Bonjour à tous,
Il y a presque un an, nous avons déployé le HTTPS pour tous. En clair : nous avons déployé un certificat SSL DV pour l'ensemble des hébergements web.
Les certificats DV sont excellent pour chiffrer les communications entre votre site et vos visiteurs. Pour éviter les atttaques, les autorités de certification comme Let's encrypt et Comodo, effectuent des vérifications avant d'éditer le certificat. Dans le cas des DV, ils vérifient que le demandeur a bien la main sur le nom de domaine.
Cette vérification est efficace pour s'assurer qu'un certificat n'est pas émis à n'importe qui, mais ne suffit pas dans le cas du typo-squatting, c'est à dire qui posséde un nom de domaine proche du votre. Une image est toujours meilleure qu'une explication…
https://twitter.com/josephfcox/status/832853549851803648
Alors, comment faire pour avoir confiance dans le site que nous visitons ? Comment m'assurer que lorsque je commande sur un site, c'est bien une entreprise avec une existence juridique et non un hacker ?
Pour s'assurer de tout cela, il existe un autre type de certificat SSL : le EV, pour Extended Validation. Pour l'éditer, les autorité de certifications vérifient un grand nombre de paramètres en plus du nom de domaine. Ils s'assurent ainsi que l'entreprise est réelle et que la personne commandant le certificat est bien un représentant de celle ci. Lorsque vous avez un certificat EV, vous pouvez observer une barre verte contenant le nom de votre entreprise. Regardez sur https://www.ovh.com/fr/, on en a un 
L'arrivée de Let's encrypt change les choses : désormais, plus de la moitié des sites sont en HTTPS. Ces dernières années, j'expliquais à mon entourage que s'il y a un cadenas vert, le site est sécurisé. Maintenant, je leur dit qu'il faut que le nom de l'entreprise soit affiché dans la barre vert, que le cadenas vert ne suffit plus.
C'est pour cela que nous proposons désormais les certificats EV, au prix de 99€ HT en option sur nos hébergements web. Vous pouvez le commander lors de votre achat d'hébergement ou directement depuis votre espace client !
Vous retrouverez les informations commerciales sur notre site : https://www.ovh.com/fr/ssl/, mais aussi toutes les démarches pour obtenir votre certificat EV sur ce guide : https://docs.ovh.com/fr/fr/web/hosting/ssl-ev/
Si vous voulez plus d'informations sur le fonctionnement de HTTPS, des certificats et des autorités de certificats, vous pouvez retrouver l'un de nos meetup sur le sujet sur youtube : https://www.youtube.com/watch?v=gXF5_U4vz1Y&feature=youtu.be
A bientôt,
Vincent
Bonjour,
Merci pour l'info. Pour ma part je suis une profession libérale exerçant en Entreprise Individuelle, je dispose d'un SIRET/SIREN mais mon entreprise n'est pas listée ici : http://www.aef.cci.fr/ mais plutôt ici https://1sirene.insee.fr/sirene.insee.fr/ (cette seconde base de donnée officielle est beaucoup plus complète que la base CCI).
Je ne peux donc pas bénéficier de ce nouveau service, dommage ! Tout comme l'intégralité des médecins, avocats, conseils, et autres professions libérales ne relevant pas de la CCI …
Bonjour @VincentB4,
C'est Comodo qui utilise cet annuaire afin de récupérer le numéro de téléphone officiel de l'entreprise. Est ce que ce numéro est disponible depuis la base Sirene ?
Je vais voir avec Comodo ce qu'ils proposent dans ce cas.
Cordialement,
Vincent
Le registry du .PRO (tld réservé aux professionnels) utilise lui aussi la base sirene / insee pour ses vérifications. Toutes les entreprises ne relèvent pas de la CCI, loin de là.
En revanche pas de numéro de téléphone dans le répertoire insee a priori, mais sauf erreur de ma part un numéro de téléphone n'est pas obligatoire pour exercer ou ouvrir une structure ! Les adresses postales du siège et de tous les établissements sont en revanche listées, avec les dates de création et d'ouverture/fermeture.
+1… Il devrait être possible d'envoyer un courrier postal (en recommandé ou non) pour validation..
Ou demander d'autres documents..
La CNI du gérant et etc..
Nous proposons les certificats SSL EV de Comodo et nous n'avons que trés peu la main sur leur processus de validation. Mais on a quand même quelques réponses :
- Le numéro de téléphone est utilisé pour s'assurer que la personne demandant le certificat existe bien et qu'il ne s'agit pas "juste d'une boîte aux lettres". Comodo appele le numéro et demande à parler aux représentant de l'entreprise.
- Ils sont trés ouvert à la discussion et ont probablement d'autres techniques de validation. C'est pour cela que nous allons remonter ton cas @VincentB4 et voir leur réponse.
- La validation par courrier est plus complexe : elle demande un traitement manuel bien plus important, et ne serait pas rentable pour 99€HT.
Dans tous les cas, je vous tiens au courant 
Cordialement,
Vincent
Autre point, sera-t-il possible de choisir le nom affiché dans la barre verte ? Toujours dans le cas des entreprises individuelles, normalement le nom de l'entreprise = NOM + PRENOM du professionnel, il serait plus judicieux de pouvoir utiliser le nom du site ou un autre nom commercial …
Imaginez :
`Jean DUPONT (FR) | https://www.comparatif-voyages.tld`
c'est pas terrible
Pour le nom, cela n'est pas possible !
