Pourquoi payer pour un certificat SSL ? FAQ que vous devez connaître.

Pourquoi payer pour un certificat SSL alors que je peux en obtenir un gratuitement ?

La principale raison pour laquelle vous devriez payer pour un certificat SSL est la protection de responsabilité. Les certificats SSL payants offrent une bien meilleure protection contre la responsabilité que n'importe quelle version gratuite. En fait, de nombreuses sociétés de traitement des paiements n'approuveront même pas une demande d'utilisation de leurs services à moins que vous ne disposiez d'une forme de protection en matière de responsabilité.

En effet, en cas de piratage ou d'autres intrusions où une violation de données se produit et les détails de paiement des clients sont volés, vous serez assuré en fonction du niveau de garantie de votre certificat SSL.

Les certificats SSL gratuits, puisqu'ils sont "gratuits" comme ils sont généralement émis par les autorités de certification SSL à but non lucratif (CA). Le plus populaire d'entre eux est bien sûr "Let's Encrypt", qui fournit SSL/TLS. Le certificat SSL gratuit n'offre aucune protection de responsabilité et peut amener les sociétés de traitement des paiements à rejeter votre demande, si par exemple vous souhaitez ouvrir une boutique de commerce électronique.

Cependant, il existe d'autres situations où des certificats SSL tiers payants sont également normalement nécessaires :

Une telle situation serait un certificat SSL Extended Verification ou « EV » . C'est le certificat SSL qui donne la petite barre verte dans le navigateur qui a une entreprise est un nom légal. C'est un excellent moyen d'établir une relation de confiance avec l'utilisateur.

Il y a quelques autres raisons pour lesquelles vous paieriez pour un certificat SSL. Cependant, ils se résument principalement à la garantie et à la validation étendue (EV).

Ce certificat offre certains niveaux de protection en matière de responsabilité financière.

Que vous ayez besoin ou non de ce niveau de protection en matière de responsabilité financière dépend bien sûr des types de transactions financières qui auront lieu sur votre site Web, de la valeur de ces transactions et, bien sûr, de la société de traitement des paiements avec laquelle vous choisissez de faire affaire.

En fait, chacun des certificats SSL payants ci-dessous et les niveaux de protection de responsabilité qu'ils offrent dépendront également des types de transactions financières qui auront lieu sur votre site Web, de la valeur de ces transactions et bien sûr de la société de traitement des paiements que vous choisissez. aussi faire affaire avec.

Validation étendue (VE).

Des fournisseurs tels que Sectigo ou Comodo émettent des certificats SSL EV qui vérifient que votre entreprise est une organisation réelle et authentique.

Les certificats Extended Validation indiqueront en fait le nom de l'entreprise et qu'elle a été vérifiée, au lieu de simplement dire "Sécurisé" et/ou simplement de montrer un cadenas.

Si vous voulez voir quelques exemples de cela en action, rendez-vous simplement sur Paypal.com ou Citi.com (Citibank). Vous verrez généralement ceci :

Si vous allez sur un site avec un simple SSL gratuit, le nom de l'entreprise ne sera généralement pas inclus dans le certificat.

De plus, d'autres fournisseurs offrent généralement une assurance pour les problèmes qui surviennent en raison du SSL, ou des choses comme les tests de vulnérabilité. Tout dépend de qui vous obtenez le certificat SSL.

Ensuite, l'autre est juste la durée de vie du SSL. Let's Encrypt est de 90 jours, puis vous devez renouveler, mais cela peut maintenant être automatisé, généralement avec un simple plugin. D'autres fournisseurs de certificats SSL sont payés pour un an ou plus à la fois.

Par exemple, lorsque vous voyez un cadenas vert devant une URL (et pas seulement un simple cadenas) et que vous cliquez dessus, vous verrez les informations SSL de ce site Web.

Garantie.

Les certificats que vous achetez sont également assortis de certains niveaux de garantie. Ces garanties sont associées aux transactions.

Si, pour une raison quelconque, il y a une violation et que les données sensibles de votre client ont été compromises et ont causé des pertes financières ou des dommages, le fournisseur qui a émis le certificat EV les indemnisera jusqu'à un certain montant en fonction du certificat acheté et de sa garantie.

Certaines personnes qui gèrent des magasins de commerce électronique achèteront un véhicule électrique uniquement pour la garantie.

En fait, davantage d'entreprises qui effectuent des transactions où des données sensibles des consommateurs sont transmises via les serveurs de leurs sites Web devraient examiner la garantie si elles souhaitent sérieusement faire des affaires en ligne.

Par exemple, sur Comodo , un certificat SSL EV d'un an coûte 179,99 $ / an et offre une garantie de 1 750 000 $ en cas de problème.

