Les certificats SSL/TLS viennent en plusieurs types qui diffèrent par leur niveau de validation et leur coût. Comprendre ces différences est essentiel pour choisir le bon certificat.
Un blog personnel n'a pas besoin du même niveau de validation qu'une banque en ligne. Inversement, un niveau insuffisant peut ne pas répondre aux exigences de conformité.
Comprendre les Types de Validation
La validation fait référence aux vérifications effectuées par les autorités de certification (CA) avant d'émettre un certificat.
Domain Validated (DV)
Les certificats DV vérifient uniquement que le demandeur contrôle le domaine.
- Validation : automatisée et instantanée (email ou DNS)
- Informations : aucune donnée sur l'organisation
- Délai : quelques minutes
- Coût : gratuit (Let's Encrypt) à faible coût
Organization Validated (OV)
Les certificats OV vérifient le contrôle du domaine ET l'existence de l'organisation.
- Validation : vérification de l'enregistrement légal de l'organisation
- Informations : nom de l'organisation visible dans le certificat
- Délai : 1-3 jours ouvrés
- Coût : 50-200 EUR/an typiquement
Extended Validation (EV)
Les certificats EV impliquent la validation la plus rigoureuse.
- Validation : vérification légale, physique et opérationnelle détaillée
- Informations : validation complète de l'identité de l'organisation
- Délai : 1-2 semaines
- Coût : 200-500 EUR/an ou plus
Pourquoi le Type de Certificat Compte
Le type de certificat impacte plusieurs aspects de votre présence en ligne.
Chiffrement : identique pour tous
Tous les types fournissent le même niveau de sécurité cryptographique. Un certificat DV gratuit offre la même protection de chiffrement qu'un certificat EV coûteux.
Confiance et identité : différences majeures
| Type | Ce qui est prouvé |
|---|---|
| DV | Vous communiquez avec le propriétaire du domaine |
| OV | L'organisation derrière le site est vérifiée |
| EV | Vérification approfondie de l'identité organisationnelle |
Conformité et perception
- Certaines régulations peuvent exiger des niveaux de validation spécifiques
- Certains clients professionnels exigent des preuves de certificats OV ou EV
- PCI-DSS ne mandate pas de type spécifique mais la validation appropriée aide
Comparaison Détaillée
Voici un tableau comparatif complet des trois types de certificats.
Processus de validation
| Critère | DV | OV | EV |
|---|---|---|---|
| Contrôle du domaine | Oui | Oui | Oui |
| Vérification organisation | Non | Oui | Oui (approfondie) |
| Documents légaux | Non | Parfois | Toujours |
| Rappel téléphonique | Non | Parfois | Toujours |
Indicateurs visuels
- Tous les types : cadenas dans la barre d'adresse
- OV et EV : informations organisationnelles visibles dans les détails du certificat
- Différence historique : la barre verte EV a été supprimée des navigateurs modernes
Cas d'usage recommandés
| Situation | Type recommandé |
|---|---|
| Blog personnel | DV |
| Petit site vitrine | DV |
| Site e-commerce PME | OV |
| Application SaaS B2B | OV |
| Banque en ligne | EV |
| Site gouvernemental | EV |
Bonnes Pratiques de Choix
Choisissez le bon type de certificat selon votre contexte.
Questions à se poser
- Manipulez-vous des données sensibles ou financières ?
- Avez-vous des exigences de conformité spécifiques ?
- Vos clients ou partenaires exigent-ils un niveau de validation particulier ?
- L'identité organisationnelle dans le certificat ajoute-t-elle de la valeur ?
Recommandations par contexte
Sites personnels et blogs :
- DV suffit largement
- Let's Encrypt est une excellente option gratuite
Petites entreprises :
- DV ou OV selon l'importance de l'identité organisationnelle
- Évaluez si vos clients vérifient les certificats
Entreprises avec données sensibles :
- OV minimum
- EV si la conformité ou les attentes clients l'exigent
Services financiers :
- EV souvent attendu par les clients
- Peut être requis par les régulateurs ou partenaires
Options supplémentaires
- Wildcard : couvre tous les sous-domaines d'un niveau (*.example.com)
- Multi-domaine (SAN) : couvre plusieurs domaines différents
- Wildcard multi-niveau : disponible chez certaines CA
Conclusion
Le choix entre DV, OV et EV dépend de vos besoins spécifiques plutôt que d'exigences de sécurité techniques. Tous les types fournissent le même chiffrement.
Pour la plupart des sites web, les certificats DV fournissent une protection adéquate. Les sites d'entreprise bénéficient des certificats OV. Les institutions financières peuvent justifier les certificats EV.
