Mise à jour de 2019

Oui, il existe enfin des certificats gratuits (sans garantie de transaction commerciale) suffisant pour vos blogs afin de les passer en https, merci à Let's Encrypt - Free SSL/TLS Certificates

• Comment ça marche
  • Certbot
• Commencer

Les bonnes ressources pour activer le https, et renouveler automatiquement les certificats SSL sur votre serveur web apache, nginx :

• Renouveler automatiquement son certif Let’s Encrypt (one shot)
• Let’s Encrypt : Guide ultime pour générer gratuitement des certificats SSL
• Créer et installer un certificat SSL Let’s Encrypt pour Apache
• Sécuriser facilement et gratuitement un site avec HTTPS – Korben

Analyse avant 2009 (il y a 10 ans !) :

Comparatif des certificats SSL

- instantssl - rapidssl - komodo

Equifax

Certificats payants

Certigna

Certigna SSL est un certificat SSL (ETSI TS 102 042) conçu et géré par l'Autorité de Certification Francaise DHIMYOTIS.

CertiNomis

A partir de 380€

Dynadot

A partir de 16$

Entrust

A partir de 159$

Geotrust

A partir de 249€ ou 156€

Go Daddy

A partir de 23$

GlobalSign

SSL Certificates à partir de 249$

Ikoula

Comparatif Certificats SSL. Basé sur Comodo, à partir de 99€ et à partir de 449€ pour un certificat SSL EV (Extended Validation)

Instant SSL

A partir de 52$ basé sur Comodo

Keynectis

A partir de 159€

NameCheap

A partir de 10$

OVH

Tarifs à partir de 49.99€ (59.79 € TTC) bien que sur l'accueil ils indiquent 39,99€ (mais semble nécessiter un serveur et un domaine ovh)

RapidSSL

A partir de 79$

Securityserver.org

C'est à ce jour le certificat le moins cher du web. A partir de 49€ et avec un slogan faux car sur le web étranger on trouve plus bas prix dans une devise qui vaut moins que l'euro...

SSL247

SSL247 est un revendeur agréé et strategique des produits Verisign,Thawte, Geotrust, GlobalSign, et RapidSSL. Economisez en achetant des certificats SSL 128 et 256 bits chez SSL247: Nos certificats SSL sont identiques aux offres des Autorités de Certification mais sont moins cher.

SSLmatic.com

• RapidSSL - $19.95/year (regularly $79.95)
• GeoTrust - $99.99/year (regularly $299)
• VeriSign - $349.99/year (regularly $399.99)

TBS INTERNET

• PAR MARQUE DE CERTIFICAT
  • TBS X509 : Leur marque distributeur. Infrastructure WebTrust. Certificats sont reconnus par 96% des navigateurs. Certificat serveur (web) à partir de 61€ pour activer le mode SSL/TLS sur un serveur (de 40- à 128-bit). Possibilité de demander gratuitement un véritable certificat fonctionnel 30 jours !
  • VeriSign : L'autorité de certification de référence. A partir de 405€ !
  • Thawte : Une marque du groupe VeriSign. A partir de 149€
  • Comodo : L'autorité de certification montante. A partir de 99€
• COMPATIBILITE SSL DES NAVIGATEURS
• COMPARATIF DES CERTIFICATS
• COMPARATIF DES CERTIFICATS SERVEUR SSL EV (EXTENDED VALIDATION) à partir de 449€

Thawte

A partir de 149€ et gratuit pour les certificats électroniques personnels basés sur [Web Of Trust |http://www.thawte.com/secure-email/web-of-trust-wot/index.html]

Trustico certificats SSL de 128/256 Bit à racine unique

• RapidSSL à partir de 16€

VeriSign

• Ressources SSL
• Acheter des certificats SSL à partir de 405€ HT sans EV
• Certificat SSL d'essai gratuit
• Foire Aux Questions (FAQ) : Les bases de SSL
• Licensing VeriSign Certificates Securing Multiple Web Server and Domain Configurations

Certificats gratuits

CAcert.org

cacert.org est un systeme de certificat base sur le web of trust, c'est gratuit mais ils ne sont pas (encore) reconnu dans le root officiel de certificat.

• How can I trust CAcert's root certificate?
• Welcome to the French Community
• Certificat SSL du site de l'April

StarCom

Certificats gratuits : StartCom.

• StartSSL™ Certificates & Public Key Infrastructure (PKI)

Lexique

SSL : Secure Socket Layer

Qu'est-ce que le protocole SSL (Secure Sockets Layer) ? Le protocole Secure Sockets Layer protège les données transférées sur http à l'aide d'un cryptage activé par le certificat SSL d'un serveur. Un certificat SSL contient une clé publique et une clé privée. La clé publique est utilisée pour le cryptage des informations et la clé privée est utilisée pour les décrypter. Lorsqu'un navigateur se connecte à un domaine sécurisé, une connexion SSL authentifie le serveur et le client, puis définit une méthode de cryptage et une clé de session unique. Serveur et client peuvent alors entamer une session sécurisée qui protège la confidentialité et l'intégrité du message.

EV : Extended Validation. Activation de la barre d'adresse verte, certification Extended Validation.

