[sécurité] Certificats SSL

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par numerodix, 18 Février 2008.

  1. numerodix
    numerodix WRInaute discret
    Inscrit:
    13 Décembre 2007
    Messages:
    99
    J'aime reçus:
    0
    Bonjour a tous !
    J'espère que je poste au bon endroit ...
    Je voudrais votre avis pour ceux qui ont déja acheté des certificats SSL. En fait je suis en BTS info gestion en alternance et mon entreprise ma demandé de faire des recherches sur les certificats SSL. J'ai trouvé comment en faire gratuitement avec openSSL mais c'est pas terrible car l'utilisateur verra une fenetre s'ouvrir qui lui indiquera que le site n'est pas validé par un certificat reconnu...

    J'ai donc cherché les tarifs des certificats payants...

    Thwate :

    Certificats sécurisés SSL avec authentification complète chiffrement 256 bits :
    3 ans : 478€ - 2 ans : 307€ - 1 an : 170€
    Certificats valides domaines SSL garantissant un chiffrement 256-bits
    : 3 ans : 273€ - 2 ans : 177€ - 1 an : 102€

    OVH :

    1 an : 49.99 € 2 ans :89.99 € 3 ans :119.99 €

    Verisign :

    Secure Site : 1 an : 450 € 2 ans : 820 € 3 ans : 1095 €
    Secure Site Pro : 1 an : 1150€ 2 ans : 2150 € 3 ans : 2795 €
    Secure Site Pro EV : 1 an : 1499€ 2 ans : 2695 €

    GeoTrust :

    QuickSSL : 1 an : 156€
    QuickSSL Premium : 1 an : 210€

    Ce que je ne comprend pas c'est ces écarts énormes de prix. Pourquoi ? Quelles différences ? Avez vous déja acheté des certificats ? Lesquels avez vous choisis ? Voila un peu les questions que je me pose... Si vous pouviez m'aidez j'en serais ravi
     
  2. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 593
    J'aime reçus:
    0
    Normal, le but d'un certificat c'est que quelqu'un certifie quelque chose... :)

    Dans les différences possibles il y a:
    - le certificat confirme juste le nom de domaine, ou confirme l'identité du détenteur. Le premier peut être instantané, le deuxième requiert l'envoi de doc (extrait Kbis etc.). Ca n'affiche pas la même chose dans le browser (mais dans la plupart des browsers il faut cliquer partout pour voir l'info en question).
    - le certificat est "EV" et est "encore mieux", en gros la barre d'adresse devient verte dans les browsers qui le supportent
    - le certificat est wildcard (autorise les sous-domaines) ou pas

    Ensuite il y a des problématiques de compatibilité avec tous les browsers (i.e. présence du certificat racine correspondant dans une majorité de browsers ou pas).

    En plus de ceux que tu as cités plus haut (mais il pourrait y avoir de la redoncance, il y a souvent un nom commercial qui ne correspond pas forcément au nom de la racine du certificat):
    - godaddy
    - instantssl
    - rapidssl
    - komodo

    Et je dois en oublier quelques autres (mais au final il y en a beaucoup qui sont des filiales les uns des autres ou qui utilisent les mêmes certificats racines, éventuellement avec un certificat intermédiaire).

    Jacques.
     
  3. numerodix
    numerodix WRInaute discret
    Inscrit:
    13 Décembre 2007
    Messages:
    99
    J'aime reçus:
    0
    Merci pour ta réponse ! :)
    Donc, en gros le certificat EV n'apporte pas grand chose en plus?...
    Les certificats d'OVH sont ils de "bonne qualité" ?
    Une autre question, comment cela se passe lorsque l'on achète un certificat ? Il y a juste l'url à changer ? (mettre https a la place de http) ?
    Merci pour votre aide, je n'y connait absolument rien !
     
