ProtocolesCertificatsBonnes PratiquesÀ ProposContact
ProtocolesCertificatsBonnes PratiquesÀ ProposContact

Certificats Numériques SSL/TLS : Types, Autorités et Bonnes Pratiques

Certificats Numériques SSL/TLS : Types, Autorités et Bonnes Pratiques

Ce que personne ne vous dit sur les certificats numériques

Un site sans certificat SSL/TLS en 2024, c'est une boutique sans serrure. Les navigateurs affichent des avertissements, les visiteurs fuient, Google pénalise. Le problème vient rarement du manque de certificat : il vient du mauvais choix de certificat.

Comprendre les types, les autorités et les pratiques qui font la différence, c'est ce qui sépare un site sécurisé d'un site vulnérable.

Les trois types de certificats SSL/TLS

DV, OV, EV : pas le même niveau de confiance

Le certificat DV (Domain Validation) est le plus basique. Il prouve uniquement que vous contrôlez le domaine, sans vérification d'identité réelle. Délivré en quelques minutes. Adapté à un blog personnel ou un site vitrine sans transaction.

Le certificat OV (Organization Validation) va plus loin : l'autorité de certification vérifie l'existence légale de votre organisation. C'est le standard pour les entreprises qui veulent afficher une crédibilité sérieuse sans se ruiner.

Le certificat EV (Extended Validation) est le niveau maximal. Vérification approfondie de l'entité juridique, physique et opérationnelle. Historiquement associé à la barre verte dans les navigateurs. Recommandé pour les banques, les e-commerces et les plateformes qui traitent des données sensibles.

Certificats mono-domaine, wildcard et multi-domaines

Un certificat mono-domaine couvre exactement une URL. Simple, précis, économique. Parfait quand vous gérez un seul site.

Le certificat wildcard (ex : *.votredomaine.com) couvre le domaine principal et tous ses sous-domaines. Un seul certificat pour gérer blog., shop., app. : du bon sens opérationnel, et rien de plus compliqué.

Le certificat SAN (ou multi-domaines) couvre plusieurs domaines distincts dans un seul certificat. Utile pour les agences ou les entreprises avec plusieurs marques sous le même toit SSL.

Les autorités de certification : qui signe votre confiance ?

Le rôle d'une CA dans la chaîne de confiance

Une autorité de certification (CA) est une entité tierce qui signe votre certificat. Sans cette signature, les navigateurs le refuseront. La chaîne de confiance part toujours d'un certificat racine intégré dans les systèmes d'exploitation et les navigateurs.

Parmi les CA les plus utilisées : DigiCert, Sectigo, GlobalSign, Let's Encrypt. Let's Encrypt a changé le marché avec des certificats DV gratuits et automatisés. DigiCert domine le segment entreprise avec des certifications OV et EV.

Let's Encrypt : gratuit ne veut pas dire faible

Let's Encrypt a rendu le HTTPS accessible à tous. Des millions de sites sécurisés gratuitement, avec un renouvellement automatique toutes les 90 jours via le protocole ACME. Parfaitement adapté aux sites qui n'ont pas besoin de validation organisationnelle.

La limite est claire : pas de certificats OV ou EV. Pour une banque ou un e-commerce de taille significative, Let's Encrypt ne suffit pas, parce que la confiance perçue par l'utilisateur ne repose pas sur la même base, et ça, c'est une question de perception autant que de protocole.

Les CA privées : un cas d'usage spécifique

Les entreprises avec des infrastructures internes (intranet, API privées, microservices) utilisent parfois leur propre CA privée. Aucun coût par certificat, contrôle total. Mais les certificats émis ne sont reconnus que par les machines configurées pour faire confiance à cette CA. Jamais sur internet public.

Bonnes pratiques SSL/TLS que les développeurs négligent

Choisir la bonne version du protocole

TLS 1.0 et 1.1 sont obsolètes. Désactivez-les. TLS 1.2 reste acceptable, mais TLS 1.3 est le standard actuel : plus rapide, plus sûr, avec une surface d'attaque réduite. Tous les navigateurs modernes le gèrent. Il n'y a aucune raison de rester sur d'anciennes versions.