Même lorsque les sites utilisent Sagepay et Paypal pour gérer les paiements, ils peuvent toujours prendre suffisamment de détails sur les clients pour les rendre responsables de toute perte due à une faille de sécurité.

Comment les certificats SSL payants offrent-ils une meilleure protection ?

Les certificats SSL payants n'offrent pas nécessairement une meilleure protection par cryptage. Cependant, ils offrent un certain degré de protection contre la responsabilité en fonction du certificat SSL que vous obtenez.

Cependant, les certificats SSL payants fournissent à l'utilisateur qui consulte votre site Web via son navigateur que votre site Web est sécurisé et a été vérifié par une autorité de certification.

De cette façon, votre utilisateur peut se sentir plus en confiance pour effectuer des transactions sur votre site Web, car il sait grâce au certificat que votre site Web est légitime et non un site Web d'escroquerie ou de phishing.

En ce qui concerne le cryptage, encore une fois, les certificats SSL payants n'offrent pas de cryptage plus fort que les certificats SSL gratuits comme Let's Encrypt. Cela ne veut pas dire que tous les SSL offrent la même protection de cryptage.

Il existe de nombreux fournisseurs de certificats SSL qui offrent un cryptage supplémentaire pour des éléments tels que les e-mails, etc. Cela peut également ajouter un niveau de protection supplémentaire à votre site Web.

Pourquoi certains certificats SSL payants coûtent plus cher que d'autres ?

Le prix d'un certificat SSL dépend généralement du type de certificat, de la réputation de l'émetteur, du processus de vérification et surtout de sa garantie.

Lorsque vous achetez un certificat EV, vous payez également une garantie qui couvrira certains cas de fraude liés aux certificats. Plus la garantie est élevée, plus le prix est élevé.

Vous devez vraiment lire tous les petits caractères du contrat pour savoir exactement ce que vous achetez. Il est cependant prudent de dire qu'un certificat de 2 500 $ est assorti d'une garantie plus complète qu'un certificat de 179,99 $.

Ces prix ne reflètent pas une grande partie des coûts d'exploitation, mais selon les certificats EV que vous avez choisis, il y aura une vérification d'identité beaucoup plus stricte avant la délivrance du certificat.

Cette vérification implique plus d'informations demandées au client et éventuellement aux personnes réelles qui consultent les informations fournies.

De plus, les serveurs du fournisseur doivent fonctionner 24 heures sur 24, même à des charges plus élevées, car tous les navigateurs actuels vérifieront la révocation avant de se connecter aux sites protégés par EV. Les coûts d'administration du serveur seuls peuvent être assez lourds.

Ils refuseront également si le statut de révocation ne peut être déterminé. De plus, il y aura probablement du personnel disponible 24h/24 et 7j/7 au cas où une révocation d'urgence (qui peut impliquer la délivrance d'un nouveau certificat) serait nécessaire.

Les deux fonctions principales des certificats SSL EV payants sont essentiellement :

• Sécurisation des transactions en ligne et des informations privées transmises entre un navigateur Web et un serveur Web.
• Confiance, un SSL EV est utilisé pour accroître la confiance des clients. Un SSL EV prouve une session sécurisée de votre site Web, cela signifie que votre client peut faire confiance à votre site Web.

Chaque certificat a ses propres procédures de validation. En suivant ces procédures, l' autorité de certification valide la fiabilité d'une entreprise et envoie un certificat pour le site Web.

La tarification peut donc également refléter le processus d'authentification et les niveaux de confiance.

Par exemple, un SSL EV valide de nombreux composants d'identification d'un domaine et d'informations commerciales.

La principale différence est le facteur de confiance et la réputation de la marque. Si vos clients voient la barre d'adresse verte dans leur navigateur, ils peuvent se sentir plus en sécurité et les encourager à effectuer des transactions.

Un certificat SSL bon marché ou gratuit valide uniquement l'autorité d'un domaine et l'authentifie à l'aide du système de vérification des e-mails de l'approbateur. Un approbateur peut facilement obtenir ce certificat en quelques minutes avec une adresse e-mail générique comme Gmail.

Sinon, dans la plupart des cas, la garantie d'un certificat explique les différences. Les autorités de certification peuvent fournir une garantie étendue de 1 000 $ à 2 M $ ou même plus contre la mauvaise émission d'un certificat SSL.

Les certificats SSL EV coûteux offrent également parfois un sceau dynamique. Il s'agit d'une image dynamique affichée sur un site Web qui indique l'heure et la date actuelles du chargement de la page Web.

Cela indique que le sceau est valide pour le domaine sur lequel il est installé, qu'il est à jour et qu'il n'a pas expiré.

