Certificats EV SSL : L’équivalent sécuritaire d’un toilette en or

Publié : par Dallas Kashuba
Certificats EV SSL : L’équivalent sécuritaire d’un toilette en or thumbnail

Si nous étions en 2010, je te dirais d’acheter un certificat SSL de Validation Étendue (EV).

À l’époque, les certificats EV rendaient la barre d’adresse verte, affichaient le nom légal de l’entreprise dans la barre d’URL et montraient un cadenas visible confirmant l’authenticité d’un site.

Capture d'écran du certificat SSL EV Thawte affiché dans différents navigateurs

Mais nous ne sommes pas en 2010. Et les EV SSL sont maintenant complètement obsolètes.

Aujourd’hui, payer pour un SSL, c’est comme acheter des toilettes en or. Même résultat, mais bien plus coûteux.

Ce Que Faisaient Réellement Les Certificats EV (et Pourquoi C’était Important)

Les certificats de validation de domaine de base (DV) que tu vois aujourd’hui vérifient uniquement un domaine que tu contrôles. N’importe qui peut obtenir l’un de ces certificats.

Les certificats de validation étendue nécessitent une vérification poussée de l’entreprise. Pense à des documents légaux, des appels téléphoniques, une confirmation d’adresse, et une preuve que ton entreprise est réelle et en activité.

Le processus peut prendre des jours ou des semaines et implique une vérification humaine à chaque étape.

Le résultat final était le nom de ta société affiché dans le navigateur comme cet exemple de Comodo (qui est un important fournisseur de certificats SSL).

Côte à côte de l'interface utilisateur du navigateur avant et après les modifications visuelles du SSL EV — le nom de l'entreprise et la barre verte ont disparu, remplacés par un affichage d'URL simple.

Mais comme tu peux le voir maintenant, même Comodo ne montre aucun marqueur d’un EV SSL.

Recevez du contenu directement dans votre boîte de réception

Abonnez-vous maintenant pour recevoir toutes les dernières mises à jour directement dans votre boîte de réception.

Pourquoi Les Certificats SSL EV Sont-Ils Un Mauvais Choix Actuellement ?

La principale caractéristique qui rendait les certificats EV précieux était les indicateurs visuels. Et les navigateurs étaient la force motrice derrière leur suppression.

Le Changement Qui a Mis Fin Aux Certificats EV

Quelque temps après 2015, les certificats SSL sont devenus la norme pour les sites web.

L’icône de cadenas est devenue davantage une attente qu’un signal de confiance.

Pour éliminer les redondances, Chrome a supprimé la barre d’URL de couleur verte en 2018 et a remplacé l’icône de cadenas par l’icône de réglage en 2023. Firefox a éliminé les indicateurs EV en 2019, et d’autres navigateurs ont emboîté le pas.

Tout site web sans certificat SSL valide a été marqué comme « Non sécurisé ».

Les gens devaient cliquer sur « Avancé » et « Accéder au site quand même (non sécurisé) » avant de pouvoir consulter un tel site web.

Côte à côte de l'interface utilisateur du navigateur avant et après les changements visuels du EV SSL — le nom de l'entreprise et la barre verte ont disparu, remplacés par un affichage d'URL simple.

Avec cela, la proposition de valeur des certificats EV SSL s’est évaporée. Pourtant, tu vois encore des entreprises les vendre comme si rien n’avait changé !

Les Navigateurs Ont Également Découvert Que Le VÉ N’aide Pas

La suppression des indices visuels n’était pas arbitraire. Elle était soutenue par des recherches.

La barre d’URL verte semblerait précieuse dans les captures d’écran rapprochées.

Mais quand l’équipe de sécurité de Google a étudié si la vérification coûteuse offrait de réels avantages en matière de sécurité, ils ont découvert que “l’interface utilisateur EV ne protège pas les utilisateurs comme prévu.”

Les utilisateurs ne prennent pas de décisions de sécurité différentes quand les indicateurs EV sont présents ou absents. Mozilla a atteint des conclusions similaires après leur propre recherche.

