C’est quoi un certificat SSL ?
<< Suite de c’est quoi un certificat numérique ?
Après avoir vu les certificats numériques, attardons-nous sur un en particulier : C’est quoi un certificat SSL ? Nous allons voir qu’est-ce qu’un certificat SSL et nous examinerons les 3 grands types de certificats SSL. (Pour rappel, les certificats SSL sont ceux qui sont utilisés lorsque vous surfez sur Internet sur des sites en https : voir C’est quoi la différence entre http et https ?)
Mais, puisque cet article est le 2ème des articles consacrés aux certificats numériques, je vous propose de commencer par regarder Qui délivre le certificat numérique ?
Si vous n’avez pas lu la 1ère partie de cet article, je vous conseille de la lire avant continuer : c’est quoi un certificat numérique ?
Qui délivre les certificats SSL ?
Tout le monde ne peut pas délivrer les certificats, seules les autorités de certification (Certificate Authority : CA) ont le droit de le faire. C’est un peu comme les cartes d’identités, seules les administrations compétentes sont autorisées à émettre des certificats.
Voici quelques noms de Certificate Authority : (il en existe beaucoup d’autres)
On peut également acheter des certificats auprès des fournisseurs de certificats. Ce sont des intermédiaires entre les clients et les autorités de certification. (Comme les concessionnaires de voiture permettent aux particuliers d’acheter des voitures aux constructeurs)
Et voici quelques noms de fournisseurs de certificats (il suffit de chercher sur Internet car il y en a plein d’autres ) :
- Netissime (je le mets en premier car ils ont laissé un commentaire sympa sur un de mes articles)
- SSL247
- Certificat.fr
- …
Les certificats SSL
En surfant sur différents sites Internet, vous avez sans doute remarqué que l’affichage des adresses peut changer suivant les sites consultés. Cela est dû aux certificats utilisés : les certificats SSL. Intéressons-nous maintenant un peu plus en détail à ce type de certificat :
Les 3 grands types de certificats SSL
Pour simplifier, on peut dire qu’il existe 3 grandes catégories de certificats :
- le certificat de domaine
- le certificat à validation d’organisation
- le certificat à validation étendue.
Alors quelle est la différence entre ces types de certificats ?
Je vous ai dit que les certificats étaient délivrés par les autorités de certification ou par les fournisseurs de certificats, mais pour cela, tout demandeur d’un certificat doit montrer « patte blanche ». En effet, pour obtenir un certificat et en fonction du niveau de celui-ci, il faut fournir certains renseignements :
1 – Le certificat SSL de domaine (DV)
Si vous voulez un certificat simple pour que votre site utilise du https, vous devez être le propriétaire du nom de domaine (la vérification ne prendra que quelques minutes). En général, un échange de mails suffit. Les mails étant envoyés au gestionnaire du domaine bien souvent « postmaster@nom-de-domaine ». (Voir ce qu’est un domaine dans : c’est quoi un serveur dns – partie2 ).
Exemple : Vous êtes le propriétaire du nom de domaine : toto.fr.
Le fournisseur de certificat va envoyer un message à « postmaster@toto.fr ». Si vous recevez ce mail et que vous y répondez, c’est qu’il y a de fortes chances pour que vous soyez le propriétaire de ce domaine, et donc le certificat vous sera attribué. Il ne faut que quelques heures pour obtenir ce genre de certificats.
Attention, ce genre de certificats ne garantit en rien l’identité de l’entreprise ou de la personne qui gère le site !
Affichage de la barre d’adresse du navigateur :
Et dans les navigateurs la connexion sur votre site s’affichera comme ça :
Internet Explorer | |
Chrome | |
Firefox |
2 – Le certificat SSL à validation d’organisation (OV)
Le certificat à validation d’organisation va plus loin car le demandeur doit être le propriétaire de l’entreprise.
Si on reprend l’exemple du dessus, on peut voir que ce n’est pas parce que vous êtes propriétaire du domaine « toto.fr » que vous êtes forcément propriétaire de l’entreprise « toto » !
Donc, pour délivrer le certificat à validation d’organisation, le fournisseur de certificat va vérifier le propriétaire de l’entreprise. Il ne va pas seulement envoyer un mail (trop simple), il va essayer de contacter l’entreprise par d’autres moyens (téléphone, courrier postal, …) en lui demandant de répondre. Pour cela, il prendra l’adresse et le numéro de téléphone de l’entreprise sur des annuaires ou sur des sites tels que l’Insee, Infogreffe, etc…
Une fois toutes ces vérifications effectuées, le fournisseur de certificat pourra alors délivrer le certificat à validation d’organisation. Il faudra en général plus de 48 heures pour obtenir ce type de certificat.
Dans les navigateurs Internet, les certificats à validation d’organisation se présente comme les certificats de domaine.
