le nom de l’émetteur, le numéro de série ou encore l’empreinte utilisée pour le chif­fre­ment. Les cer­ti­fi­cats existent sous dif­fé­rents formats et doivent être installés sur le serveur pour pouvoir être utilisés.

Pour obtenir un cer­ti­fi­cat, les ex­ploi­tants de sites Web doivent s’adresser à une autorité de cer­ti­fi­ca­tion. Ces or­ga­ni­sa­tions sont ha­bi­li­tées à délivrer des cer­ti­fi­cats SSL, gé­né­ra­le­ment contre paiement. Mais pourquoi ne pas créer sa propre autorité ? La raison est simple : les éditeurs de na­vi­ga­teurs, comme Microsoft, Mozilla ou Google, doivent re­con­naître et accepter le cer­ti­fi­cat, faute de quoi celui-ci n’aura aucune utilité.

Quelle est la durée de validité d’un cer­ti­fi­cat SSL ?

Un cer­ti­fi­cat accepté par les na­vi­ga­teurs n’est pas valide in­dé­fi­ni­ment. Chaque cer­ti­fi­cat SSL possède une date d’ex­pi­ra­tion comprise entre 1 et 13 mois. D’ici à 2029, la durée maximale de validité des cer­ti­fi­cats SSL devrait être réduite à 47 jours. Une fois ce délai atteint, les ex­ploi­tants de sites Web doivent remplacer leurs cer­ti­fi­cats SSL invalides et les re­nou­ve­ler, faute de quoi les pages con­cer­nées ne seront plus con­si­dé­rées comme par­ti­cu­liè­re­ment sûres. Même si le re­nou­vel­le­ment régulier des cer­ti­fi­cats peut être chro­no­phage et coûteux, il reste in­dis­pen­sable. En effet, ce n’est qu’en procédant ré­gu­liè­re­ment à la vé­ri­fi­ca­tion de l’intégrité, de l’identité et des mé­ca­nismes de chif­fre­ment que les autorités de cer­ti­fi­ca­tion peuvent garantir la sécurité des uti­li­sa­teurs.

Cer­ti­fi­cat SSL : comment fonc­tionne le chif­fre­ment ?

Il existe plusieurs façons de chiffrer les trans­ferts de données. Tra­di­tion­nel­le­ment, une seule et même clé est né­ces­saire pour chiffrer et pour dé­chif­frer un message. Toutefois, cette méthode n’est pas adaptée à l’Internet : les uti­li­sa­teurs y com­mu­ni­quent souvent avec des personnes ou des or­ga­ni­sa­tions avec les­quelles ils n’ont jamais échangé au­pa­ra­vant. Il n’existe donc aucun moyen de trans­mettre une clé sans la rendre ac­ces­sible pu­bli­que­ment. C’est pourquoi les cer­ti­fi­cats SSL reposent sur un autre procédé de chif­fre­ment.

Avec une in­fras­truc­ture à clé publique (Public Key In­fras­truc­ture), deux clés sont générées : une clé publique et une clé privée. Un message chiffré avec la clé publique (Public Key) ne peut être déchiffré qu’avec la clé privée cor­res­pon­dante (Private Key). Le na­vi­ga­teur reçoit la clé publique via le cer­ti­fi­cat et l’utilise pour chiffrer les données. Pour coder les in­for­ma­tions, dif­fé­rents procédés existent. Le serveur Web fournit au na­vi­ga­teur, via le cer­ti­fi­cat, les in­for­ma­tions né­ces­saires au chif­fre­ment.

Un exemple de méthode largement utilisée aujourd’hui est l’AES (Advanced En­cryp­tion Standard) associé à la fonction de hachage de chif­fre­ment SHA-256. Toutefois, ces standards évoluent ré­gu­liè­re­ment : une méthode jugée fiable hier peut être com­pro­mise demain et con­si­dé­rée comme non sécurisée.

Quels sont les types de cer­ti­fi­cats SSL ?

Il existe plusieurs ca­té­go­ries de cer­ti­fi­cats SSL. Même si les or­ga­nismes de dé­li­vrance utilisent des mé­ca­nismes de vé­ri­fi­ca­tion variés, ce ne sont pas ces dif­fé­rences qui dé­ter­mi­nent leur clas­si­fi­ca­tion. On distingue plutôt les cer­ti­fi­cats SSL selon le niveau de vé­ri­fi­ca­tion du demandeur et l’ampleur de leur cou­ver­ture. Alors que les cer­ti­fi­cats SSL de type va­li­da­tion de domaine (Domain Va­li­da­tion) sont désormais dis­po­nibles gra­tui­te­ment, les par­ti­cu­liers et les petites en­tre­prises peuvent rarement assumer les coûts liés à une va­li­da­tion étendue (Extended Va­li­da­tion).

