Jump to content

Les Certificats Ssl


Recommended Posts

Un petit résumé concernant les certificats SSL.

 

Les certificats pour les web se décomposent en 3 types:

  • Les DV (domaine validation), les moins cher. Ils sont "validable" comme leur nom l'indique par le domaine (souvent une entrée dans le DNS, un fichier à la racine du site ou encore une balise meta dans une page). TOUJOURS prendre un certificat couvrant le www et le non-www (SAN). Chez la plupart le non-www est offert avec un certificat www. Evitez les autorité exotique qui peuvent ne pas être reconnus par certains navigateurs. Ces certificats disent "This website does not supply ownership information." quand vous demandez les informations avancées.
  • Les OV (organisation validation), plus cher et plus long à faire valider. Ils donnent le nom de l'entité commerciale dans les informations avancées et se valident en fonction de vos SIRET, compas, etc... Chaque autorité à son propre processus .
  • Les EV (extended validation), aussi nommé full green, encore plus cher et une validation plus complexe faisant souvent intervenir du papier et des signatures. Ces certificats exposent le nom de l'entité en vert à droite du cadenas.

Pour les 3 types vous pouvez choisir:

  • wildcard (*.domain.tld) permettant d'utiliser le certificat sur www, cdn, mail, et non www (attention la manière de le commander peut influer sur l'inclusion du non-www)
  • multi SAN, vous précisez les domaines et sous domaines valide.

Vous ne pouvez inclure à votre demande (CSR) que des domaines que vous avez déjà.

J'insiste TOUJOURS ajouter les www et non-www sous peine de ne pouvoir activer le HSTS (redirection transparente et automatique du http vers le https)

 

En terme de prix, comme presque toujours le prix (somme toute dérisoire) n'est pas la donnée la plus importante. Un domaine.tld+www coûte env. 45€ l'an (12cts/j), un wildcard env. 120€/an (30cts/j) , un EV env. 900€/an (3€/j). Il est plus important d'avoir un interlocuteur qui vous convienne, une assistance étant plus que souhaitable et d'être sûr que l'autorité va durer ... de nombreuse autorité faible coût ou gratuite naissent et disparaissent et certaines ne permettent pas d'upgrade.

 

Pensez qu'un certificat demande quand même quelques bases techniques pour un déploiement dans les règles outre le fait qu'il faut vérifier le thème, les modules et nombres de petits détails dans PrestaShop (voire patcher) pour un déploiement parfait.

 

Quand vous achetez un certificat ne confondez pas le revendeur (eg: Gandi) et l'autorité (eg: Commodo). Le revendeur a des tarifs dégressif en fonction de son volume mais la "qualité" du certificat dépend exclusivement de l'autorité.

Je conseille avant de choisir une autorité de tester sa page (qui doit avoir un certificat sinon lâchez l'affaire) au travers de ce service très simple (sans pub): https://www.geocerts.com/ssl_checker

 

Nombre d'autorité ont des sous-autorités (surtout pour les offre d'entrée de gamme), exemple AlphaSSL == GlobalSign. Quand vous utilisez une sous-autorité il faut s'assurer que la chaîne de certification est complète et, mon conseil, envoyé de force par le serveur afin que quelque soit le navigateur elle ne soit pas brisée (exemple sur un viel Android)

 

Pénultième point, quand vous cliquez sur le petit cadenas de votre navigateur vous accédez à toute les information du certificat. Si ce cadenas a un panneau de danger ceci signifie que le navigateur à détecté soit une erreur avec le certificat, soit (et c'est le plus souvent le cas) que la page se présente comme sécurisée mais contient certains composants non sécurisés qui pourraient donc briser, collecter, voler des données confidentielles. Une seule ressource non https suffit à déclencher l'alerte et le navigateur ne présuppose de rien, l'alerte intervient pour une image, une css, un js... seul les liens passif sont ignorés et encore pas pour toutes les version de tous les navigateurs.

 

Dernier point, en 2015 tous vos certificat doivent être SHA256 bien sûr et si vous déployez sur votre propre dédié la séquence des algorithmes de hashage peut avoir une influence. Oui c'est technique et beaucoup trop long à expliquer ici. Sans oublier quelques spécificité comme le SNI et l'ip dédiée. Ceci pour dire ne vous lancez pas à l'aveugle, ça peut marcher en passant des heures de frustration a suivre des tutos +/- d'actualité mais certains ont eu des problèmes qui ont fini par leur coûter bien plus cher que de faire appel à un connaisseur.

Edited by doekia (see edit history)
  • Like 6
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...