En 2014 débute la campagne Google mettant en avant l’importance d’avoir son site en HTTPS. Après trois années de communication assidues, Google – via son navigateur Chrome – indique depuis le 1er février 2017 si le site que vous visitez est sécurisé ou non (indicateur à côté de l’URL).
Sentant un fort potentiel, le marché des certificats SSL a vu fleurir de nouvelles autorités de certification, proposant gratuitement des certificats SSL dont le plus connu est Let’s Encrypt X509.
La sécurité avant tout.
A l’heure où les acteurs comme Google et Microsoft veulent renforcer la présence des connexions sécurisées, les procédures d’automatisation et de la non-vérification de l’identité vont à l’encontre des principes de sécurité des géants d’Internet.
En effet, la particularité de ces autorités de certifications gratuites réside dans une automatisation du processus d’acquisition et d’installation : les certificats sont émis sur la base d’une simple vérification du nom de domaine et non de l’organisation, ce qui ne donne aucune valeur à l’authentification.
Let’s Encrypt peut-être une solution pour vous si votre besoin est purement interne. Dans le cas contraire, nous vous le déconseillons fortement.
LES RISQUES & INCONVÉNIENTS D’UN CERTIFICAT SSL AUTO-SIGNÉ GRATUIT :
- Défaut d’identification
En effet, ces certificats sont délivrés après une simple vérification du nom de domaine. Par conséquent une des fonctions d’un certificat SSL n’est pas remplie, à savoir l’authentification de l’identité du titulaire du site internet. Car il convient de rappeler qu’au delà du cryptage des échanges entre l’internaute et l’éditeur du site, le certificat SSL doit aussi avoir pour fonction de permettre à l’internaute de s’assurer qu’il est bien là où il veut être.
- Vous avez dit « automatisation » ?
Si vous souhaitez installer vous-même, bonne chance ! Let’s Encrypt X509 utilise dans son argumentaire commerciale le terme « d’automatisation ». L’installation n’est pas si automatique que cela et quelques manipulations de votre part sont à prévoir. Après vérification des tutoriels disponibles sur Internet, les informations sont très techniques : sans un minimum de connaissances, il vous sera impossible de l’installer.
- Certificat valable uniquement 90 jours
Un certificat généré par Let’s Encrypt est valide pour une durée de 90 jours, ce qui nécessite un renouvellement tous les 3 mois. En comparaison avec un certificat payant, le SSL est valide entre 1 an à 3 ans, selon l’autorité de certification et le type de certificat sélectionné.
Il existe toutefois une procédure pour renouveler automatiquement via la configuration d’un « cron », programme qui permet aux utilisateurs d’exécuter automatiquement des scripts, des commandes ou des logiciels à une date et une heure spécifiées à l’avance, ou selon un cycle défini. Mais le système est très sensible avec Let’s Encrypt X509 et demande de solides connaissances techniques.
Ce délai de 90 jours n’est pas compatible avec les procédures de prise en compte par la sphère Internet. Il faut :
- 126 jours – soit environ 4 mois, pour pouvoir être intégré dans les navigateurs par HSTS – Http Strict Transport Security
- 180 jours – soit 6 mois, pour être considéré comme A+ sur SSLabs, organisme qui permet d’auditer la qualité des certificats SSL mis en place.
- 60 jours de délai de rétention est préconisé par la norme HPKP – Http Public Key Pinning , période pendant laquelle les données doivent être disponibles pour récupération.
- Connexions simultanées limitées
Critère à prendre en compte : la connexion simultanée à votre site. Si votre Apache est mal configurée pour le SSL gratuit, les connexions simultanées à votre site peuvent être très limitées. Pour un site e-commerce ou de billetterie, ce critère est à prendre en considération.
- Un outil intéressant pour les pirates
Experts en informatique, l’installation d’un certificat comme Let’s Encrypt est d’une simplicité pour les pirates. Créateurs de faux sites internet, il leur suffit d’installer un SSL gratuit pour instaurer cet esprit de confiance.
Si vous souhaitez connaitre l’autorité de certification utilisée sur le site visité, certains navigateurs – Mozilla, IE, Safari – l’indiquent en cliquant sur le cadenas situé à côté de l’URL.
[av_gallery ids=’25763,25764,25765′ style=’thumbnails’ preview_size=’portfolio’ crop_big_preview_thumbnail=’avia-gallery-big-crop-thumb’ thumb_size=’square’ columns=’3′ imagelink=’aviaopeninbrowser aviablank noLightbox’ lazyload=’avia_lazyload’ av_uid=’av-jj5hb1′]
Certificat SSL gratuit ou payant : quels critères important à prendre en considération.
Gardez à l’esprit qu’il ne faut pas s’attacher au montant des garanties mais plutôt au niveau d’authentification et à la présence de l’autorité de certification dans les navigateurs et surtout à l’image de marque de l’autorité de certification.
Let’s Encrypt est une organisation à but non lucratif et leurs services sont fournis gratuitement. Qui dit gratuité, dit service minimum. En cas de nécessité d’un support technique, vous devrez malheureusement vous référer à une FAQ ou vous rendre sur la page community Let’s Encrypt. Cette absence de support téléphonique est une réelle problématique si vous avez une urgence à régler.
SafeBrands a fait le choix de ne pas proposer des certificats qui ne reposent que sur la validation du nom de domaine, cela ne correspond pas au niveau de conseil, de professionnalisme et de sécurité auquel nos clients s’attendent.
SafeBrands, en sa qualité de fournisseur de certificats SSL, est à votre disposition pour tout renseignement complémentaire concernant ce service. N’hésitez pas à contacter nos chargés de clientèle en utilisant notre formulaire en ligne, par email domaines@safebrands.com ou téléphone au +33 (0)1 80 82 82 60.