Le prix élevé chez verisign s’explique par la réputation de l’autorité et par l’argument de vente qui en découle. Mais bon, pour moi, thawte ou comodo sont équivalents, et l’utilisateur lambda de toute façon n’y voit pas de différence.

Le seul truc important, c’est de choisir une autorité qui délivre les certificats incluant les dernières nouveautés des navigateurs surtout.

Ensuite il y a des licences “domaine” (mentionné plus haut comme wildcard *), qui sont plus chères, car utilisable pour plusieurs sous domaines ou sites.

Il y a aussi des certificats capables de s’adapter au cryptage le plus puissant disponible sur le navigateur faisant la requete.

En fait ce sont une foule de petits détails, dont la notoriété de l’autorité, qui font le prix.

En ce qui concerne Verisign, il y a des autorités virtuelles (un peu comme des hhebergeurs ou opérateurs télécom virtuels) qui revendent des certificats avec une petite remise (qu’ils ont pu avoir grâce au nombre important de certificats qu’ils achètent).

C’est moins cher et mieux expliqué chez GoDaddy. Les certificats plus évolués et la “green bar” sont dispos aussi, moins cher que VeriSign (ils se gavent vraiment eux). Le niveau de garantie pour l’utilisateur est le même, et je n’ai pas souvent entendu parler de clients qui regardaient les détails du certificat (tant qu’il est valide) pour en connaître l’émetteur et l’autorité de certification…

Comme d’autres l’ont précisé avant, la différence est au niveau du processus de certification.

Quand nous étions jeunes, Verisign et Thawte vendaient des certificats pour $200 et la procédure impliquait de leur faxer des preuves comme passeport ou détails de société.

Maintenant on a RapidSSL qui crée un certificat et le valide sur un seul critère: l’adresse admin du nom de domaine. Ils envoient un email à webmaster@site ou admin@site et s’il y a réponse positive, le certificat est créé.

Au contraire du certificat Verisign qui garantie la sécurité de la transaction, mais aussi l’identité du site et de son propriétaire. Il est donc plus rassurant et probablement meilleur au niveau de l’info dans les navigateurs.

Reste à voir si cela change quelque chose pour les clients. J’ai laissé un certificat expiré pendant 3 mois sur un site et ai reçu plusieurs commandes sans aucune question des clients…

Wikipedia donne plus de détails:

http://en.wikipedia.org/wiki/Extended_Validation_Certificate

- option de renouvellement automatique
- certain semble même émettre des certificats reconnu par les appareils mobiles (PDA …)
- Vérisign propose le logo afin de rassurer les clients (comme une image de marque). Perso, je pense qu’il n’y a que les fanatique du SSL qui font attention à cela.

Pour ma part, au taf on utilise des certificats de type wildcard délivré par l’autorité CyberTrust, c’est plus cher, mais avec 1 seule certificat, on fait du https sur plusieurs sites. En gros l’option wildcard nous permet de faire du https sur tous nos sites du type *.nomdedomaine.fr. Au final, sa coûte moins chère que d’acheter 100 certificats pour 100 sites.

J’ai cru voir sur un site également, qu’il y avait une légère différence au niveau du cryptage des certificats rapidSSL, qui serait d’un niveau un peu moins élevé (Cryptage 128 Bit, Standard SSL alors que d’autre utilise du AES-256 256bit).

Toutes ces informations que je donne sont à vérifier, je ne suis pas un expert du domaine mais un simple utilisateurs.

Et puis perso, à 20$ le certificat, tu risque pas grand chose d’en acheter un.

Je ne sais pas quels sont leurs processus ni les informations vérifiées pour délivrer ce certificat. En tout cas il veut dire que Verisign s’engage plus fortement sur l’authenticité de l’identité du gestionnaire du site.

Je poste un commentaire pour pouvoir suivre les réponses