Lorsque l'image est cliquée, elle affiche des informations de l'autorité de certification sur le profil du site Web qui valide la légitimité du site Web.

Cela donnera à nouveau aux visiteurs du site Web une confiance accrue dans la sécurité du site Web.

Types de certificats SSL payants.

Il existe 3 principaux types de certificats SSL payants. Ceux-ci varient en coût, un certificat SSL EV à domaine unique étant normalement le moins cher.

Domaine unique

Sécurise les versions www et non www de votre domaine

Caractère générique

Sécurise tous les sous-domaines d'un seul domaine, y compris les versions www et non www.

Multi-domaine

La plupart des autorités de certification donnent 3 à 5 domaines avec leur plan tarifaire de base

Vous devez payer par domaine supplémentaire.

Les certificats SSL gratuits sont-ils sûrs ?

Les certificats SSL gratuits sont tout aussi sûrs que les certificats SSL payants. Si vous regardez le certificat SSL gratuit de Let's Encrypt, il vous donne un certificat SSL aussi sûr que tout autre certificat SSL payant.

Cependant, le certificat SSL gratuit le plus courant "Let's Encrypt" n'émet que des certificats valables 90 jours. Dans le passé, lorsque le certificat SSL gratuit Let's Encrypt est sorti, c'était la plainte numéro un des utilisateurs.

Je veux dire, qui veut avoir à renouveler un SSL tous les 90 jours ou bien faire face à des défaillances de couverture, n'est-ce pas ?

Eh bien, de nos jours, la fréquence de renouvellement n'est pas un problème car ce processus peut être automatisé. Quoi qu'il en soit, Let's Encrypt est maintenant automatisé. Ainsi, la configuration est maintenant beaucoup plus facile.

Certains prétendent même que Let's Encrypt est plus sécurisé. Au moins d'une manière majeure. Votre clé privée est générée sur votre serveur et ne le quitte jamais.

Un certificat SSL payant est-il plus sûr qu'un certificat SSL gratuit ?

Les certificats SSL gratuits comme Let's Encrypt ne sont pas plus sûrs que les certificats SSL payants.

Au début, je pensais qu'un certificat SSL payant serait plus sûr que le certificat gratuit « Let's Encrypt », mais plus j'y réfléchissais, plus je trouvais que ce n'était pas du tout le cas.

Ils fournissent en fait le même niveau de cryptage.

En fait, le "niveau de cryptage" est plus une fonction des serveurs de votre propre fournisseur d'hébergement Web qu'autre chose. Vous pouvez dépenser des milliers de dollars pour un certificat EV tout en obtenant un « F » au test Qualys SSL Labs .

Comment puis-je obtenir un certificat SSL de confiance ?

Il existe de nombreux fournisseurs de certificats SSL de confiance. Allez donc toujours avec ceux qui existent depuis le plus longtemps et qui sont les plus réputés. Mes trois principaux fournisseurs de certificats SSL sont :

• Comodo .
• Sectigo .
• Verisign .

Pourquoi payer pour un certificat SSL ? Conclusions SSL payantes.

À moins que vous n'ayez besoin d'une validation étendue ou d'un Wildcard pour des problèmes de responsabilité ou de confiance, il n'y a aucun avantage réel à une option SSL payante. Si vous avez un site simple lié au contenu, un SSL gratuit est bon.

Cependant, à tout le moins, si vous avez un site de commerce électronique, un certificat SSL EV payant affichera le nom de votre entreprise dans la barre d'adresse du navigateur et, par conséquent, votre client aura confiance que votre site Web est un domaine autorisé.

Cela, espérons-le, ne les fera pas hésiter lors d'une transaction où leurs informations financières sensibles doivent être transmises pour des achats par exemple.

Alors, résumons pourquoi et quand vous devriez et ne devriez pas payer pour un certificat SSL :

• Si vous avez juste un site Web non commercial ordinaire, optez simplement pour le certificat SSL gratuit "Let's Encrypt".
• Si vous avez un site de commerce électronique professionnel avec des transactions financières automatisées comme des chariots commerciaux, un système de facturation, allez-y et payez pour un certificat SSL EV.

Cela dépend du niveau de SSL.

Au final, un SSL ne sécurise pas votre site. Il sécurise les données envoyées vers et depuis votre site. Cela protégera les données contre la prise.

Cependant, cela n'aura aucun impact sur les attaques par force brute ou sur toute autre tentative de piratage de site Web.

Les certificats SSL ne vous protégeront pas non plus contre les failles de sécurité dans les thèmes ou plugins WordPress, alors assurez-vous qu'ils sont toujours mis à jour.