Différences entre les certificats SSL (DV, OV et EV) pour passer au https

Quel certificat SSL choisir ? Vous avez reçu le message de Google dans Search console "La collecte non sécurisée de mots de passe entraînera l'affichage d'avertissements" et vous paniquez devant la complexité des offres de certificats. Faut-il choisir un certificat DV, ou un OV, ou un EV ? Ce billet est un résumé pour vous aider à choisir et passer au https.

Trois types de certificats sont disponibles pour passer au https

Si tous les certificats SSL chiffrent les données transmises, ces certificats varient en fonction du niveau de confiance que l'on peut leur accorder.

On notera aussi que la confiance peut aussi dépendre de l'autorité qui délivre le certificat, certaines pourtant très renommées comme Symantec se sont prises des coups de règle sur les doigts. On peut aussi se demander dans quelle mesure une autorité de certification américaine saura refuser les demandes pressantes de son gouvernement, mais c'est un autre sujet...

Le certificat DV (domain validation)

C'est le plus simple à valider. Pour obtenir ce certificat, il suffit de justifier que vous êtes bien le propriétaire de votre nom de domaine. Un simple fichier à la racine du site ou la validation d'un e-mail du domaine suffit. Aucune autorité de certification n'a vérifié l'identité du propriétaire du site. N'importe qui peut obtenir ce type de certificat. Certains certificats de ce type sont même gratuits comme Let's Encrypt (autant dire que dans ce cas, tous les filous vont s'empresser de vous afficher de beaux cadenas verts..., rappelez vous qu'un site truffé de malwares peut très bien avoir un certificat ssl).

En gros, si vous avez simplement un blog sans accès sensible, ce type de certificat (DV) suffit très largement sur le principe.  En revanche il est forcément plus rassurant d'afficher des informations plus complètes si votre structure veut donner confiance (pour un e-commerce par exemple).

Le certificat DV, un choix fait par redactio.fr

Le certificat OV (organization validation)

Le certificat SSL OV est un peu plus complexe à obtenir puisque vous devrez prouver que votre entreprise ou organisation existe réellement en produisant des documents justificatifs. C'est par exemple le certificat utilisé par Wikipédia. L'autorité de certification vérifie l'existence juridique sur la base de documents officiels.

En résumé, c'est le certificat qui devrait être utilisé pour un e-commerce ou toute organisation souhaitant rassurer ses visiteurs. On peut tout de même regretter que les navigateurs web ne différencient pas de suite un certificat DV et un OV, il faut pour cela plusieurs clics avant d'accéder à l'information.

Le certificat OV, un choix fait par le moteur de recherche Qwant

Le certificat EV (extended validation)

Le certificat SSL EV est sans doute le must. Si la validation est plus complexe, car même l'identité du responsable de l'organisation doit être validée (en plus de tout le reste), ce certificat à l'avantage d'afficher le nom de l'entreprise en vert dans la barre d'adresse du navigateur en plus du cadenas vert. Ce certificat est celui qui à terme rassurera sans doute le mieux les utilisateurs quand ceux-ci en auront pris l'habitude. Vu les différences de tarifs avec les certificats OV, les EV sont un bon choix même s'ils sont plus compliqués à valider.

Le certificat EV (avec le nom en vert en plus du cadenas) un choix fait par OVH

Pourquoi passer au https ?

  • Vu la pression que met Google, la plupart d'entre vous veulent passer au https pour des raisons seo. Notons qu'à ce jour rien n'est vraiment flagrant en terme de ranking, à suivre donc... (voir l'edit ci-dessous, Google confirme un impact nul)
  • La 2e raison est l'affichage d'une mention dans les navigateurs. Avec Chrome par exemple, une page d'ouverture de compte sur un e-commerce se voit affublée d'un joli "Non sécurisé" dans la barre d'adresse. Autant dire que c'est un sacré repoussoir. Le cadenas vert est donc un plus indéniable.
  • Il est prévu que cette mention "Non sécurisé" apparaissent à terme sur TOUTES les pages des sites non https.
  • Pour ceux qui voudraient gérer leurs sites en se connectant à leur admin à partir du wifi du MacDo ou d'un hôtel, c'est tout de même un gros plus pour éviter de vous faire sniffer vos login et mot de passe.
  • Enfin, pour ceux qui philosophiquement ou pratiquement veulent proposer le top de la sécurité en terme de transmissions de données vers leur site, le SSL est un incontournable.