La norme des certificats EV impose que ce soit le nom de la société qui soit affiché, le but étant que la personne qui visite le site connaisse l'entité juridique contre laquelle se retourner en cas de soucis, mais aussi pour éviter les risques de typo squatting.
impose que ce soit le nom de la société qui soit affiché
ils ont oublié que toutes les entreprises ne sont pas des sociétés et qu'il peut être incohérent voire problématique d'afficher un prénom+nom dans une barre d'adresse. pour un artisan ou un médecin pourquoi pas, mais pour un éditeur de sites web ?
Après, il reste la question de l'utilité d'un certificat Ev.
Pour un éditeur de site Web quel en serait l'utilité ?
Si c'est un site vitrine et à mon sens le certificat EV est inutile..
Si c'est un site pour vendre ses prestations un certificat OV peut suffire..
Si c'est un site vitrine et à mon sens le certificat EV est inutile..
Sans aucun doute :slight_smile:
Si c'est un site pour vendre ses prestations un certificat OV peut suffire..
Le OV ne se différencie pas dans le navigateur. Les internautes ne savent pas que l'entreprise a été vérifiée et existe bien. Il n'a donc pas ce rôle d'information du client. C'est d'ailleurs pour cela que nous ne le proposons pas...
Sur le fond, d'accord avec toi @Buddy , à titre personnel je pense même qu'un certificat quel qu'il soit est inutile mais c'est un autre débat.
En revanche il peut y avoir des conséquences en termes de référencement, de réassurance de l'internaute, d'image de marque, etc. Google a annoncé officiellement une prime au https (dès 2014), les navigateurs affichent des alertes de partout sur les sites http, jusque dans les champs password, etc.
Malheureusement, je crains qu'il faille s'attendre rapidement à une dépréciation des certificats gratuits (par Google, par les navigateurs, et au final par les utilisateurs) et une prime aux certificats "haut de gamme" est probable dans les prochains mois / années.
Je pense que Lets encrypt oui ne va plus apporter grand chose.. Apres tu as des certificats DV payants aussi..
Il est quand même préférable de chiffrer les connexions quand l'on se connecte surtout aux banques, paiements en ligne et etc… (à mon sens)
Après c'est sûr qu'un site vitrine..
Malheureusement, je crains qu'il faille s'attendre rapidement à une dépréciation des certificats gratuits (par Google, par les navigateurs, et au final par les utilisateurs) et une prime aux certificats "haut de gamme" est probable dans les prochains mois / années.
Je ne partage pas cet avis : la prime au SSL de Google a pour but principal de chiffrer les communications et de réduire les soucis connus de vol de sessions en WIFI, à l'hotel ... Et pour cela, c'est une bonne chose et Let's encrypt a résolu le soucis du prix du SSL. Je ne pense pas que les moteurs de recherches et les navigateurs imposent des montées en gamme de certificats. Il n'y a pas de raison technique à cela.
L'intérêt du EV, il est pour la réassurance de l'internante lorsqu'il pousse des informations critiques : mot de passes, mais surtout numéro de carte bancaire. Avant, le message était "y'a un cadenas vert, c'est sécurisé". Il va devenir "tu as le nom de la société contre qui te retourner en cas de soucis avec ta commande dans la barre verte".
Un site vitrine n'a clairement pas besoin d'un EV. Un site marchand par contre..
Bonne initiative. Pour les auto-entrepreneurs, nous avons un nom d'entreprise différent de notre nom personnel (contrairement aux professions libérales), donc pas de problème. Mais nous non plus, nous de dépendons pas des CCI, donc où sera la source de certification? Pour info l'organisme auquel nous nous sommes adressés pour la création de l'entreprise (notre "Centre de Formalité des Entreprise" : CFE) est l'URSSAF (en lieu et place de la CCI) Est-ce que ce sera l'URSSAF la source de certification?
Sinon, je trouve que c'est un peu cher.
Sinon, je trouve que c'est un peu cher.
Nous sommes les moins cher du marché ;)
Comodo utilise aussi l'annuaire creditsafe.fr. Est ce que vous avez la possibilité de vous faire référencer dessus ?
En paralléle, pouvez vous, en privé, me fournir votre numéro de SIREN ? Nous souhaitons vérifier les informations disponibles à partir de ce dernier.
Cordialement,
Vincent
Comodo utilise-t-il l'INSEE comme source? Auquel cas il pourra y trouver les numéros SIREN, y compris ceux des auto-entrepreneurs.
Comodo utilise bien la base SIREN. Cependant, comme dit plus haut, cette base ne contient pas de numéro de téléphone et elle ne leur suffit pas pour vérifier l'existence réélle de l'entreprise.
C'est pour cela qu'ils demande la présence dans l'annuaire des CCI. Nous regardons comment récupérer cette information pour les professions libérales et les auto entrepreneurs.
Bien cordialement,
Vincent
Petit correctif : les auto-entrepreneurs ne dépendent de l'URSSAF (au lieu de la CCI) que si ils exercent une activité dans le domaine des services, ce qui est le cas des services web.