Certificat SSL gratuit ou payant : comment choisir ?

Investissez dans votre sécurité

Il est aujourd’hui impensable qu’un site internet ne propose pas de connexion chiffrée. Celle-ci favorise par ailleurs votre ranking sur les moteurs de recherche, ce qui la rend encore plus indispensable. Vous aurez donc besoin de choisir un certificat SSL pour votre site afin de rassurer votre public sur la protection de leurs données. Maintenant la question à se poser est : lequel choisir, et surtout faut-il préférer un protocole SSL gratuit ou payant ?

À quoi sert un certificat SSL pour votre site internet ?

Mais au fait, quelle est l’utilité d’installer un certificat numérique SSL sur votre site internet ? Ce protocole d’authentification entre les navigateurs web (comme Google Chrome ou Mozilla Firefox) et le serveur hébergeant votre site permet le cryptage des échanges entre ces deux entités avec une clé privée qu’eux seuls peuvent utiliser. Un observateur extérieur n’y verra qu’un amas de données incompréhensible. Pour les internautes, il est matérialisé par la présence du sigle HTTPS au début de l’URL.

Mais le SSL ne sert pas qu’à cela. Il agit également comme une carte d’identité numérique pour votre site internet, contenant toutes les données publiques de votre entreprise (nom de l’entreprise, adresse, activité…), accessibles par tous. 

Il est enfin utile pour votre référencement naturel. Depuis 2014, les algorithmes SEO de Google mettent en avant les sites pourvus de SSL et affichent un avertissement sur ceux qui n’en possèdent pas, ce qui a refroidi plus d’un internaute.

Quelle est la différence entre un certificat SSL gratuit et un certificat payant ?

Il existe de nombreux organismes de certification permettant à tous de choisir un certificat SSL. Si beaucoup font payer ce service, on trouve aussi des versions gratuites.

Certificat SSL gratuit

La mise à disposition de certificats SSL gratuits participe d’une volonté d’ouvrir le chiffrement des données à tous sur Internet. Ils sont édités par des adeptes du logiciel libre tels que OpenSSL, FreeSSL ou Let’s Encrypt, issu de la fondation Linux. Leur niveau de sécurisation est tout à fait satisfaisant, surtout lorsque vous passez par l’une des fondations citées ci-dessus, qui ont la capacité d’authentifier vos certificats.

Ils présentent toutefois quelques inconvénients, comme une durée d’expiration très courte, de l’ordre de 90 jours. Vous aurez à le renouveler très régulièrement, ce qui n’est pas idéal. Ils n’offrent par ailleurs aucune garantie en cas de problème comme un vol de données. Les dommages financiers seront alors entièrement à votre charge.

Certificat SSL payant

Il est difficile de ne pas être séduit par une offre gratuite comme celle de Let’s Encrypt, soutenue par les plus grands noms du Web. Mais les options payantes ne sont pas dénuées d’avantages, loin de là. La plupart des autorités certificatrices payantes proposent une configuration du certificat SSL bien plus simple, allant même jusqu’à le faire elles-mêmes via votre hébergeur.

La durée de certification est elle aussi plus intéressante, puisqu’elle peut aller jusqu’à trois ans dans certains cas. Enfin, le prix, souvent élevé il est vrai, inclut une garantie en cas d’incident, pouvant atteindre plusieurs centaines de milliers d’euros chez certains fournisseurs.

Comment bien choisir un certificat SSL ?

Il existe différents types de certificats SSL. Tout dépend du niveau de sécurité nécessaire pour votre site internet ; un simple blog personnel n’aura pas besoin de la même protection qu’un site marchand ou un réseau social.

Les certificats SSL gratuits sont amplement suffisants pour un site personnel sur lequel vous ne demandez presque aucune donnée à vos visiteurs. L’enjeu sécuritaire est bien moindre, et il n’est pas forcément rentable de payer pour un service bien trop étendu pour vous. Vous serez toujours protégé, et l’internaute le verra grâce à la présence du sigle HTTPS. En revanche, vous n’aurez pas de garantie financière, inutile pour vous, ou besoin de fournir une longue liste de justificatifs pour prouver votre identité.