Surveiller les dates d'expiration

Un certificat expiré coupe l'accès à votre site. Sans négociation, sans avertissement préalable pour l'utilisateur : juste une page d'erreur rouge. Mettez en place des alertes 30, 14 et 7 jours avant l'expiration. Automatisez le renouvellement partout où c'est faisable.

Configurer correctement la chaîne de certificats

Un certificat intermédiaire manquant génère des erreurs sur certains appareils, surtout les mobiles anciens. Votre serveur doit envoyer la chaîne complète : certificat de l'entité finale et certificats intermédiaires. Utilisez SSL Labs pour vérifier votre configuration. Un A+ est l'objectif.

Activer HSTS dès le premier jour

HTTP Strict Transport Security (HSTS) indique aux navigateurs de ne jamais utiliser HTTP, même si quelqu'un tape l'URL sans https://. Activez-le avec une durée longue (max-age=31536000). Ajoutez includeSubDomains et preload si votre architecture le permet. C'est une ligne de configuration. L'impact est immédiat.

Ne pas ignorer le renouvellement des certificats wildcard

Les certificats wildcard sont puissants mais exigent une gestion rigoureuse. Le renouvellement manuel est un risque opérationnel réel. Beaucoup d'entreprises l'oublient et se retrouvent avec tous leurs sous-domaines hors service en même temps. Planifiez, alertez, automatisez.

Les erreurs qui coûtent cher

Mélanger HTTP et HTTPS sur un même site

Le contenu mixte (mixed content) survient quand une page HTTPS charge des ressources en HTTP. Les navigateurs bloquent les ressources actives et alertent sur les ressources passives. Résultat : une expérience dégradée et une note SSL en baisse. Auditez régulièrement avec des outils comme Why No Padlock.

Utiliser un certificat auto-signé en production

Les certificats auto-signés n'ont aucune CA reconnue derrière eux. Les navigateurs affichent une alerte critique. Les utilisateurs paniquent. Ces certificats n'ont leur place qu'en développement local ou en environnements fermés. En production, il n'y a aucune excuse valable.

Négliger la transparence des certificats

Le Certificate Transparency (CT) est un mécanisme de journalisation publique obligatoire. Chaque certificat émis est enregistré dans des journaux publics auditables, ce qui permet de repérer rapidement des émissions frauduleuses sur votre domaine. Surveillez vos logs CT via des outils comme crt.sh. Une émission non autorisée est une alerte sécurité sérieuse.

La sécurité SSL/TLS n'est pas un état, c'est une pratique

Un certificat installé une fois et jamais revu, c'est une illusion de sécurité. Les standards évoluent, les vulnérabilités émergent, les certificats expirent.

La vraie sécurité web se construit dans la durée : bons choix initiaux, renouvellements automatisés, surveillance continue, configurations mises à jour. Ce n'est pas si difficile. C'est de la discipline.

Articles connexes

Protocoles SSL et TLS : Fonctionnement et Différences Clés

Protocoles SSL et TLS : Fonctionnement et Différences Clés

SSL vs TLS : comprenez les différences, le fonctionnement du handshake et pourquoi TLS 1.3 est indispensable pour sécuriser votre site en 2024.

Meilleures Pratiques de Sécurité Web avec SSL/TLS

Meilleures Pratiques de Sécurité Web avec SSL/TLS

TLS 1.3, HSTS, OCSP Stapling, suites cryptographiques : les vraies pratiques SSL/TLS que les professionnels appliquent pour sécuriser leurs sites web.

À Propos de ssl-tls.info : Notre Mission pour la Sécurité Web

À Propos de ssl-tls.info : Notre Mission pour la Sécurité Web

Découvrez la mission de ssl-tls.info : démystifier SSL, TLS et le chiffrement web pour développeurs, admins et décideurs. Contenu fiable, sourcé, en français.

Contactez ssl-tls.info : Questions et Suggestions

Contactez ssl-tls.info : Questions et Suggestions

Posez vos questions sur SSL/TLS, signalez une erreur ou suggérez un article. Retrouvez comment contacter ssl-tls.info efficacement pour obtenir une réponse utile.

© 2026 ssl-tls.info
CGU & Mentions Legales