[sécurité] Certificats SSL

[numerodix]

Bonjour a tous !
J'espère que je poste au bon endroit ...
Je voudrais votre avis pour ceux qui ont déja acheté des certificats SSL. En fait je suis en BTS info gestion en alternance et mon entreprise ma demandé de faire des recherches sur les certificats SSL. J'ai trouvé comment en faire gratuitement avec openSSL mais c'est pas terrible car l'utilisateur verra une fenetre s'ouvrir qui lui indiquera que le site n'est pas validé par un certificat reconnu...

J'ai donc cherché les tarifs des certificats payants...

Thwate :

Certificats sécurisés SSL avec authentification complète chiffrement 256 bits :
3 ans : 478€ - 2 ans : 307€ - 1 an : 170€
Certificats valides domaines SSL garantissant un chiffrement 256-bits
: 3 ans : 273€ - 2 ans : 177€ - 1 an : 102€

OVH :

1 an : 49.99 € 2 ans :89.99 € 3 ans :119.99 €

Verisign :

Secure Site : 1 an : 450 € 2 ans : 820 € 3 ans : 1095 €
Secure Site Pro : 1 an : 1150€ 2 ans : 2150 € 3 ans : 2795 €
Secure Site Pro EV : 1 an : 1499€ 2 ans : 2695 €

GeoTrust :

QuickSSL : 1 an : 156€
QuickSSL Premium : 1 an : 210€

Ce que je ne comprend pas c'est ces écarts énormes de prix. Pourquoi ? Quelles différences ? Avez vous déja acheté des certificats ? Lesquels avez vous choisis ? Voila un peu les questions que je me pose... Si vous pouviez m'aidez j'en serais ravi

[jcaron]

J'ai trouvé comment en faire gratuitement avec openSSL mais c'est pas terrible car l'utilisateur verra une fenetre s'ouvrir qui lui indiquera que le site n'est pas validé par un certificat reconnu...

Normal, le but d'un certificat c'est que quelqu'un certifie quelque chose...

J'ai donc cherché les tarifs des certificats payants...

Thwate :

Certificats sécurisés SSL avec authentification complète chiffrement 256 bits :
3 ans : 478€ - 2 ans : 307€ - 1 an : 170€
Certificats valides domaines SSL garantissant un chiffrement 256-bits
: 3 ans : 273€ - 2 ans : 177€ - 1 an : 102€

OVH :

1 an : 49.99 € 2 ans :89.99 € 3 ans :119.99 €

Verisign :

Secure Site : 1 an : 450 € 2 ans : 820 € 3 ans : 1095 €
Secure Site Pro : 1 an : 1150€ 2 ans : 2150 € 3 ans : 2795 €
Secure Site Pro EV : 1 an : 1499€ 2 ans : 2695 €

GeoTrust :

QuickSSL : 1 an : 156€
QuickSSL Premium : 1 an : 210€

Ce que je ne comprend pas c'est ces écarts énormes de prix. Pourquoi ? Quelles différences ? Avez vous déja acheté des certificats ? Lesquels avez vous choisis ? Voila un peu les questions que je me pose... Si vous pouviez m'aidez j'en serais ravi

Dans les différences possibles il y a:
- le certificat confirme juste le nom de domaine, ou confirme l'identité du détenteur. Le premier peut être instantané, le deuxième requiert l'envoi de doc (extrait Kbis etc.). Ca n'affiche pas la même chose dans le browser (mais dans la plupart des browsers il faut cliquer partout pour voir l'info en question).
- le certificat est "EV" et est "encore mieux", en gros la barre d'adresse devient verte dans les browsers qui le supportent
- le certificat est wildcard (autorise les sous-domaines) ou pas

Ensuite il y a des problématiques de compatibilité avec tous les browsers (i.e. présence du certificat racine correspondant dans une majorité de browsers ou pas).

En plus de ceux que tu as cités plus haut (mais il pourrait y avoir de la redoncance, il y a souvent un nom commercial qui ne correspond pas forcément au nom de la racine du certificat):
- godaddy
- instantssl
- rapidssl
- komodo

Et je dois en oublier quelques autres (mais au final il y en a beaucoup qui sont des filiales les uns des autres ou qui utilisent les mêmes certificats racines, éventuellement avec un certificat intermédiaire).

Jacques.

[numerodix]

Merci pour ta réponse !
Donc, en gros le certificat EV n'apporte pas grand chose en plus?...
Les certificats d'OVH sont ils de "bonne qualité" ?
Une autre question, comment cela se passe lorsque l'on achète un certificat ? Il y a juste l'url à changer ? (mettre https a la place de http) ?
Merci pour votre aide, je n'y connait absolument rien !

[e-kiwi]

mon coffre fort électronique est chez cecurity.com, tu peux regarder le prix de leurs certificats

[Axiso]

Donc, en gros le certificat EV n'apporte pas grand chose en plus?...

D'un point de vue sécurité il est inutile pour les usages les plus communs tels que l'e-commerce.
Par contre pour l'aspect commercial ça peut être sympa : le client est rassuré, on peut mettre en avant cette sécurité bien qu'elle soit inutile ...

Ce que je ne comprend pas c'est ces écarts énormes de prix.

La différence de tarif doit aussi prendre en compte les services associés : rapidité d'obtention et aide à la mise en place.
A mon avis chez OVH tu te débrouilles tout seul pour utiliser ce qu'ils te vendent

[Axiso]

Y'a Equifax aussi. Je dirais que c'est le troisième en terme de volume de sites à fort trafic certifiés en France ; après Verisign et Thawte (qui fait partie de Verisign d'ailleurs, pour ta culture ).

[jcaron]

Donc, en gros le certificat EV n'apporte pas grand chose en plus?...

Comme déjà dit par Axiso, pas grand chose, sauf que la barre d'adresse devient "verte", ce qui donne confiance à l'utilisateur (enfin, donnera, parce que vu que c'est nouveau pour le moment ça n'apporte pas grand chose). Je ne me souviens plus de ce qu'ils prétendent vérifier de plus que les autres pour te donner un certificat EV.

Les certificats d'OVH sont ils de "bonne qualité" ?

Aucune idée, mais j'ai tendance à penser qu'ils revendent ceux de quelqu'un d'autre, ou qu'ils utilisent un certificat intermédiaire (pas de certificat racine OVH dans les browsers à ma connaissance). Dans le premier cas, autant aller à la source directement, dans le deuxième, c'est assez kif-kif. Pour le reste, no sé, jamais utilisé.

Une autre question, comment cela se passe lorsque l'on achète un certificat ? Il y a juste l'url à changer ? (mettre https a la place de http) ?

Il faut que ton serveur web sache faire du https (aka SSL aka TLS), qu'il soit configuré pour, puis installer le certificat et lui dire où trouver le certificat qui va avec chaque adresse IP (note qu'en https tu ne peux pas mettre plusieurs domaines sur la même IP). Comme je n'ai aucune idée de ton hébergement (mutualisé, dédié, chez qui...), difficile de t'en dire plus. Si c'est un certificat avec un certificat intermédiaire il faut aussi installer ce dernier (suivant les cas la procédure n'est pas forcément exactement la même).

Jacques.

[numerodix]

Merci à vous pour toutes ces réponses !
J'ai un serveur dédié et je suis chez OVH. J'ai cherché sur internet comment configurer un serveur pour le https mais je n'ai pas compris grand chose... Encore un peu d'aide serai la bienvenue
Merci beaucoup de prendre le temps de m'aider !

[Axiso]

Ici peut-être : http://guides.ovh.com/InstallsiteSSL

[numerodix]

Merci beaucoup ! C'est parfait