E-commerce : comment choisir son certificat SSL ?
Initialement pensés pour l'e-commerce, les certificats SSL, associés au chiffrement des pages Web en HTTPS, coûtent de 0 à plusieurs milliers d'euros. En outre, de très nombreux acteurs, connus sous le nom d'autorité de certification, en proposent, compliquant encore le choix pour les PME ou TPE du e-commerce. Alors, quelles sont leurs différences ? Comment les choisir ?
Eviter les certificats gratuits
Premier conseil, donné par François Vergez, directeur de l'activité conseil en sécurité au sein de Lexsi : "il faut éviter les certificats gratuits. Ils peuvent éventuellement être utiles en environnement de test, mais ils sont à éviter pour les sites en production".
L'expert en sécurité considère qu'il faut débourser au moins une centaine d'euros par an pour une prestation sérieuse proposant l'"assurance raisonnable" minimum pour les TPE-PME, qui n'ont de toute façon pas toujours plusieurs milliers d'euros à investir par an dans un tel certificat.
Ensuite, quelles sont les différences entre tous les certificats payants ? Pourquoi de tels écarts de prix ? Plusieurs critères viennent les distinguer.
Plus le certificat est cher, plus les validations sont nombreuses et exigeantes
Pour éviter des piratages, il faut s'assurer que le certificat est bien remis à la bonne personne, réellement responsable du site qu'il faut certifier. Envoyer automatiquement un e-mail à l'adresse indiquée lors de l'enregistrement du nom de domaine est la vérification la plus facile que peut faire le fournisseur du certificat mais pas la plus fiable. C'est le premier critère différenciant, et la fiabilité de cette vérification peut évidemment impacter le prix du certificat.
Un certificat rapidement délivré empêche son fournisseur de procéder à toutes les vérifications
Les certificats les plus chers sont de type "extended validation" : souvent, plus le certificat est cher, plus les vérifications sont nombreuses et exigeantes. Les critères à remplir pour un certificat de type "extended validation" forment une liste assez longue (voir document pdf). François Vergez attire également l'attention sur le fait qu'un certificat très rapidement délivré empêche évidement de procéder à toutes les vérifications, parfois aussi longues qu'utiles.
L'autorité de certification est-elle fiable ?
Autre aspect à prendre en compte : la fiabilité du fournisseur lui-même. Ce dernier fait-il régulièrement examiner ses pratiques, notamment en matière de sécurité, par des cabinets reconnus comme KPMG, PwC, Deloitte ou Ernst&Young ? Ont-ils le sceau délivré après avoir passé l'audit Webtrust (voir critères dans ce document pdf) réalisé par des tiers certificateurs ? Ces critères et ce sceau sont à analyser, même s'ils ne peuvent garantir la sécurité et la fiabilité à 100%. En effet, récemment, l'autorité de certification Comodo, qui n'est ni la plus petite ni la moins utilisée, a été victime d'un des piratages les plus retentissants de 2011.
L'autorité de certification, au cœur du système de confiance du SSL, peut en effet faillir et causer des préjudices à des tiers – aux sites, mais aussi à leurs clients. C'est pourquoi certaines autorités proposent également des assurances, d'un montant très variable. C'est un autre point à étudier. Evidemment, là encore, "plus faible sera le montant de la garantie, plus faible risque d'être le niveau de validation et de garantie proposé par l'autorité de certification", résume François Vergez.
La responsabilité des navigateurs
Enfin, il peut aussi être utile de bien vérifier que l'autorité de certification choisie est crédible aux yeux des principaux navigateurs. Ces derniers disposent d'une liste mise à jour des autorités compatibles et dignes de leur confiance. A noter toutefois que ce critère est également à relativiser, car l'année dernière, la révocation de l'autorité de certification DigiNotar suite à son piratage n'a été réalisée par les éditeurs de navigateur qu'après l'émission de faux certificats. C'était donc trop tard.
Quant à la clé de chiffrement proposée, qui peut en effet être variable (40, 56, 128, 256 bits), pour François Vergez, cela ne doit pas être le premier critère à regarder. Il reste moins important que les critères évoqués plus haut.
En outre, dans la vaste fourchette de tarifs proposés, il y a aussi d'autres subtilités qui peuvent également être exploitables en termes de communication et de marketing, mais la majorité des TPE-PME du e-commerce et leurs utilisateurs ne verront pas les différences.
En revanche, cet expert rappelle que les pages de paiement, très souvent gérées par des tiers, ne sont pas les seules qui doivent être chiffrées. En effet, les pages où l'utilisateur s'identifie peuvent également être protégées par SSL, ce qui garantira la protection de leurs données personnelles. Cette bonne pratique est pourtant bien loin d'être très répandue dans l'e-commerce.