En revanche, si votre site internet demande des informations plus sensibles, comme des données bancaires ou d’identité, vous aurez besoin d’un certificat payant vous couvrant pour une longue période. Il en existe trois, aux sigles quelque peu obscurs : DV, OV et EV. Chacun d’eux correspond à un niveau de sécurité différent, et ils n’ont évidemment pas le même coût. Vous pouvez également payer pour un seul certificat couvrant plusieurs noms de domaine. C’est très utile si votre entreprise est divisée en plusieurs branches, chacune nécessitant son propre site internet.

certificat ssl gratuit ou payant

Les différents certificats SSL payants [mailler les différents produits]

Certificat SSL DV

Le premier niveau de certificat SSL payant est appelé DV, pour Domain Validation (validation de domaine). C’est le plus simple à obtenir : il suffit de prouver que vous êtes bien le propriétaire du site internet concerné, le plus souvent en répondant à un email de confirmation envoyé à l’adresse du nom de domaine. L’autorité certificatrice ne vérifie pas votre identité réelle ou votre lien avec l’objet du site. Ce certificat basique est indiqué pour les sites personnels, les blogs ou les sites de présentation de marque, bref, tous ceux qui ne demandent aucun échange de données avec l’internaute.

Certificat SSL OV

Vient ensuite le certificat SSL OV, pour Organization Validation (validation de l’organisation). Plus complexe à obtenir, il nécessite de prouver l’existence de la structure morale derrière le site internet concerné en fournissant des documents justificatifs, en plus de l’identité du propriétaire. Les détails du certificat incluront alors toutes ces données, accessibles à tout internaute.

C’est le niveau de certification minimal pour tout site internet souhaitant manipuler des données sensibles, comme une plateforme de e-commerce. Sa validation peut prendre quelques jours, le temps que l’autorité certificatrice vérifie la véracité des documents fournis.

Certificat SSL EV

Enfin, le certificat de type SSL EV est le niveau maximal de sécurité pour un site internet. Son obtention nécessite de vérifier l’identité du responsable de l’entreprise à l’origine du site internet. La sécurité pour l’internaute est la même, mais le nom de l’organisation est alors affiché directement dans la barre de recherche, signe incontestable de confiance.

Certificat SSL SAN

Choisir le certificat SSL dit multi-domaine à nom alternatif de sujet (abrégé en SAN) vous permet de couvrir plusieurs sites et sous-domaines. Celui-ci est particulièrement intéressant si votre entreprise est composée de plusieurs branches nécessitant chacune un site internet dédié. Ils sont alors tous protégés par le même certificat. 

Certificat de signature de code

Le certificat de signature de code est un peu particulier. Au lieu de sécuriser un nom de domaine, il protège un code informatique entier. Il est surtout indiqué pour les applications mobiles, puisqu’il empêche toute modification non autorisée par le développeur officiel. Il s’agit d’un niveau supplémentaire de confiance pour l’utilisateur qui est assuré  de l’origine du produit qu’il utilise.

Pour aller plus loin : Comment et où acheter un certificat SSL ?

Il existe une multiplicité de certificats SSL, tous adaptés à des usages différents. Mais, que vous teniez un simple blog personnel ou que vous gériez une plateforme de e-commerce, vous aurez toujours besoin d’être protégé et de protéger vos utilisateurs contre le vol de données. 

Nicolas Alamone
Nicolas Alamone est chef de projet éditorial chez fullCONTENT depuis plusieurs années. Journaliste puis rédacteur en chef, Nicolas est un rédacteur expérimenté à l'aise dans de nombreux domaines (high-tech, voyages, sport...). Fort d'une solide expérience dans le brand content et la gestion de projets éditoriaux, il a accompagné de nombreux clients dans leur stratégie de développement. Ses deux passions dans la vie : le sport et le café.