Certificats SSL

Introduction

belgates.be offre que des solutions de certificats standards, depuis le certificat « Une adresse » jusqu'au certificat « Wildcard ».
Nous avons décidé de ne supporter que les certificats standards permettant des instalations et renouvellements automatiques.

Note

L'édition d'un certificat SSL est un processus complexe nécessitant l'intervention dans la plupart des cas d'une Autorité de Certification « externe ».
La validation d'un certificat SSL « personnalisé » peut donc prendre plusieurs heures, selon la méthode de Validation du Contrôle du domaine choisi et le type de certificat.
Un délai de 6 heures pour un certificat Standard une adresse est tout à fait normal.

Les clients possédant une Instance Hébergement Web peuvent aussi profiter certificat standard gratuit, la première année, qui peut-être installé automatiquement sur chacun des sites définis dans l'instance.

Qu'est-ce qu'un certificat SSL ?

Les Certificats SSL servent à deux choses : protéger vos données échangées via internet, et prouver votre identité.


Lorsque vous envoyez des informations par internet, ces informations peuvent être accessibles par des tiers.
Afin de vous protéger, ainsi que les personnes avec qui vous échangez ces données, il est important de chiffrer ces messages et données.
Le chiffrement est le processus qui récupère vos données et les « crypte » de manière à ce que seules les personnes possédant la clé peuvent « lire » ces données.
Actuellement l'outil standard pour le chiffrement des données sur les sites internet est l'utilisation de certificats SSL.
Lorsque vous envoyez un message, le chiffrement est la partie simple du processus. La partie plus complexe est de trouver comment la personne qui va recevoir ces données sera en mesure de reconstituer le message original.
Avec un certificat SSL ce processus est effectué via 2 clés : une privé et une publique.
Une clé est une longue suite de lettres et de chiffres qu'un navigateur peut utiliser pour déchiffrer un message.
Un certificat SSL fournira la clé publique à toute personne la demandant.

Le destinataire de l'information aura aussi une clé publique qu'il partagera avec vous.
Un logiciel implémenté dans votre navigateur utilisera alors la clé privée pour décrypter le message.
Une fois que la personne communiquant avec vous recevra le message, votre navigateur utilisera votre clé privée pour « déverrouiller » le message.
Le logiciel de chiffrement est capable d'utiliser votre clé publique, ainsi que celle de votre correspondant, pour créer un message qui ne pourra être lu que par quelqu'un possédant la bonne clé privée.
De cette manière la personne qui reçoit votre message pourra lire ce dernier sans avoir à partager sa clé privée avec vous ou quiconque d'autre.

Lorsque vous générer un certificat SSL, la clé publique et la clé privée seront installées sur le serveur qui héberge votre site internet.
Selon la situation cette opération sera effectuée automatiquement par le système ou vous devrez le faire manuellement.
Il est important de ne jamais partager votre clé privée avec quiconque, puisque n'importe qui avec votre clé privée sera en mesure de lire vos données (ou celles de vos visiteurs).
Si jamais votre clé privée venait à être compromise vous devrez régénérer votre certificat ou le révoquer avant qu'il ne soit révoqué par l'Autorité de Certification.


Le chiffrement vous permet de vous assurer que seules les personnes recevant vos informations seront en mesure de les lire, mais il ne permet pas de s'assurer que vous êtes bien qui vous dites être.
Un hacker peut parfaitement mettre en place un site qui utilise les formes les plus avancées de chiffrement, mais qui affiche une fausse identité aux visiteurs en leur faisant croire qu'ils communiquent avec quelqu'un d'autre.
Le chiffrement de données n'est pas suffisant pour protéger vos visiteurs de toute personne malveillante.

Les certificats SSL délivrés par une Autorité de Certification fournissent aussi un service permettant de prouver que vous êtes bien qui vous annoncer.
Les Autorités de Certification, comme Sectigo le partenaire de Gandi, sont des fournisseurs établis avec une renommée et confiance mondiale.
Une fois votre identité vérifiée par leurs services, ils ajouteront leur propre clé publique à votre certificat de manière à certifier à vos visiteurs que votre identité a été vérifiée et qu'elle fait part du processus de chiffrement.

Le degré de vérification de votre identité dépend du type de certificat que vous avez acheté.
Un certificat standard se contente de vérifier un certain enregistrement dans les DNS de votre domaine afin de valider le contrôle que vous avez sur le domaine.
Un certificat plus avancé vérifiera des enregistrements d'identification que vous fournirez.
Les SSL les plus avancés sont les plus chers à l'achat, mais ce sont aussi ceux qui fourniront un degré de confiance plus élevé à vos clients qui vous confieront leurs données privées.