Je veux passer au https !

OK, alors allez-y. Mais attention, au-delà de tous les aspects techniques liés à l'achat du certificat, faites aussi sacrément attention à tous les points négatifs que ceci pourrait entraîner au niveau du référencement de votre site. En attendant d'en faire un moi même, je vous conseille la lecture de ces trois bons articles :

En conclusion

DV, OV, EV, la confusion règne souvent entre les différents certificats SSL. Ne parlons même pas du manque de clarté pour les utilisateurs lambda qui ne comprennent déjà pas toujours ce que veut dire la présence du petit cadenas et son utilité en fonction de la page sur laquelle on se trouve (indispensable sur une page de paiement par CB par exemple).

Si vous souhaitez passer au https tout seul, ne croyez pas les tutos qui vous disent que c'est fait en 1 heure, même les pros cafouillent parfois (en oubliant de re-uploader un fichier de désaveu par exemple...car il n'y a pas que des 301 à faire. Pensez aussi que TOUTES les ressources de votre site doivent être en https...).

Vous avez des conseils à donner pour passer du http au https, les commentaires sont là pour ça.

Edit avril 2017 :

Gary Illyes confirme que le https n'a aucun impact SEO

 

 

(je recevrai un mail quand un article est publié (no spam)

8 thoughts on “Différences entre les certificats SSL (DV, OV et EV) pour passer au https

  1. Didier

    J’ai passé 30 de mes sites en https il y a 15 jours, même si sur le fond, je reste assez sceptique sur l’utilité du truc, tout porte à croire que https va devenir un standard, à un moment, il va donc falloir le faire.

    Je conseille fortement :
    - De se faire la main sur un site non vital pour son entreprise
    - De se faire une check-list avec l’ordre des choses à faire, sans oublier les détails (ex : url sitemap dans robot.txt)

    J’ai la chance d’avoir un CMS perso dév par Infini’click bien construit, ça s’est donc bien passé, juste un appel à gravatar qui n’était pas https.

    Malgré la mise en place des 301, ça tangue sévère dans les positions sur les premiers jours. Attention à ne pas paniquer 😉

    Je n’ai pas assez de recul pour faire un bilan strictement SEO, mais tous les sites ne réagissent pas de la même manière. Il me semble que plus le site à d’autorité, plus c’est transparent.

    Enfin reste la question de la correction des liens externes. Je n’ai pas d’avis tranché, et n’ai rien lu de probant. Je corrige donc pour certains sites et ne m’occupe pas d’autres, à suivre.

  2. Loic

    Si l'on part du principe que l'intérêt de Google est de récupérer des informations, je crains que le certificat DV soit rapidement "mis de coté" et que d'ici un an ou deux Big G. nous précise que seules les certifications vérifiant l'identité du propriétaire ne profitent d'un bonus SEO.

    Non parce que si Google voulait simplement protéger nos données, ça se saurait :p

  3. Jessyseonoob

    Ah le grand retour de Sylvain !

    Alors au niveau des certificats ssl voici une reponse surprenante de Gary Illes a une question de rubistick.

    https://twitter.com/methode/status/684780175993749504

    En gros le check effectué n'est seulement que le fait que l'url commence par https !

    Tu as passé sous silence le certificat auto-signé. Le ssl DV nécessite qu'un site tiers delivre un certificat qui doit etre installé au niveau du nom de domaine et de l'hébergement également. Cela correspond a la sécurisation standard gratuit, alors qu'en autosigné c'est le serveur qui en genère un fake.

    A mon avis il y a du boost mais cela n'est pas lié au https lui même mais a son adjonction avec du http2.

    J'ai pas de preuve formel mais c'est ce que j'avais retenu d'une discussion avec Gary Illes, qui d'ailleurs disait qu'il avait lui meme des difficultés a mettre en place son certificat ssl.

