C’est quoi un certificat SSL ? 7

certificat numerique

C’est quoi un certificat SSL ? 

<< Suite de c’est quoi un certificat numérique ? 

certificat numérique

 

Après avoir vu les certificats numériques, attardons-nous sur un en particulier : C’est quoi un certificat SSL ? Nous allons voir qu’est-ce qu’un certificat SSL et nous examinerons les 3 grands types de certificats SSL. (Pour rappel, les certificats SSL sont ceux qui sont utilisés lorsque vous surfez sur Internet sur des sites en https : voir C’est quoi la différence entre http et https ?)

Mais, puisque cet article est le 2ème des articles consacrés aux certificats numériques, je vous propose de commencer par regarder Qui délivre le certificat numérique ?

 

 

Si vous n’avez pas lu la 1ère partie de cet article, je vous conseille de la lire avant continuer : c’est quoi un certificat numérique ? 

Qui délivre les certificats SSL ?

Tout le monde ne peut pas délivrer les certificats, seules les autorités de certification (Certificate Authority : CA) ont le droit de le faire. C’est un peu comme les cartes d’identités, seules les administrations compétentes sont autorisées à émettre des certificats. 

Voici quelques noms de Certificate Authority : (il en existe beaucoup d’autres) 

On peut également acheter des certificats auprès des fournisseurs de certificats. Ce sont des intermédiaires entre les clients et les autorités de certification. (Comme les concessionnaires de voiture permettent aux particuliers d’acheter des voitures aux constructeurs) 

Et voici quelques noms de fournisseurs de certificats (il suffit de chercher sur Internet car il y en a plein d’autres ) : 

 

Les certificats SSL

En surfant sur différents sites Internet, vous avez sans doute remarqué que l’affichage des adresses peut changer suivant les sites consultés. Cela est dû aux certificats utilisés : les certificats SSL. Intéressons-nous maintenant un peu plus en détail à ce type de certificat : 

Les 3 grands types de certificats SSL

Pour simplifier, on peut dire qu’il existe 3 grandes catégories de certificats :

  1. le certificat de domaine
  2. le certificat à validation d’organisation
  3. le certificat à validation étendue.

 

Alors quelle est la différence entre ces types de certificats ?

Je vous ai dit que les certificats étaient délivrés par les autorités de certification ou par les fournisseurs de certificats, mais pour cela, tout demandeur d’un certificat doit montrer « patte blanche ». En effet, pour obtenir un certificat et en fonction du niveau de celui-ci, il faut fournir certains renseignements :

1 – Le certificat SSL de domaine (DV)

Si vous voulez un certificat simple pour que votre site utilise du https, vous devez être le propriétaire du nom de domaine (la vérification ne prendra que quelques minutes). En général, un échange de mails suffit. Les mails étant envoyés au gestionnaire du domaine bien souvent « postmaster@nom-de-domaine ». (Voir ce qu’est un domaine dans : c’est quoi un serveur dns – partie2 ).

Exemple : Vous êtes le propriétaire du nom de domaine : toto.fr.

Le fournisseur de certificat va envoyer un message à « postmaster@toto.fr ». Si vous recevez ce mail et que vous y répondez, c’est qu’il y a de fortes chances pour que vous soyez le propriétaire de ce domaine, et donc le certificat vous sera attribué. Il ne faut que quelques heures pour obtenir ce genre de certificats.

Attention, ce genre de certificats ne garantit en rien l’identité de l’entreprise ou de la personne qui gère le site !

Affichage de la barre d’adresse du navigateur :

Et dans les navigateurs la connexion sur votre site s’affichera comme ça : 

Internet Explorer ssl-niveau12-ie
Chrome ssl-niveau12-chrome
Firefox ssl-niveau12-firefox

 

2 – Le certificat SSL à validation d’organisation (OV)

Le certificat à validation d’organisation va plus loin car le demandeur doit être le propriétaire de l’entreprise.

Si on reprend l’exemple du dessus, on peut voir que ce n’est pas parce que vous êtes propriétaire du domaine « toto.fr » que vous êtes forcément propriétaire de l’entreprise « toto » ! 

