Quel Certificat Ssl Choisir?



  • je suis un peu perdu quant aux différents certificats ssl disponibles sur internet, j'aimerai donc connaitre votre avis sur le sujet, à savoir sur quel site l'avez pris, le prix annuel, etc.

    En effet, je souhaite ouvrir très prochainement ma boutique et je tiens à avoir un site qui soit protégé comme il le faut. J'héberge actuellement mon site sur hebergement-discount. Ces derniers proposent également des certificats ssl allant de 20 eur (RapidSSL®) par an à 100 eur (QuickSSL® Premium) selon le type de certificat.



  • Les certificats pour les web se décomposent en 3 types:

    • Les DV (domaine validation), les moins cher. Ils sont "validable" comme leur nom l'indique par le domaine (souvent une entrée dans le DNS, un fichier à la racine du site ou encore une balise meta dans une page). TOUJOURS prendre un certificat couvrant le www et le non-www (SAN). Chez la plupart le non-www est offert avec un certificat www. Evitez les autorité exotique qui peuvent ne pas être reconnus par certains navigateurs. Ces certificats disent "This website does not supply ownership information." quand vous demandez les informations avancées.
    • Les OV (organisation validation), plus cher et plus long à faire valider. Ils donnent le nom de l'entité commerciale dans les informations avancées et se valident en fonction de vos SIRET, compas, etc... Chaque autorité à son propre processus .
    • Les EV (extended validation), aussi nommé full green, encore plus cher et une validation plus complexe faisant souvent intervenir du papier et des signatures. Ces certificats exposent le nom de l'entité en vert à droite du cadenas.

    Pour les 3 types vous pouvez choisir:

    • wildcard (*.domain.tld) permettant d'utiliser le certificat sur www, cdn, mail, et non www (attention la manière de le commander peut influer sur l'inclusion du non-www)
    • multi SAN, vous précisez les domaines et sous domaines valide.

    Vous ne pouvez inclure à votre demande (CSR) que des domaines que vous avez déjà.

    J'insiste TOUJOURS ajouter les www et non-www sous peine de ne pouvoir activer le HSTS (redirection transparente et automatique du http vers le https)

    En terme de prix, comme presque toujours le prix (dérisoire) n'est pas la donnée la plus importante. Un domaine.tld+www coûte env. 45€ l'an (12cts/j), un wildcard env. 120€/an (30cts/j) , un EV env. 900€/an (3€/j). Il est plus important d'avoir un interlocuteur qui vous convienne, une assistance étant plus que souhaitable et d'être sûr que l'autorité va durer ... de nombreuses autorités faible coût ou gratuite naissent et disparaissent et certaines ne permettent pas d'upgrade.

    Pensez qu'un certificat demande quand même quelques bases techniques pour un déploiement dans les règles outre le fait qu'il faut vérifier le thème, les modules et nombres de petits détails dans PrestaShop (voire patcher) pour un déploiement parfait.

    Quand vous achetez un certificat ne confondez pas le revendeur (eg: Gandi) et l'autorité (eg: Commodo). Le revendeur a des tarifs dégressif en fonction de son volume mais la "qualité" du certificat dépend exclusivement de l'autorité.

    Je conseille avant de choisir une autorité de tester sa page (qui doit avoir un certificat sinon lâchez l'affaire) au travers de ce service très simple (sans pub): https://www.geocerts.com/ssl_checker

    Nombre d'autorité ont des sous-autorités (surtout pour les offre d'entrée de gamme), exemple AlphaSSL == GlobalSign. Quand vous utilisez une sous-autorité il faut s'assurer que la chaîne de certification est complète et, mon conseil, envoyé de force par le serveur afin que quelque soit le navigateur elle ne soit pas brisée (exemple sur un viel Android)

    Pénultième point, quand vous cliquez sur le petit cadenas de votre navigateur vous accédez à toute les information du certificat. Si ce cadenas a un panneau de danger ceci signifie que le navigateur a détecté soit une erreur avec le certificat, soit (et c'est le plus souvent le cas) que la page se présente comme sécurisée mais contient certains composants non sécurisés qui pourraient donc briser, collecter, voler des données confidentielles. Une seule ressource non https suffit à déclencher l'alerte et, le navigateur ne présuppose de rien, l'alerte intervient pour une image, une css, un js... seul les liens passif sont ignorés et encore pas pour toutes les version de tous les navigateurs.

    Dernier point, en 2015 tous vos certificat doivent être SHA256 bien sûr et si vous déployez sur votre propre dédié la séquence des algorithmes de hashage peut avoir une influence. Oui c'est technique et beaucoup trop long à expliquer ici. Sans oublier quelques spécificité comme le SNI et l'ip dédiée. Ceci pour dire ne vous lancez pas à l'aveugle, ça peut marcher en passant des heures de frustration a suivre des tutos +/- d'actualité mais certains ont eu des problèmes qui ont fini par leur coûter bien plus cher que de faire appel à un connaisseur.


  • legacy

    Pour un petit budget et sans toutefois rogner sur la qualité d'un certificat simple DV, je prend depuis un bon moment mes certificats sur ce revendeur, aucun problème à signaler jusqu'à maintenant :

    le Positive SSL COMODO coute 9 dollars US par an et est disponible très rapidement : https://www.namecheap.com/security/ssl-certificates/comodo/positivessl.aspx

    le Rapid SSL coute lui 10.95$ sur le même site : https://www.namecheap.com/security/ssl-certificates/rapidssl/rapidssl.aspx



  • Je ne pense pas que le coût du certificat soit vraiment à considérer. En calculant le prix à la journée, les sommes sont ridicule. L'intégration requiert un effort +/- important, et si on doit faire appel à des compétence pour cela, comme chacun doit pouvoir vivre le coût de l'intervention sera bien supérieur au coût du certificat.

    Il faut mettre les choses en perspectives si on est pas prêt à mettre 20 à 30 cts par jour dans un activité lucrative, il faut changer de métier. Aller travailler en usine où, chaque jour on dépensera bien plus en transport en commun ou essence pour aller au labeur.


Se connecter pour répondre