Et dans les navigateurs la connexion sur votre site s’affichera comme ça :
Internet Explorer | |
Chrome | |
Firefox |
Vous pouvez constater qu’il n’y a pas de différence avec les certificats de domaine (DV)
3 – Le certificat SSL à validation étendue (EV)
Le certificat à validation étendue (certificat SSL EV) ressemble beaucoup au certificat à validation d’organisation (OV), mais il offre le plus haut niveau de certification.
Comme pour le certificat à validation d’organisation l’entreprise demandeuse va être contrôlée avant de pouvoir obtenir ce type de certificat, mais les contrôles seront plus poussés. Les contrôles porteront par exemple, sur l’existence légale de l’entreprise, sur la véracité de l’ensemble des informations fournies.
Ce type de certificat est surtout utilisé par les sites permettant les transactions bancaires (banques, administration, …)
Ce certificat se portant garant de l’entreprise permet l’affichage du nom de l’entreprise dans la barre d’adresse du navigateur, comme on peut le voir ci-dessous :
Internet Explorer
|
La barre est verte et le nom de l’entreprise est affiché. |
Chrome | Le nom de l’entreprise est affiché sur fond vert. |
Firefox |
Le nom de l’entreprise est affiché en vert. |
Un exemple : je suis un pirate !
Prenons un exemple simple : Je suis un pirate et je veux me faire passer pour une banque car je veux « pigeonner » les internautes pour récupérer les codes d’accès à leurs comptes bancaires.
Je vais donc faire un superbe site, qui ressemble en tout point à celui d’une banque. Je vais m’arranger pour que les utilisateurs se connectent sur mon site en envoyant un mail de phishing (voir ici la définition du phishing)
Mais, il y aura quelque chose qui va clocher, et si les internautes sont un peu vigilants, ils verront tout de suite la supercherie. Car n’étant pas propriétaire du domaine, je ne peux pas posséder le certificat qui garantit le site et plus encore, je ne peux même pas justifier que je suis le propriétaire de la banque : donc pas d’affichage en vert dans la barre d’adresse du navigateur.
Soyez vigilant !
Résumé
En résumé voici les différents affichages que vous pouvez trouver dans votre navigateur en fonction des certificats utilisés par les sites consultés :
Quel est le contenu d’un certificat numérique et comment ça marche un certificat numérique ?
Que contient ce fameux certificat ?
Et bien vous trouverez tout cela dans la 3ème et dernière partie des articles consacrés aux certificats numériques. : Comment ça marche les certificats numériques ?
Retrouvez les articles liés aux certificats :
- C’est quoi un certificat numérique ?
- C’est quoi un certificat SSL ?
- Comment ça marche les certificats numériques ?
- Comment ça marche un certificat SSL ?
Et puisque ces notions sont évoquées dans ces articles, retrouvez-les ici :
Bonjour, merci beaucoup pour votre article 🙂 J’ai un site WordPress sur un hébergeur gratuit, sur lequel j’ai acheté un nom de domaine. Lors de ma connexion, j’ai un message qui me dit que ma connexion n’est pas sécurisée. J’ai écris à mon hébergeur qui me répond « You can disregard this message, as all of our clients on the free hosting environment use the same common SSL certificate. With other words, nothing to worry about. »
Est-ce que je dois insister ou simplement ignorer l’alerte de sécurité?
Bonjour Shirley-Carol,
oui tu peux laisser tomber, car ton hébergeur dit bien que ce n’est pas très grave.
Il y a juste que je trouve que ça ne fait pas très propre !
Pour corriger le problème, il faudrait savoir si cela vient du certificat ou du site.
A bientôt
Si votre site a une alerte « non sécurisé » ça veut dire qu’il ya aucun certificat installer sur votre site donc il faut l’acheter.
Il faut arrêter d’utiliser des hébergeurs gratuits. Ce n’est pas le prix d’un hébergement qui va ruiner une famille.
Merci pour cette éxplication simple ; je partage avec vous aussi un autre Frs d Certificat SSL avec un prix moins cher et les certificats sont délivrés par les grandes autorités : http://www.sslmarket.fr .
Merci Ali pour cette précision.
A bientôt
Définition simple du certificat ssl.
Merci
Pour le certificat de domaine il suffit juste que le demandeur du certificat soit l’auteur du site en question ?
Dans ce cas un pirate peut très bien posséder un nom de domaine bnb-paribas.fr (fake de bnp-paribas), et alors demander un certificat de domaine qu’il obtiendra puisqu’il est l’auteur du nom de domaine bnb-paribas.fr, site pirate qu’il enverra par la suite par mails à ses victimes.
Je pense avoir mal compris, pourriez vous m’indiquer où je me trompe svp ?
Merci. 🙂
Bonjour,
oui, c’est ça. Les certificats DV se limite à la vérification du nom de domaine.
C’est pour ça que les banques utilisent un niveau de sécurisation plus élevé où il ne suffit pas d’être le propriétaire du nom de domaine ! Mais pour lequel il faut être propriétaire de l’entreprise en lien avec le nom de domaine. Les vérifications se font par courrier, par téléphone etc…
Et dans ce cas, le navigateur affiche le nom de l’entreprise.
A bientôt.