Donc, pour délivrer le certificat à validation d’organisation, le fournisseur de certificat va vérifier le propriétaire de l’entreprise. Il ne va pas seulement envoyer un mail (trop simple), il va essayer de contacter l’entreprise par d’autres moyens (téléphone, courrier postal, …) en lui demandant de répondre. Pour cela, il prendra l’adresse et le numéro de téléphone de l’entreprise sur des annuaires ou sur des sites tels que l’Insee, Infogreffe, etc… 

Une fois toutes ces vérifications effectuées, le fournisseur de certificat pourra alors délivrer le certificat à validation d’organisation. Il faudra en général plus de 48 heures pour obtenir ce type de certificat.

Dans les navigateurs Internet, les certificats à validation d’organisation se présente comme les certificats de domaine.

Et dans les navigateurs la connexion sur votre site s’affichera comme ça : 

Internet Explorer ssl-niveau12-ie
Chrome ssl-niveau12-chrome
Firefox ssl-niveau12-firefox

Vous pouvez constater qu’il n’y a pas de différence avec les certificats de domaine (DV)

 

3 – Le certificat SSL à validation étendue (EV)

Le certificat à validation étendue (certificat SSL EV) ressemble beaucoup au certificat à validation d’organisation (OV), mais il offre le plus haut niveau de certification.

Comme pour le certificat à validation d’organisation l’entreprise demandeuse va être contrôlée avant de pouvoir obtenir ce type de certificat, mais les contrôles seront plus poussés. Les contrôles porteront par exemple, sur l’existence légale de l’entreprise, sur la véracité de l’ensemble des informations fournies.

Ce type de certificat est surtout utilisé par les sites permettant les transactions bancaires (banques, administration, …)

Ce certificat se portant garant de l’entreprise permet l’affichage du nom de l’entreprise dans la barre d’adresse du navigateur, comme on peut le voir ci-dessous :

Internet Explorer

 

ssl-niveau3-ie

La barre est verte et le nom de l’entreprise est affiché.

Chrome

ssl-niveau3

Le nom de l’entreprise est affiché sur fond vert.

Firefox

ssl-niveau3-firefox

Le nom de l’entreprise est affiché en vert.

 

Un exemple : je suis un pirate !

Prenons un exemple simple : Je suis un pirate et je veux me faire passer pour une banque car je veux « pigeonner » les internautes pour récupérer les codes d’accès à leurs comptes bancaires.

Je vais donc faire un superbe site, qui ressemble en tout point à celui d’une banque. Je vais m’arranger pour que les utilisateurs se connectent sur mon site en envoyant un mail de phishing (voir ici la définition du phishing)
Mais, il y aura quelque chose qui va clocher, et si les internautes sont un peu vigilants, ils verront tout de suite la supercherie. Car n’étant pas propriétaire du domaine, je ne peux pas posséder le certificat qui garantit le site et plus encore, je ne peux même pas justifier que je suis le propriétaire de la banque : donc pas d’affichage en vert dans la barre d’adresse du navigateur.

Soyez vigilant !

 

Résumé

En résumé voici les différents affichages que vous pouvez trouver dans votre navigateur en fonction des certificats utilisés par les sites consultés :

Internet Explorer

Erreur de certificat ou pas de certificat.

Un message d’avertissement est affiché
puis si on décide de continuer : 
Barre d’adresse en rouge,
Affichage d’une alerte de certificat.

ATTENTION soyez vigilant !

 certificat sslcertificat ssl

Certificat de domaine ou d’organisation.

https et cadenas fermé :

OK

 certificat ssl
Certificat à validation étendue.

Barre verte et affichage du nom de l’entreprise : 

Tout est OK
 certificat ssl

 

Google Chrome

Erreur de certificat ou pas de certificat

Un message d’avertissement est affiché
puis si on décide de continuer : 
Cadenas avec une croix,
https barré

ATTENTION soyez vigilant !

 certificat sslcertificat ssl

Certificat de domaine ou d’organisation

Cadenas fermé et vert
https vert

OK

 certificat ssl

Certificat à validation étendue

Cadenas fermé et vert
https vert
Nom de l’entreprise et cadenas sur fond vert

Tout est OK !

certificat ssl

 

Mozilla Firefox

Erreur de certificat ou pas de certificat

Un message d’avertissement est affiché,
puis si on décide de continuer : 
Cadenas avec un point d’exclamation. 

