Beaucoup de sociétés, qu’elles soient SSii ou non, confient de manière très naturelle l’achat de leurs certificats SSL à la direction technique. Alors que les certificats SSL ont en effet une caractéristique logicielle indéniable, ces techniciens passent très souvent à côté des raisons exactes d’une mise de place de tels certificats. Il semblerait en fait plus juste d’éduquer les directions marketing et commerciales pour l’achat des certificats SSL et ce pour plusieurs raisons.
Un rapide rappel de ce que sont les certificats SSL ne peut pas faire de mal. En simplifiant à l’extrême, leur mise en place permet de crypter les flux de données entre un serveur et une machine distante qui peut être un ordinateur, un smartphone, ou tout autre outil connecté. Il permet aussi à l’internaute de voir le fameux petit cadenas qui le rassure sur l’environnement où il se trouve.
On peut prendre en compte 3 grands axes pour la différenciation des certificats SSL.
1. Le cryptage minimum
C’est LA caractéristique ‘logicielle’ et technique du certificat SSL. Ce cryptage minimum peut être de 40bit (cryptage faible) ou de 128bit (cryptage fort). Ce cryptage minimum peut dépendre du serveur sur lequel est installé le certificat mais surtout de la configuration de la machine qui vient se connecter sur ce serveur : son système d’exploitation, son navigateur ou application. Les certificats SSL munis de la technologie SGC (Server Gated Cryptography) assurent un cryptage de 128bit minimum quelque soit la configuration des machines venant se connecter. Ceux-ci sont obligatoires pour les administrations françaises par exemple (norme RGS) et fortement recommandés pour les données très confidentielles (paiement cartes bancaires, etc…
2. La validation d’identité du détenteur du site
Il existe 3 méthodes de validation qui ont des répercussions très importantes sur le certificat délivré.
a. La méthode logicielle et automatique de simple validation de domaine (DV).
Celle-ci est très légère et le certificat délivré ne contient pas d’information sur la société détentrice du site sécurisé. Il n’est pas possible de vérifier dans le certificat à qui vous confiez vos données. Ces certificats sont donc à proscrire absolument de tout usage externe et sont souvent trouvés sur des sites de phishing (hameçonnage). Les internautes voyant le cadenas se sentent en sécurité, malheureusement leurs données sont envoyées à des escrocs, et rien dans le certificat ne permet d’identifier la société en cause.
b. La validation classique d’organisation (OV).
Ce sont les certificats les plus répandus sur Internet, malgré la croissance rapide des DV low-costs. Pour délivrer ce type de certificat, les Autorités de Certification (CA) doivent pratiquer un audit du site, vérifier l’existence de l’entreprise qui demande ce certificat et valider le fait qu’elle détient bien le site en question. Le certificat délivré détient donc toutes ses données et correspond à une véritable carte d’identité du site sécurisé sur l’Internet. Il permet à l’internaute de vérifier s’il le souhaite qu’il confie bien ses données confidentielles à la bonne organisation.
c. La validation étendue (EV).
Ces certificats sont en cours de devenir la nouvelle référence sur la toile et remettent à plat les standards. Ils sont obtenus par les entreprises après un audit poussé du site et de l’organisation de la part des CA, et ont un effet très important pour l’internaute : la barre d’adresse de son navigateur se colore en vert, et le nom de l’entreprise détentrice du site est visible sans avoir à ouvrir le certificat. Grâce à ces indicateurs de confiance visibles, l’internaute se sent parfaitement en sécurité et n’hésite plus à confier ses données confidentielles sur les zones de paiement, administratives, ou encore portails d’échanges d’informations en tout genre.
3. L’Autorité de Certification et la puissance de son logo.
A ces 2 grands axes de choix de certificats, il semble enfin juste de constater une valeur ajoutée à l’Autorité de Certification qui délivre le certificat en place. Des noms sont évidemment plus connus que d’autres. “VeriSign est LA référence incontournable », explique Benjamin Tack, Directeur Commercial de SSL247, le plus gros revendeur européen de certificats SSL. « Le logo VeriSign est vu plus de 175 millions de fois par jour sur plus de 90000 sites, il a un impact direct sur la perception des internautes. Il est prouvé par plusieurs études menées chez des clients VeriSign (dont Opodo) que leurs taux de conversion sur leurs sites de vente en ligne ont augmenté de façon très significative une fois le logo VeriSign apposé sur leurs zones sécurisées. »
Très (trop) souvent, les achats de certificats SSL sont réalisés par des techniciens. Ceux-ci sont concentrés essentiellement sur le fait que le cadenas apparaît bien dans le navigateur et que la connexion est bien cryptée entre l’ordinateur et le serveur, c’est-à-dire sur la partie « logicielle » du certificat. Comme le choix d’un commissaire aux comptes ou d’un cabinet d’expertise comptable de renom, il semble légitime de considérer cette partie d’image de marque et de crédibilité des organisations sur la toile. Il est en effet important de se différencier par le haut de ses concurrents n’ayant pas encore compris l’intérêt d’une vraie certification et d’en faire un nouvel avantage compétitif. Lorsqu’on comprend un peu plus l’impact visuel d’un certificat EV, ou d’un logo d’une grande marque comme VeriSign, on voit la limite du choix technique, et on doit se poser sérieusement la question du rôle du département marketing et commercial dans les choix de certification, comme lors d’une certification ISO, ou l’obtention d’un label de qualité sur leurs produits…
Enfin, c’est aux responsables commerciaux et marketing des organisations ayant pignon sur rue de combattre les utilisations malveillantes de solutions peu chères comme les certificats DV d’autorités de certification peu regardantes.