Quand on souhaite sécuriser l'accès à son site web en utilisant SSL il est nécessaire de configurer son serveur HTTP (Apache, Nginx ...) pour que ce dernier utilise un certificat adéquat.
Deux solutions sont alors envisageables :
- générer soit même cet élément (on parle alors de certificat "auto signé") avec comme principal inconvénient de voir apparaître à la connexion sur le site, un message d'alerte du navigateur du type "Attention ce certificat n'est pas valide - vous ne devriez pas faire confiance à ce site" . Pas top pour l'image !
- acheter un certificat émis par une autorité de certification reconnue par les principaux navigateurs. Là les prix sont très variables ...
Il n'existait (à ma connaissance) jusqu'à maintenant qu'une seule autorité de certification qui proposait des certificats gratuits ( CACert ) mais malheureusement cette dernière n'est pas reconnue par les navigateurs du marché. Il faut donc que l'utilisateur ait déjà importé la "racine" de CACert pour ne pas voir apparaître le message d'avertissement. Autant dire qu'on se retrouve quasiment dans la même situation qu'avec un certificat "auto-signé" ...
J'ai découvert, un peu par hasard, une autorité de certification ( StartSSL ) qui propose gratuitement des certificats reconnus par la plupart des navigateurs du marché. Il s'agit de certificats "simples" (Classe 1 / "Domain Validated" / simple validation de l'URL) mais suffisant pour assurer le cryptage des données entre le client et le serveur sans avoir à subir le fameux message d'avertissement !
Un bon plan à retrouver ICI ...
Petite précision, l'offre "gratuite" semble être réservée aux particuliers : il n'est pas possible de faire mention d'un nom de société lors de la demande de certificat.
- Crédit photo : Beppie
Attention, les certificats starSSL sont bannis par chrome et firefox depuis fin 2016.
Un article très interessant