Domain Va­li­da­tion (DV)

La va­li­da­tion de domaine constitue le niveau le plus basique des cer­ti­fi­cats SSL : la vé­ri­fi­ca­tion de la personne ou de l’or­ga­ni­sa­tion derrière l’adresse du site Web est donc assez su­per­fi­cielle. Souvent, l’autorité de cer­ti­fi­ca­tion se contente d’envoyer un email à l’adresse men­tion­née dans l’en­re­gis­tre­ment WHOIS. Le demandeur est alors invité, par exemple, à modifier une entrée DNS ou à placer un fichier spé­ci­fique sur son serveur afin de prouver le contrôle de son domaine.

Or­ga­ni­za­tion Va­li­da­tion (OV)

Les cer­ti­fi­cats SSL OV re­pré­sen­tent un niveau supérieur en matière de sécurité pour les visiteurs. Après la va­li­da­tion de domaine au­to­ma­ti­sée, l’autorité de cer­ti­fi­ca­tion demande des documents officiels aux pro­prié­taires du site Web. Les pièces exigées varient selon l’organisme, mais il peut s’agir, par exemple, d’un extrait du registre du commerce.

Certaines autorités prennent également contact par téléphone avec les ex­ploi­tants du site. Les cer­ti­fi­cats SSL OV offrent ainsi un niveau de sécurité accru, car une vé­ri­fi­ca­tion plus poussée de l’identité du titulaire a été effectuée. Ils pré­sen­tent aussi l’avantage de rendre cette in­for­ma­tion visible dans le cer­ti­fi­cat, con­sul­table par tout in­ter­naute.

Extended Va­li­da­tion (EV)

Les cer­ti­fi­cats SSL avec une Extended Va­li­da­tion re­pré­sen­tent le plus haut niveau de sécurité. Pour ce type de cer­ti­fi­cat, la vé­ri­fi­ca­tion porte non seulement sur le domaine et l’or­ga­ni­sa­tion associée, mais aussi sur la personne qui en fait la demande. L’objectif est de contrôler si le demandeur travaille réel­le­ment pour l’or­ga­ni­sa­tion ou l’en­tre­prise indiquée et s’il est habilité à sol­li­ci­ter un tel cer­ti­fi­cat.

De plus, l’autorité de cer­ti­fi­ca­tion doit être elle-même autorisée à délivrer des cer­ti­fi­cats Extended Va­li­da­tion. Pour obtenir cette au­to­ri­sa­tion, elle doit se soumettre à un audit mené par le CA/Browser Forum, une as­so­cia­tion vo­lon­taire re­grou­pant des autorités de cer­ti­fi­ca­tion et des éditeurs de na­vi­ga­teurs.

Coûts : Free SSL vs Paid SSL

Un aspect essentiel pour choisir et ca­té­go­ri­ser un cer­ti­fi­cat SSL concerne les coûts liés à son ac­qui­si­tion. En se basant sur les trois types de vé­ri­fi­ca­tion présentés pré­cé­dem­ment, on peut résumer ainsi : plus la vé­ri­fi­ca­tion effectuée par l’autorité de cer­ti­fi­ca­tion est poussée, plus le cer­ti­fi­cat sera coûteux. Depuis 2015, l’autorité Let’s Encrypt délivre même des cer­ti­fi­cats en­tiè­re­ment gratuits.

Dif­fé­rences entre cer­ti­fi­cats gratuits et payants

Si l’objectif est sim­ple­ment de sécuriser un site Web, afin qu’il soit ac­ces­sible non plus en HTTP mais en HTTPS, un cer­ti­fi­cat gratuit remplit aussi bien cette fonction qu’un cer­ti­fi­cat payant. Les deux solutions mettent en œuvre le protocole de trans­mis­sion SSL ou TLS et ga­ran­tis­sent ainsi un transfert de données sécurisé entre clients et serveurs.

Cependant, certains points dis­tin­guent nettement les cer­ti­fi­cats gratuits des cer­ti­fi­cats payants :

• Niveau de va­li­da­tion : lors de l’émission d’un cer­ti­fi­cat gratuit, la vé­ri­fi­ca­tion de l’ex­ploi­tant du site Web reste limitée ; la Domain Va­li­da­tion est gé­né­ra­le­ment le niveau appliqué. Les cer­ti­fi­cats offrant un degré de sécurité plus élevé sont toujours payants.
• Cou­ver­ture de domaines : un cer­ti­fi­cat SSL gratuit est en général limité à un seul domaine, auquel il reste lié. Les solutions SSL/TLS payantes per­met­tent en revanche de générer des cer­ti­fi­cats couvrant plusieurs domaines et uti­li­sables sur plusieurs sites Web.