La recommandation standard actuelle est que tous les sites web utilisent du chiffrement, même s'ils ne gèrent pas des données privées.
Même si votre site ne fournit que du contenu public, le laisser sans chiffrement signifie qu'un tiers peut interférer avec l'échange de données pour ajouter du contenu comme des publicités non sollicités, ou tracer vos visiteurs.

En plus de rendre votre site plus sécurisé, Google et d'autres moteurs de recherche donne la priorité de référencement aux sites utilisant le chiffrement avant de « s'intéresser » au contenu du site lui-même.
Les sites sans chiffrement peuvent être déclassés dans les résultats de recherche, voire ne plus apparaître du tout.

Si vous travaillez avec des données privées, par exemple si vous gérez un site de vente en ligne, il est d'autant plus important de fournir un chiffrement fiable.
Des certificats SSL plus avancés fournissent aussi une garantie financière qui vous assurent contre les pertes si l'échec d'un certificat fourni devait mener à une perte financière pour vous ou l'un de vos clients.

Description des certificats SSL

Quelles sont les tailles de certificats SSL disponibles ?

En plus de choisir entre les différents niveau d'authentification (standard, pro ou business), vous pouvez aussi choisir différents options de taille pour chaque type de certificat.

Une Adresse

Comme le nom l'indique, un certificat SSL Une Adresse ne couvrira qu'une simple adresse complète, comme « www.example.com ».
Si vous voulez couvrir des adresses supplémentaires pour le même nom de domaine, comme « blog.example.com », il vous faudra soit acheter un autre certificat "Une Adresse", soit passé sur un certificat Wildcard.

Un certificat "Une Adresse" couvrira néanmoins l'url du site pour le domaine « nu » (ou apex) si vous le créez sur le sous-domaine « www », et vice-versa.
Par exemple, achetez un certificat SSL "Une Adresse pour l'url" « https://​www.​example.com » permettra de l'utiliser aussi pour protéger « https://​example.​com ».
De même, un certificat acheté pour l'url « https://​example.com » sera aussi utilisable pour protéger l'adresse « https://​www.example.com ».

Wildcard

Un certificat Wildcard couvre tout (et n'importe quel) sous domaine comme une adresse.
Par exemple un Wildcard pour « *.example.com » permettra de protéger les adresses « www.example.com », « blog.example.com », « shop.example.com », et n'importe quel autre adresse de sous domaine de même niveau, cela avec un seul certificat.

Un certificat Wildcard ne couvre qu'un niveau de sous domaine à la fois.
Si vous le créez pour le premier niveau de sous domaine, il ne fonctionnera pas pour un sous, sous domaine.
Par exemple un Wilcard pour « *.fr.example.com », il ne couvrira que les adresses finissant en « .fr.example.com ».
Il ne couvrira ni « www.example.com », ni « www.tw.example.com » ou « shop.cn.example.com ».

Multi-Domaines

Un certificat Multi-Domaines vous permet de définir une liste d'adresses, même sur des domaines différents, couvertes par un seul certificat.
Ce genre de certificat peut-être intéressant financièrement par rapport à l'acquisition de plusieurs certificats « Une Adresse » pour chacune des adresses concernée.
Ce type de certificat ne peut pas être combiné avec un Wildcard , ce qui veut dire que chaque adresse doit être spécifiquement définie et sera décomptée du nombre d'adresses disponible dans le type de certificat Multi-domaines choisi.
Cela veut dire que le même certificat peut protéger « ww.example.org », « shop.example.org » et « www.example.net », « shop.example.com », etc.., chaque adresse devant être décompté du total disponible.

Vous pouvez acheter différentes tailles de certificats Multi-domaines. Gandi propose les tailles suivantes aussi pour du Standard que du Business :
  • Jusqu'à 3 Domaines
  • Jusqu'à 5 Domaines
  • Jusqu'à 10 Domaines
  • Jusqu'à 20 Domaines

Note

Il est possible de créer un certificat Multi-domaines avec une partie des adresses autorisée seulement.
Ajouter ou changer une des adresses (ou plusieurs) est possible en régénérant le certificat.
Seule l'adresse « principale » (c.-à-d. common name) utilisée dans lors de la génération de la CSR ne peut jamais être changée.
Toutes les adresses additionnelles (c.-à-d. alt names) sont à spécifier lors de la création / régénération hors de la CSR et peuvent donc être modifiées.