ATTENTION soyez vigilant !

 certificat ssl
certificat ssl

Certificat de domaine ou d’organisation

Cadenas fermé et vert
https vert

OK

 certificat ssl
Certificat à validation étendue

Tout est écrit en vert :
Cadenas fermé 
Nom de l’entreprise affiché

Tout est OK
 certificat ssl

 

 

Quel est le contenu d’un certificat numérique et comment ça marche un certificat numérique ?

Que contient ce fameux certificat ?

Et bien vous trouverez tout cela dans la 3ème et dernière partie des articles consacrés aux certificats numériques. : Comment ça marche les certificats numériques ?

 

 

Retrouvez les 3 parties de ces articles liés aux certificats : 

Et puisque ces notions sont évoquées dans ces articles, retrouvez-les ici : 

 

Comme d’habitude, tous les commentaires sont les bienvenus.

N’hésitez pas à vous inscrire à la lettre d’information pour être informé de la parution de nouveaux articles. (vous trouverez la zone d’inscription à la lettre d’information sur la droite de l’écran).

 

Vous aimez ? Dites-le ...

7 thoughts on “C’est quoi un certificat SSL ?

  1. Répondre Romain Août 3,2016 1 h 25 min

    Pour le certificat de domaine il suffit juste que le demandeur du certificat soit l’auteur du site en question ?
    Dans ce cas un pirate peut très bien posséder un nom de domaine bnb-paribas.fr (fake de bnp-paribas), et alors demander un certificat de domaine qu’il obtiendra puisqu’il est l’auteur du nom de domaine bnb-paribas.fr, site pirate qu’il enverra par la suite par mails à ses victimes.

    Je pense avoir mal compris, pourriez vous m’indiquer où je me trompe svp ?

    Merci. 🙂

    • Répondre Administrateur du site Août 3,2016 6 h 20 min

      Bonjour,
      oui, c’est ça. Les certificats DV se limite à la vérification du nom de domaine.
      C’est pour ça que les banques utilisent un niveau de sécurisation plus élevé où il ne suffit pas d’être le propriétaire du nom de domaine ! Mais pour lequel il faut être propriétaire de l’entreprise en lien avec le nom de domaine. Les vérifications se font par courrier, par téléphone etc…
      Et dans ce cas, le navigateur affiche le nom de l’entreprise.
      A bientôt.

  2. Répondre Mh Août 9,2016 6 h 45 min

    Définition simple du certificat ssl.
    Merci

  3. Répondre Ali Jan 10,2017 9 h 54 min

    Merci pour cette éxplication simple ; je partage avec vous aussi un autre Frs d Certificat SSL avec un prix moins cher et les certificats sont délivrés par les grandes autorités : http://www.sslmarket.fr .

  4. Répondre Shirley-Carol Landry Avr 7,2017 3 h 56 min

    Bonjour, merci beaucoup pour votre article 🙂 J’ai un site WordPress sur un hébergeur gratuit, sur lequel j’ai acheté un nom de domaine. Lors de ma connexion, j’ai un message qui me dit que ma connexion n’est pas sécurisée. J’ai écris à mon hébergeur qui me répond « You can disregard this message, as all of our clients on the free hosting environment use the same common SSL certificate. With other words, nothing to worry about. »
    Est-ce que je dois insister ou simplement ignorer l’alerte de sécurité?

    • Répondre Administrateur du site Avr 8,2017 4 h 37 min

      Bonjour Shirley-Carol,
      oui tu peux laisser tomber, car ton hébergeur dit bien que ce n’est pas très grave.
      Il y a juste que je trouve que ça ne fait pas très propre !
      Pour corriger le problème, il faudrait savoir si cela vient du certificat ou du site.
      A bientôt

Laisser une réponse