  4. e-kiwi
    e-kiwi WRInaute accro
    Inscrit:
    23 Décembre 2003
    Messages:
    13 257
    J'aime reçus:
    1
    mon coffre fort électronique est chez cecurity.com, tu peux regarder le prix de leurs certificats
     
  5. Axiso
    Axiso WRInaute passionné
    Inscrit:
    8 Avril 2004
    Messages:
    1 209
    J'aime reçus:
    0
    D'un point de vue sécurité il est inutile pour les usages les plus communs tels que l'e-commerce.
    Par contre pour l'aspect commercial ça peut être sympa : le client est rassuré, on peut mettre en avant cette sécurité bien qu'elle soit inutile ...

    La différence de tarif doit aussi prendre en compte les services associés : rapidité d'obtention et aide à la mise en place.
    A mon avis chez OVH tu te débrouilles tout seul pour utiliser ce qu'ils te vendent :)
     
  6. Axiso
    Axiso WRInaute passionné
    Inscrit:
    8 Avril 2004
    Messages:
    1 209
    J'aime reçus:
    0
    Y'a Equifax aussi. Je dirais que c'est le troisième en terme de volume de sites à fort trafic certifiés en France ; après Verisign et Thawte (qui fait partie de Verisign d'ailleurs, pour ta culture ;) ).
     
  7. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 593
    J'aime reçus:
    0
    Comme déjà dit par Axiso, pas grand chose, sauf que la barre d'adresse devient "verte", ce qui donne confiance à l'utilisateur (enfin, donnera, parce que vu que c'est nouveau pour le moment ça n'apporte pas grand chose). Je ne me souviens plus de ce qu'ils prétendent vérifier de plus que les autres pour te donner un certificat EV.

    Aucune idée, mais j'ai tendance à penser qu'ils revendent ceux de quelqu'un d'autre, ou qu'ils utilisent un certificat intermédiaire (pas de certificat racine OVH dans les browsers à ma connaissance). Dans le premier cas, autant aller à la source directement, dans le deuxième, c'est assez kif-kif. Pour le reste, no sé, jamais utilisé.

    Il faut que ton serveur web sache faire du https (aka SSL aka TLS), qu'il soit configuré pour, puis installer le certificat et lui dire où trouver le certificat qui va avec chaque adresse IP (note qu'en https tu ne peux pas mettre plusieurs domaines sur la même IP). Comme je n'ai aucune idée de ton hébergement (mutualisé, dédié, chez qui...), difficile de t'en dire plus. Si c'est un certificat avec un certificat intermédiaire il faut aussi installer ce dernier (suivant les cas la procédure n'est pas forcément exactement la même).

    Jacques.
     
  8. numerodix
    numerodix WRInaute discret
    Inscrit:
    13 Décembre 2007
    Messages:
    99
    J'aime reçus:
    0
    Merci à vous pour toutes ces réponses !
    J'ai un serveur dédié et je suis chez OVH. J'ai cherché sur internet comment configurer un serveur pour le https mais je n'ai pas compris grand chose... Encore un peu d'aide serai la bienvenue :)
    Merci beaucoup de prendre le temps de m'aider ! :)
     
  9. Axiso
    Axiso WRInaute passionné
    Inscrit:
    8 Avril 2004
    Messages:
    1 209
    J'aime reçus:
    0
  10. numerodix
    numerodix WRInaute discret
    Inscrit:
    13 Décembre 2007
    Messages:
    99
    J'aime reçus:
    0
    Merci beaucoup ! C'est parfait :D
     
Chargement...
Similar Threads - [sécurité] Certificats SSL Forum Date
[Sécurité] MAJ Wordpress Développement d'un site Web ou d'une appli mobile 16 Février 2010
Révocation de certificats SSL Administration d'un site Web 5 Mars 2020
Des certificats SSL délivrés par Google ? Google : l'entreprise, les sites web, les services 28 Janvier 2017
Probleme de certificats Administration d'un site Web 27 Avril 2010