EV et confiance du client dans la barre d'adresse verte. SSL Extended Validation est un moyen simple et fiable d'établir la confiance des visiteurs de sites Web lors de leurs activités en ligne. Seuls les certificats SSL Extended Validation (EV) déclenchent l'affichage de la barre d'adresse verte dans les navigateurs sécurisés, avec le nom de la société détentrice du certificat SSL et celui de la société de certification qui l'a délivré. La barre verte indique aux visiteurs que la transaction est cryptée et que l'entreprise a été authentifiée en conformité avec les normes de l'industrie les plus strictes. Pour améliorer les performances en ligne et renforcer la confiance de vos clients, optez pour des certificats SSL EV. (Sécurité SSL et Extended Validation.)

Wildcard : nombre de sous domaine.

Par exemple, si vous obteniez un certificat Wildcard pour *. domaine.com, vous pourriez sécuriser un nombre illimité de sous-domaine, comme :

• www.domaine.com
• admin.domaine.com
• ventes.domaine.com
• tout.domaine.com

Assurance d’Emission

Qu'est-ce-que L'Assurance d'Emission ?

L'assurance d'émission vous permettra d'envoyer une nouvelle demande pour un Certificat SSL gratuitement. Votre Certificat SSL sera redélivré avec la validité de votre certificat d'origine. Vous aurez besoin de vous assurez que vos produits incluent l'assurance d'émission ou vous permettent de l'acheter au cours de la procédure de commande initiale. Si vous n'avez pas d'assurance d'émission et vous perdez votre Certificat SSL ou votre Clé Privée, vous allez une nouvelle fois devoir acheter le produit complet.

RSC : requête de signature de certificat

La certification selon la spécification technique européenne ETSI TS 102 042

La spécification ETSI TS 102 042 "Policy requirements for certification Authorities issuing public key certificates" a été élaborée dans le cadre de la directive européenne relative à un cadre communautaire pour la signature électronique. Elle décrit des exigences d'un niveau inférieur à la spécification technique ETSI TS 101 456 , relative aux prestataires délivrant des certificats qualifiés. Toutefois, cette norme est reconnue dans certains domaines et elle permet l'acceptation des certificats dans les bibliothèques et navigateurs. Elle constitue une alternative à Webtrust.

Ressources

• Forum osCommerce-fr > Adapter OsCommerce MS2 > Sécurité - Mises à jour > Un certificat SSL gratuit ?
• Différences entre les certificats SSL
• Sécurité - Certificats SSL
• Connexion Sécurisé pour mes sites : HTTPS
• SSL Debian 4.0 Etch
• Créer sa propre (mini) PKI. Générés très facilement, il sont très pratique pour développer et tester un site sécurisé mais beaucoup moins s'agissant d'une utilisation régulière et publique, principalement à cause des avertissements de sécurité qu'ils génèrent sur l'application cliente.
• Google : Acheter certificat
• wikipedia
  • Autorité de certification
    • CAcert.org
    • Thawte , en
    • VeriSign
    • Go Daddy
  • Certificat électronique (CSR)
  • SSL
  • X.509
  • Paiement sur Internet
  • Public key certificate
    • Public Key Infrastructure (PKI)
    • Certificate authority (CA)
    • Web of trust
• Apache 2 with SSL/TLS: Step-by-Step, Part 1, Part 2, Part 3

Quelle est l'adresse qui est sécurisée ?

IMPORTANT: avant de générer le CSR "Certificate Signing Request" (nous vous expliquons comment faire dans le lien Demande d'émission), un mot sur le nom de domaine ou l'adresse web que vous voulez sécuriser. Le champ "Common Name" ou "host" demandé lorsque vous générez le CSR devra être l'adresse web EXACTE pour laquelle vous désirez que vos clients se connectent en utilisant le certificat SSL ou, si le certificat est pour un intranet, le nom de votre serveur. Par exemple, un certificat émis pour "mondomaine.com" ne sera pas valide pour "secure.mondomaine.com". Si l'adresse web que vous désirez utiliser pour la connexion SSL est "secure.mondomaine.com", lorsque vous faites la demande CSR, dans le champ "Common Name" ou "Host" que vous rencontrerez en remplissant le formulaire pour demander le CRS, mettez "secure.mondomaine.com" et non "mondomaine.com".

Configuration de votre serveur Web

ApacheApache Pour pouvoir utiliser le protocole SSL, vous devez posseder 3 fichiers :

     un fichier de clé privée (xxx.key)

     un fichier de certificat (xxx.crt)

     un fichier de chaine de certification (chain.crt)

Apres avoir importe votre certificat, vous avez en votre possession un fichier au format PKCS12 (protégé par mot de passe), qui contient le certificat et la clé privée.

Pour pouvoir récupérer chaque élément séparément, veuillez lancer les commandes suivantes à l'aide de l'outil openssl. Pour chaque commande, openssl vous demandera le mot de passe utilisé pour protéger le fichier PKCS12.

     Pour le certificat : openssl pkcs12 -in nomfichier.p12 -out xxx.crt -nokeys

     Pour la clé privée : openssl pkcs12 -in nomfichier.p12 -out xxx.key -nocerts

Openssl vous demandera en plus un nouveau mot de passe à utiliser pour protéger votre fichier de clé privée.

Enfin le fichier de chaîne pourra être récupéré en lançant la commande suivante a l'aide de l'outil curl :

     curl http://www.certigna.fr/ca/ACcertigna{ssl,}.crt > chain.crt