Aller au contenu

Sujets conseillés

Posté

Bonjour,

Une question aux membres qui utilisent un certificat SSL ! J'ai besoin de vos conseils et de vos expérience !

Pour un site e-commerce, j'ai besoin de mettre en place un certificat SSL, car les formulaires de paiements sont dirctement sur mes pages web.

Donc mes questions sont :

1) Plusieurs autorités peuvent fournir un certficats SSL... Laquelle conseillez-vous ? (comodo, thawte, veritas, etc...)

2) Quels sont les prix ?

3) Quels sont les documents à fournir ?

4) Quel sont les délais d'obtention du certificat après l'avoir commandé ?

Merci beaucoup, à+!

Ben

Posté

Il existe plusieurs types de certificats SSL:

- certificats SSL qui ne font que sécuriser la connexion, mais ne contiennent aucune info sur le titulaire du certificat (juste l'adresse du site)

- certificats SSL qui confirment l'identité du titulaire

- certificats SSL "EV" qui confirment l'identité du titulaire après vérifications plus "poussées", qui donnent la barre verte

Les premiers peuvent être obtenus en quelques minutes pour pas cher du tout (voire gratuit bundlé avec un hébergement ou un domaine), et les vérifications sont minimales et automatiques (un e-mail avec un lien à cliquer, en gros).

Les deuxièmes demandent un peu plus de temps (compter 2-3 jours si tout va bien) et de documentation. Il faut que le nom de domaine soit bien enregistré au nom du titulaire, il faut généralement fournir un extrait Kbis ou équivalent, etc.

Les troisièmes ça demande encore un peu plus de documentation et c'est nettement plus cher.

Au delà du certificat lui-même, un aspect important c'est de pouvoir mettre un "sceau" (seal) sur ton site qui met les gens en confiance. C'est évidemment d'autant plus efficace que l'autorité qui le délivre est reconnue. Verisign est nettement plus connu du grand public que Gandi, par exemple.

Pour résumer, le certificat a deux rôles:

- il protège la communication (tous les certificats le font)

- il aide à donner confiance aux utilisateurs, directement (barre verte, nom de la société dans le certificat, ou simplement le cadenas fermé) ou indirectement ("sceau" affiché sur le site, y compris sur les pages non sécurisées). Là, mieux c'est, plus c'est cher (mais pas forcément l'inverse).

Si tu stockes des informations de paiement sur ton site, il est aussi indispensable que tu effectues un scan de sécurité PCI DSS de ton site régulièrement (et que tu fasses le reste du processus de certification PCI DSS).

Jacques.

Posté

Merci pour votre réponse.

Nous avons étudié un peu les offres de certificats SSL sur internet, et a priori nous nous orienterons surement vers StartSSL ou GoDaddy, qui sont les moins onéreuses, et apparemment tout aussi efficaces.

Certains d'entre vous ont testé ces solutions ?

Les conseillez-vous ? Les déconseillez-vous ?

Merci,

Ben

  • 6 months later...
Posté

Bonjour tout le monde, je fais appel à vos services;

en fait, je suis débutant dans les technologies web,avant je travaillais qu'avec Java Swing. et là pour mon travail je suis obligé de développer un site web j2ee avec authentification ssl, j'ai bien avancé sur le projet web et maintenant je suis arrivé à l'étape la plus louche pour moi, l'authentification ssl. donc ma question est la suivante :

Comment peut-on mettre on place une authentification ssl simple ?

Est ce que vous pouvez me donnez un exemple simple ou un lien vers un exemple qui explique les démarche à suivre et un bout de code?

merci d'avance pour votre aide.

Très Cordialement

Posté

Tout d'abord il te faut un certificat ( une autorité de certification qui atteste que tu es toi à un niveau +/- poussé (test par mail, coup de téléphone...) ) que tu signes et qu'ensuite tu installes sur ton serveur.

L'autorité de certificatation/le type de certificat que tu choisiras dépend avant tout du trust que tu souhaites obtenir (barre verte ou pas, diminution du taux d'erreur des différents navigateurs...).

Il en existe des gratuits ( chez startssl, gandi quand tu prends le domaine chez eux ), des payants (verisign ).

Le prestataire chez qui tu le prendras explique en général une procédure à suivre pour la signature.

Ensuite, si tu es sous apache, il faut activer mod_ssl, écouter le port ssl (généralement Listen 443 placé quelque part dans la conf), et ajouter des directives dans le virtualhost correspondant au site (c'est le cas de la majorité des config, du moins je pense), la config ressemble à pour un certificat startssl, mais c'est sensiblement pareil pour les autres :


<VirtualHost *:443>
ServerName domaine.com
#...
SSLEngine on
SSLCertificateFile /etc/certs/domaine.com.crt
SSLCertificateKeyFile /etc/certs/domaine.com.key
SSLCertificateChainFile /etc/certs/sub.class1.server.ca.pem
SSLCACertificateFile /etc/certs/ca.pem
#...
</VirtualHost>

Il te suffit ensuite d'ajouter https:// devant tes URLs ou mieux, de forcer la redirection avec mod_rewrite par exemple :


RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule /login https://%{SERVER_NAME}%{REQUEST_URI} [R=302,L]

En espérant avoir été clair wink.gif

  • 3 months later...
Posté (modifié)

Bonjour,



Pour votre site web e-commerce, je vous conseil au minimum un certificat ssl OV (Validation de l'organisme). Celui-ci prendra quelques jours avant d'être émis, car la société émettrice devra vérifier les informations de votre entreprise, pour vérifier sa réelle existence. Par contre, les informations seront affichées lors du clic sur le petit cadenas et certifieront à vos clients qu'ils traitent avec une vraie entreprise.



Dépendamment de votre budget, vous pouvez opter pour un EV. Celui-ci ajoutera une barre verte dans la barre URL. Cela augmente le niveau de confiance envers vos visiteurs et augmente dans la majorité des cas le taux de conversion du site.



Pour le choix de l'autorité de certification, cela est libre à vous. Le prix d'un certificat SSL Symantec Verisign sera beaucoup plus élevé dû à la notoriété de la marque. Je suggère souvent les certificats GlobalSign. Une entreprise sérieuse et les prix sont très raisonnables.


Modifié par Arlette
Suppression pub.
  • 6 months later...
Posté (modifié)

Personnellement, j'ai opté pour NameCheap, et j'en suis super content, le certificat de base est a 7,95$ et il fonctionne parfaitement ( c'est celui que j'utilise sur mon site ).


Pour l'installer, Namecheap te donne des instructions précises après l'achat, je les ai suivies, ça a marché, mais comme je suis sous WHM/Cpanel ça reste quand même une installation avec une interface visuelle, je n'aurai pas su le faire en ligne de commande. ( attention les instructions sont en anglais ! ).



Pat.


Modifié par Audiobank

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...