Chaque nom de domaine ou Hébergement Web que vous achetez vous donne droit à un certificat SSL gratuit d'une durée de 1 an.
Ces certificats sont créés automatiquement pour vous par nous.
  • La création d'une redirection Web depuis une adresse HTTPS
  • Créer un site sous une adresse en HTTPS sur un Hébergement Web

Pour les sites hébergés ailleurs

Prenez garde à bien choisir un certificat SSL standard.

Une adresse


Le certificat SSL une adresse est le plus petit certificat disponible chez arego.be et est idéal pour les sites internet qui ne proposent pas de transactions financières.

arego.be offre un certificat SSL une adresse d'une dure de 1 an pour chaque nom de domaine enregistré ou transféré sous notre gestion.

Un certificat "standard une adresse", gratuit pour les instances Hébergement


Lorsque vous souscrivez à une de nos offres d'hébergement Web, vous bénéficiez d'un certificat SSL gratuit , pour chaque Vhost (site) qui est installé sur la plateforme d'hébergement.

Chaque certificat peut-être créé automatiquement par notre système, sera de type « standard » et sera renouvelé automatiquement chaque année.
Par contre vous n'aurez pas accès à la clé privée et ce certificat ne fonctionnera que sur notre plateforme Hébergement Web Gandi.
Si le domaine concerné devait changer de propriétaire, si l'entrée était effacée et / ou si l'hébergement était transféré ailleurs, le certificat sera automatiquement révoqué.
Si vous enregistrez votre nom de domaine via les services de arego.be ET que vous hébergez votre site sur notre plateforme Hébergement Web , nous vous recommandons de sélectionner "SSL Standard", ce qui permet la creation et ensuite un renouvellement automatique chaque année.

Un certificat "standard une adresse", gratuit pour un an, inclus avec votre nom de domaine


Cette option est un bon choix économique pour sécuriser un site internet unique qui ne propose pas de transactions financières.

Notez qu'après l'année gratuite il sera nécessaire de renouveler le certificat qui vous sera facturé au prix applicable à ce moment.

Wildcard


Ce type de certificat SSL standard est idéal pour protéger plusieurs sites web qui ne pratiquent pas de transactions financières directement.
Le certificat SSL standard Wildcard permet de sécuriser un nom de domaine et tous les sous domaines d'un certain niveau existants ou futurs.
Le certificat Wildcard sécurise le domaine Apex (nu) et un nombre illimité de sous domaine de premier niveau (ou d'un autre niveau).
Il peut ainsi sécuriser « example.com » et « .example.com » , ou « example.com » et « .dev.example.com), mais il ne peut pas sécuriser « ..example.com ».
Si vous devez sécuriser un sous domaine de niveau différent ( »*.sous.example.com » ») il faudra créer un nouveau certificat Wildcard spécifique à ce niveau « sous.example.com ».
Pour protéger un unique site pour un niveau différent (www.sous.example.com par exemple) vous pourrez créer un certificat SSL Une adresse en plus.

Contrairement au certificat Une adresse, la version Wildcard vous permet de sécuriser plus d'une adresse sur un nom de domaine. Par exemple :
  • www.example.com
  • admin.example.com
  • photos.example.com
  • dev.example.com
  • forum.example.com

Si vous devez sécuriser des noms de domaines différents via un certificat SSL (par exemple www.example.com et www.example.net) il vous faudra sélectionner un certificat Multi-domaines plutôt qu'un Wildcard.

Multi-domaines


Le certificat SSL Multi-domaines Standard est l'idéal pour sécuriser une interface d'administration, un espace réservé aux membres, un intranet ou un webmail, etc..

Au contraire d'un certificat SSL Standard Wildcard, la version Multi-domaines vous permet de sécuriser plus d'un nom de domaine avec le même certificat. Par exemple :
  • www.example.com
  • www.example.net
  • admin.example.info
etc.
Si les sites à sécuriser sont uniquement des sous domaines d'un même nom de domaine (admin.example.com, www.example.com, dev.example.com), il est préférable d'enregistrer un certificat Wildcard.

Néanmoins ce certificat convient aussi pour protéger des sous domaines dépendant du même domaine principal (APEX) qu'ils soient de même niveau (www.example.com, dev.example.com) que de niveau différents (www.example.com, extranet.dev.example.com).

Il existe 4 types de certificats Multi-domaines. Lorsque vous créez votre certificat, vous pouvez décider de sécuriser :
  • Jusqu'à 3 Domaines
  • Jusqu'à 5 Domaines
  • Jusqu'à 10 Domaines
  • Jusqu'à 20 Domaines

Vous pouvez toujours créer le certificat avec moins de domaines qu'il ne vous le permet et en rajouter ou remplacer par la suite via une régénération de certificat.