Différences entre les certificats SSL : Quelle galère !

Comme l’indique le titre, pour l’instant, je n’arrive pas bien à comprendre la différence entre les différents certificats SSL vendus par les entreprises du secteur.

Dans le cadre de Zlio, nous avons besoin d’acheter un certificat SSL. L’un de nos collaborateurs nous conseille d’aller voir du côté de Dynadot LLC qui vend des certificats Rapid SSL à 19.95$ par an ! Raisonnable n’est ce pas ?

Ce que nous ne comprenons pas est que Verisign propose un certificat quasiment identique à 995$ par an ! La seule différence que je vois est le fait de pouvoir disposer d’un label Verisign Secured à disposer sur notre site.

Sur Twitter, Tuxplanet m’a expliqué que certains certificats n’étaient pas reconnus en standard par les navigateurs…mais là, celui de Rapid SSL l’est bien par Firefox et IE.

Qui peut expliquer cette différence ?

La Green Bar

Vous avez pu remarqué sous Firefox 3 ou IE7, l’apparition d’une barre verte lorsque vous connectez sur certains sites (essayez Paypal par exemple). Verisign propose aussi une offre Green Bar pour 1495$. Ca fait 500$ la couleur 😉

If you use Microsoft® Internet Explorer 7 to go to a Web site secured with an SSL Certificate that meets the Extended Validation Standard, IE7 will cause the URL address bar to turn green. A display next to the green bar will toggle between the organization name listed in the certificate and the Certificate Authority.

Si un gourou du sujet pouvait nous expliquer tout ça, je lui prête mon blog pour rédiger un post sur le sujet 😉

Related Post

13 Comments

  1. La green-bar de chez Verisign représente le fait que cette autorité de certification a vérifié les données que vous lui avez fourni de manière plus poussée. Ils appellent ça “Extended Validation”.

    Je ne sais pas quels sont leurs processus ni les informations vérifiées pour délivrer ce certificat. En tout cas il veut dire que Verisign s’engage plus fortement sur l’authenticité de l’identité du gestionnaire du site.

  2. La différence se joue peut-êter sur les options fournies par certaines autorités :

    – option de renouvellement automatique
    – certain semble même émettre des certificats reconnu par les appareils mobiles (PDA …)
    – Vérisign propose le logo afin de rassurer les clients (comme une image de marque). Perso, je pense qu’il n’y a que les fanatique du SSL qui font attention à cela.

    Pour ma part, au taf on utilise des certificats de type wildcard délivré par l’autorité CyberTrust, c’est plus cher, mais avec 1 seule certificat, on fait du https sur plusieurs sites. En gros l’option wildcard nous permet de faire du https sur tous nos sites du type *.nomdedomaine.fr. Au final, sa coûte moins chère que d’acheter 100 certificats pour 100 sites.

    J’ai cru voir sur un site également, qu’il y avait une légère différence au niveau du cryptage des certificats rapidSSL, qui serait d’un niveau un peu moins élevé (Cryptage 128 Bit, Standard SSL alors que d’autre utilise du AES-256 256bit).

    Toutes ces informations que je donne sont à vérifier, je ne suis pas un expert du domaine mais un simple utilisateurs.

    Et puis perso, à 20$ le certificat, tu risque pas grand chose d’en acheter un.

  3. Bonjour Jeremie,

    Comme d’autres l’ont précisé avant, la différence est au niveau du processus de certification.

    Quand nous étions jeunes, Verisign et Thawte vendaient des certificats pour $200 et la procédure impliquait de leur faxer des preuves comme passeport ou détails de société.

    Maintenant on a RapidSSL qui crée un certificat et le valide sur un seul critère: l’adresse admin du nom de domaine. Ils envoient un email à webmaster@site ou admin@site et s’il y a réponse positive, le certificat est créé.

    Au contraire du certificat Verisign qui garantie la sécurité de la transaction, mais aussi l’identité du site et de son propriétaire. Il est donc plus rassurant et probablement meilleur au niveau de l’info dans les navigateurs.

    Reste à voir si cela change quelque chose pour les clients. J’ai laissé un certificat expiré pendant 3 mois sur un site et ai reçu plusieurs commandes sans aucune question des clients…

  4. Salut Jeremie,

    C’est moins cher et mieux expliqué chez GoDaddy. Les certificats plus évolués et la “green bar” sont dispos aussi, moins cher que VeriSign (ils se gavent vraiment eux). Le niveau de garantie pour l’utilisateur est le même, et je n’ai pas souvent entendu parler de clients qui regardaient les détails du certificat (tant qu’il est valide) pour en connaître l’émetteur et l’autorité de certification…

  5. L’une des différences importantes qui expliquent la variation du prix est aussi la possibilité de faire apparaitre les nom et adresse de l’entreprise (en l’occurence la tienne) sur le sceau du certificat. C’est censé être rassurant.

    Ensuite il y a des licences “domaine” (mentionné plus haut comme wildcard *), qui sont plus chères, car utilisable pour plusieurs sous domaines ou sites.

    Il y a aussi des certificats capables de s’adapter au cryptage le plus puissant disponible sur le navigateur faisant la requete.

    En fait ce sont une foule de petits détails, dont la notoriété de l’autorité, qui font le prix.

    En ce qui concerne Verisign, il y a des autorités virtuelles (un peu comme des hhebergeurs ou opérateurs télécom virtuels) qui revendent des certificats avec une petite remise (qu’ils ont pu avoir grâce au nombre important de certificats qu’ils achètent).

  6. Moi je regarde souvent le détail des certificats, mais pour avoir acheté du verisign et ralé que c’était trop cher, je suis plutôt content quand je vois autre chose…

  7. Pour illicotravel, on a utilisé un certificat de chez Thawte. Il est dans tous les navigateurs depuis des lustres (important pour avoir un pb en moins à gérer) et il est bien moins cher que ceux de chez Verisign (j’ai plus les chiffres en tête).

  8. Pour ma part, j’ai choisi les certificats de comodo (http://www.enterprisessl.com/), qui est une autorité aussi disponible en standard dans les navigateurs.

    Le prix élevé chez verisign s’explique par la réputation de l’autorité et par l’argument de vente qui en découle. Mais bon, pour moi, thawte ou comodo sont équivalents, et l’utilisateur lambda de toute façon n’y voit pas de différence.

    Le seul truc important, c’est de choisir une autorité qui délivre les certificats incluant les dernières nouveautés des navigateurs surtout.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.