    La solution apportée était de mettre en place cloudflare, pour activer le ssl. Pour moi passer par cloudflare meme si je ne le fait que rarement, mais je vais y passer, c'est qu'en plus c'est un bon optimiseur de ressources (cdn, opti auto d'images, anti ddos, http2, etc...).

    Pour moi le boost n'a donc rien a voir avec la securité mais que google est plus performant s'il peut manger des ressources plus légère (parlons du crawl budget)

    Rappellons que le ssl n'est qu'un tuyau dans lequel tu fais passer des données cryptées, cela ne garantie pas que les données qui transitent dedans soient sécurisées, mais qu'aucun tiers ne vient s'interposer entre le serveur et le navigateur. Si les données sont corrompues a l'entrée du tuyau, elles sortiront corrompues en sortie du tuyau.

    Que se passe t-il si un serveur se fait hacker ? Le certificat est toujours garanti, mais les données qui y transitent sont corrompues.

    Aujourd'hui l'intérêt de passer au https, c'est pas forcément la securité, mais de ne pas baisser le CTR en évitant que l'utilisateur passe par une page de sécurité, ou si ton certificat est en place, d'avoir un point d'exclamation qui fait peur, juste parcque tu as oublié de changer https sur l'url de ton logo.

  4. Chob

    Salut,

    Pour ceux que ça intéresse, j'ai découvert récemment le site Movingtohttps (https://movingtohttps.com), avec une navigation personnalisée en fonction de votre CMS : WordPress, Shopify, Magento... et les différentes étapes avant et après.

  5. Charles

    Bonjour Sylvain,

    j'ajouterai que les certificats OV vont disparaitre à terme, car très peu d'utilisateurs (pour ne pas dire personne) ne vérifient l'identité du propriétaire d'un certificat quand ils effectuent un achat.

    Donc, au final, c'est "DV" pour tout type de site, et "EV" quand on veut réduire (un peu) le taux d'abandon de panier...

    Et quand on connait les bonnes adresses, un EV n'est pas si cher (on en trouve pour moins de 100 € sur le marché US, donc moins chers que des OV en France).

    Ajoutons à cela que certains revendeurs FR sont passés maitres dans l'art de la poudre aux yeux pour pousser à l'achat de certs OV (car sur les DV, la marge est très, très faible), et que certaines options facturées super cher ne sont en fait qu'un réglage supplémentaire quand on génère le CSR...

    Pour ma part, c'est DV partout, sauf les sites E-commerces qui commencent à faire du trafic (donc pas la première année). Le "boost SEO" est identique, quel que soit le certificat.

    Sources : deux ans comme technico-commercial chez un gros revendeurs français...

    Pour la migration full https, rien de très compliqué quand on a un site bien fait ou un CMS qui tient la route : un bon vieux "chercher/remplacer" dans tous les fichiers d'un dossier (avec notepad++), idem pour tout ce qui est BDD, et faire gaffe aux petits détails (sitemap, fichiers de configs éventuels etc).

    Un crawl du site pour être sur que c'est OK, et ça roule (mais, comme toujours, on commence par faire un backup, juste au cas où)...

  6. sylvain

    je viens de passer mon site -https://www.lebonemballage.com en https mais j'ai pris l'offre gratuite de lets encrypt et cest bien un ecommerce ... je dois donc changer ? quel impact pour le seo ? ça change quelque chose ou rien du tout ?

  7. Moustache std

    au départ, j’étais partant pour une migration vers le https car je n'y voyais pas de contre indication, et la demarche n'est pas tant fastidieuse que ça, mais plus on avance et plus des questions se posent : quid des backlinks, du maillage interne, si on place une 301 du http au https et qu'on perdent des places, comment peut on se rattraper rapidement ?
    et la question se pose surtout pour des comptes clients, une perte de trafic après nous avoir confié le site sera très mal perçue, encore plus pour des sites a fort trafic , la moindre variation de volume devient stressante.
    nous sommes en phase de transition test, mais je pense qu'il faut aller dans ce sens, google le veut, alors on s'execute

Partagez sur :

Les commentaires sont fermés.