Les certificats SSL sont une sorte de preuve d’identité d’un site Web. La place d’attribution officielle(CA pour Certificate Authority), grâce à laquelle on obtient le certificat, est une identité examinée au préalable qui garantit la justesse des indications. Les certificats SSL sont classés sur le serveur et chargés à chaque visite sur un site HTTPS. Il y a différents types de certificats qui se distinguent par l’étendue de leur identification :
- Certificat à validation de domaine (DV) – gratuit et payant
Il s’agit des certificats comportant le niveau d’authentification le plus bas. Dans ce cas, le CA vérifie seulement si le demandeur est en possession du domaine correspondant pour lequel il veut obtenir un certificat. Les informations d’une entreprise ne sont pas contrôlées lors de la vérification et c’est pourquoi il reste un risque dans la validation du domaine. De par le faible effort d’authentification, le certificat est toutefois rapidement établi par le CA et est de surcroît le moins cher des trois types de certificat SSL – parfois il est même totalement gratuit (Let’s Encrypt).
Les certificats à validation de domaine sont très adaptés pour les sites Web pour lesquels le lien de confiance concernant la sécurité des données de l’internaute n’est pas une priorité et pour les sites qui ne présentent aucun risque d’escroquerie ou d’hameçonnage (Phishing).
- Certificat à validation d’organisation (OV) - payant
Ce type de validation est plus détaillé et donc plus sûr. Mis à part la propriété du domaine, le CA vérifie des informations organisationnelles pertinentes supplémentaires comme par exemple l’appartenance au registre du commerce. Les informations vérifiées par le CA sont accessibles pour un visiteur quelconque, ce qui renforce la confiance envers un site Web. De par son processus de contrôle, le certificat SSL à validation d’organisation s’avère plus coûteux que le certificat SSL à validation de domaine. Cependant, le CA d’organisation présente un plus haut degré de sécurité.
Ce certificat est adapté aux sites Web sur lesquels on effectue des transferts de données qui ne sont pas sensibles.
- Certificat à validation étendue (EV) - payant
Il s’agit là du certificat proposant le niveau d’authentification le plus élevé et le plus volumineux. À la différence du certificat à validation d’organisation, les informations d’entreprises sont vérifiées sur des critères d’attribution plus sévères et détaillés. En outre, ce certificat est seulement attribué grâce à une autorisation du CA, (Certificate Authority). La vérification détaillée des entreprises accorde le plus haut niveau de sécurité et cela permet ainsi de renforcer la confiance et la crédibilité vis-à-vis d’un site Web. Par ailleurs, le certificat à validation étendue est la solution qui représente le coût le plus élevé.
Ce certificat est notamment adapté pour les sites Web qui collectent des coordonnées bancaires ou bien d’autres données sensibles.