Les avantages des cer­ti­fi­cats SSL payants

Les cer­ti­fi­cats SSL payants offrent de nombreux avantages par rapport à la version gratuite, dont certains ont déjà été évoqués plus haut : selon l’offre et le four­nis­seur, ils peuvent être utilisés sans dif­fi­culté pour plusieurs domaines. Cela accroît non seulement la flexi­bi­lité, mais réduit aussi con­si­dé­ra­ble­ment le temps de gestion. En cas de problème, les pres­ta­taires ou autorités de cer­ti­fi­ca­tion four­nis­sent en outre un support per­son­na­lisé, un service dont les uti­li­sa­teurs de cer­ti­fi­cats SSL gratuits ne bé­né­fi­cient pas.

Quel modèle de coûts choisir ?

Un cer­ti­fi­cat SSL payant avec va­li­da­tion étendue (EV) constitue sans conteste l’une des solutions de chif­fre­ment les plus fiables pour un projet Web. Toutefois, seules les grandes en­tre­prises peuvent gé­né­ra­le­ment supporter les coûts d’une telle cer­ti­fi­ca­tion, qui leur est d’ailleurs prin­ci­pa­le­ment destinée. Les cer­ti­fi­cats plus abor­dables con­vien­nent en revanche largement aux projets Web du secteur des PME, tant qu’aucune donnée hautement sensible, comme celles liées aux services bancaires en ligne, n’est transmise. Pour les projets plus modestes, où la trans­mis­sion de données per­son­nelles est inexis­tante ou très limitée, les cer­ti­fi­cats SSL gratuits cons­ti­tuent une bonne al­ter­na­tive. Dans tous les cas, il est important de vérifier les critères suivants lors du choix de votre cer­ti­fi­cat SSL :

• Portée : vérifiez par exemple si le cer­ti­fi­cat SSL couvre aussi les sous-domaines.
• Single Name : un cer­ti­fi­cat standard ne s’applique qu’à un seul domaine. Cela signifie que www.example.com et toutes ses pages sont protégées, mais pas les sous-domaines.
• Wildcard : ces cer­ti­fi­cats utilisent un caractère générique (Wildcard). Ainsi, au lieu de protéger uni­que­ment www.example.com, ils couvrent en plus tous les sous-domaines.
• Multi-Domain : les cer­ti­fi­cats multi-domaines (également appelés cer­ti­fi­cats SAN) offrent une cou­ver­ture bien plus large que les cer­ti­fi­cats Single Name ou Wildcard. De nom­breuses autorités de cer­ti­fi­ca­tion proposent des cer­ti­fi­cats pouvant inclure jusqu’à 100 domaines.

Comment re­con­naître un cer­ti­fi­cat SSL ?

Avec un na­vi­ga­teur moderne, il est très simple de vérifier si un site Web est sécurisé par SSL/TLS : il suffit de regarder la barre d’adresse ! Deux éléments indiquent im­mé­dia­te­ment la présence d’un chif­fre­ment :

• un symbole de cadenas
• l’adresse commence par https:// au lieu de l’habituel http://

Le « S » sup­plé­men­taire signifie Secure et indique aux uti­li­sa­teurs qu’une couche SSL/TLS a été ajoutée au protocole HTTP. Dans la pile de pro­to­coles TCP/IP, une couche de chif­fre­ment sup­plé­men­taire est insérée entre TCP et HTTP.

Le cadenas est avant tout un signal visuel fourni par le na­vi­ga­teur pour indiquer que le site dispose d’un cer­ti­fi­cat valide. Ce que beaucoup ignorent, c’est qu’il s’agit aussi d’un bouton per­met­tant d’accéder à des in­for­ma­tions sup­plé­men­taires sur la sécurité du site. Un clic ouvre une fenêtre con­tex­tuelle avec des détails sur l’émetteur du cer­ti­fi­cat, la méthode de chif­fre­ment utilisée et la durée de validité.

Si le site Web que vous visitez ne possède pas de cer­ti­fi­cat SSL valide, ni le cadenas ni le https:// ne s’affichent dans la barre d’adresse. Certains na­vi­ga­teurs aver­tis­sent également les uti­li­sa­teurs lorsqu’ils tentent de trans­mettre des mots de passe ou d’autres données sensibles sur de tels sites. Le programme signale alors que ces données pour­raient être in­ter­cep­tées par des tiers.