Il existe plusieurs types de certificats SSL différents. Bien que tous fournissent le même niveau de chiffrement TLS, ils servent à des fins différentes et sont utilisés dans des contextes différents.
Cet article s'articule autour des points suivants :
Contenu associé
Le SSL, qu’est-ce que c’est ?
Qu'est-ce qu'un certificat SSL ?
négociation SSL
SSL sans clé
Comment fonctionne le SSL ?
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Un certificat SSL (plus précisément appelé certificat TLS), est nécessaire pour qu'un site Web bénéficie du chiffrement HTTPS. Un certificat SSL contient la clé publique du site Web, le nom de domaine pour lequel il a été émis, la signature numérique de l'autorité de certification émettrice et d'autres informations importantes. Il est utilisé pour authentifier l'identité d'un serveur d'origine, ce qui permet d'éviter les attaques par chemin d'accès, l'usurpation de domaine et d'autres méthodes utilisées par les attaquants pour se faire passer pour un site Web et tromper les utilisateurs.
HTTPS crée une connexion chiffrée entre le navigateur d'un utilisateur et le serveur web avec lequel il communique, en protégeant ainsi les communications contre toute interception. Les certificats SSL sont nécessaires pour établir cette connexion chiffrée (voir Qu'est-ce qu'un certificat SSL ? pour en savoir plus).
Un certificat SSL à domaine unique s'applique à un et un seul domaine. Il ne peut pas être utilisé pour authentifier un autre domaine, pas même les sous-domaines du domaine pour lequel il est émis.
Toutes les pages de ce domaine sont également sécurisées avec le certificat. Par exemple, si cloudflare.com possède un certificat à domaine unique, cloudflare.com/learning (la page principale du centre d'apprentissage) est également couvert par ce certificat.
Les certificats SSL génériques concernent un seul domaine et tous ses sous-domaines. Un sous-domaine est une extension du domaine principal. Habituellement, les sous-domaines auront une adresse qui commence par autre chose que www.
Par exemple, www.cloudflare.com possède un certain nombre de sous-domaines, notamment blog.cloudflare.com, support.cloudflare.com et developers.cloudflare.com. Chacun est un sous-domaine du domaine principal cloudflare.com.
Un seul certificat SSL avec caractères génériques peut s'appliquer à tous ces sous-domaines. Tout sous-domaine sera répertorié dans le certificat SSL. Les utilisateurs peuvent voir une liste des sous-domaines couverts par un certificat particulier en cliquant sur le cadenas dans la barre d'URL de leur navigateur, puis en cliquant sur Certificat (dans Chrome) pour afficher les détails du certificat.
Un certificat SSL multi-domaine, ou MDC, répertorie plusieurs domaines distincts sur un même certificat. Avec un MDC, les domaines qui ne sont pas des sous-domaines les uns des autres peuvent partager un certificat.
Une banque n'accorde pas de prêt à un particulier avant d'avoir vérifié sa solvabilité. De même, avant qu'une autorité de certification (CA) émette un certificat SSL à une organisation, elle doit valider l'organisation. Il doit être prouvé que l'organisation possède et exploite réellement le domaine. C'est ce qu'on appelle la validation du certificat SSL.
Cependant, il existe différents niveaux de validation, allant de la simple validation minimale à des investigations approfondies sur les antécédents. Un certificat SSL de l'un de ces niveaux de validation fournit le même degré de chiffrement TLS. La seule différence réside dans la façon dont l'autorité de certification a authentifié l'identité de l'organisation.
La validation de domaine est le niveau de validation le moins strict. Pour obtenir l'un de ces certificats SSL, une organisation n'a qu'à prouver qu'elle contrôle le domaine. Elle peut le faire en modifiant l'enregistrement DNS associé au domaine, ou parfois simplement en envoyant un e-mail à l'autorité de certification. Souvent, le processus est automatisé.
Ce niveau de validation est le moins cher. C'est une bonne option pour les blogs, les sites de portefeuille ou les petites entreprises qui cherchent simplement à lancer rapidement HTTPS, surtout si une entreprise ne vend pas de produits via son site web (par exemple, un restaurant ou un café).
La validation de l'organisation implique un processus de vérification manuelle : l'autorité de certification (AC) contactera l'organisation qui a fait une demande de certificat SSL et pourra faire quelques investigations. Les certificats SSL de validation de l'organisation contiendront le nom et l'adresse de l'organisation, ce qui les rendra plus fiables pour les utilisateurs que les certificats de validation de domaine.
La validation étendue implique une vérification complète des antécédents de l'organisation. L'AC s'assurera que l'organisation existe et qu'elle est légalement déclarée en tant qu'entreprise, qu'elle est bien présente à l'adresse qu'elle indique, etc. Ce niveau de validation est celui qui prend le plus de temps et qui coûte le plus cher, mais les certificats SSL à validation étendue sont plus fiables que les autres types de certificats SSL. Par conséquent, ces certificats sont nécessaires pour que l'adresse d'un site web transforme la barre d'URL du navigateur en vert, l'indication visuelle pour les utilisateurs d'un site chiffré en TLS fiable.
Les grandes entreprises, les institutions financières et les sites d'e-commerce doivent obtenir des certificats à validation étendue. Cette précaution est essentielle si un site ou une application gère des données clients sensibles, comme des mots de passe, des numéros de carte de paiement, des noms et des adresses.
Pour en savoir plus sur la façon d'obtenir un certificat SSL gratuit auprès de Cloudflare, consultez notre page SSL.