La conclusion ? Dépenser pour des certificats EV n’a pas conduit à une meilleure protection contre les menaces réelles, comme le phishing ou les sites web malveillants.

La Majorité Des Utilisateurs Ne Voient Plus Les Informations EV

Une fois que Chrome 77 et Firefox 70 ont été lancés quelque part en 2018, le dernier morceau d’information EV a également été caché.

Exemple de certificat SSL valide en action — le navigateur confirme que la connexion est sécurisée, souvent indiqué par une icône de cadenas.

Le nom de l’entreprise, le statut de validation étendue, les informations commerciales vérifiées — tout était placé sous l’icône de réglage et nécessitait que les utilisateurs cliquent pour voir les détails du certificat.

Donc, la majorité des utilisateurs ne verrait jamais les détails EV qui soi-disant justifiaient le prix premium.

Un Certificat Est Un Certificat — Tous Offrent Un Chiffrement Identique

Le rôle d’un certificat SSL est de chiffrer les données transitant du navigateur d’un visiteur au serveur de l’entreprise. Cela garantit que les acteurs malveillants ne peuvent pas espionner les données.

Comparaison visuelle des connexions non sécurisées (HTTP) et sécurisées (HTTPS) — montrant comment les certificats SSL protègent les données en transit.

N’importe quel certificat SSL peut chiffrer les données de la même manière.

Les algorithmes de cryptage sont identiques : RSA-2048 pour l’échange de clés, SHA-256 pour les signatures numériques, AES pour le cryptage symétrique.

Le navigateur établit le même tunnel sécurisé, peu importe quelle autorité de certification a délivré le certificat ou combien tu as payé pour cela.

Que tu utilises un certificat SSL gratuit ou un certificat de Validation Étendue à 500 $, la sécurité réelle protégeant les données de tes utilisateurs est exactement la même.

Avec les certificats EV, tu ne fais que payer de l’argent pour des papiers supplémentaires sans aucun avantage supplémentaire.

Quelle Est La Meilleure Option Pour 2025 Et Au-Delà ?

Let’s Encrypt a complètement bouleversé le marché des SSL en rendant les certificats gratuits, automatisés et tout aussi sécurisés que les alternatives coûteuses. Maintenant, toute personne possédant un domaine peut obtenir un certificat SSL.

Let’s Encrypt domine le marché pour une raison

Let’s Encrypt, le fournisseur gratuit de certificats de validation de domaine, contrôle 63% de l’ensemble du marché des certificats SSL. Le reste du marché est partagé entre d’autres fournisseurs de SSL DV et EV.

L’entreprise a émis plus d’un milliard de certificats d’ici 2020.

Croissance régulière de l'adoption SSL : Ce graphique souligne la croissance explosive des certificats SSL délivrés quotidiennement par Let's Encrypt de 2016 à 2025.
Source

Et maintenant, Let’s Encrypt émet plus de 7 millions de nouveaux certificats par jour.

L’Automatisation Est Mieux Que Les Processus Manuels

Alors que l’industrie du SSL vendait des certificats coûteux avec des processus de vérification manuels qui prenaient des jours ou des semaines, Let’s Encrypt a introduit l’automatisation et l’efficacité.

Le protocole ACME permet aux certificats d’être émis, installés et renouvelés sans intervention humaine, souvent en quelques minutes contre des jours.

Cette automatisation a assuré la sécurité ainsi que la commodité. Les autorités de certification SSL (CA) peuvent désormais utiliser des certificats à durée de vie plus courte (par exemple, 90 jours).

Même si un attaquant obtient l’accès à la clé privée d’un CA (la clé qui indique à un navigateur qu’il s’agit d’un certificat valide), elle ne sera valide que pendant 90 jours, après quoi une nouvelle clé est générée et les clés précédentes sont considérées comme invalides.

Si 90 jours semblent beaucoup, les fournisseurs de SSL prennent déjà des mesures pour réduire encore ce délai.

Des durées de vie courtes rendent la vérification manuelle presque impossible

L’industrie SSL évolue vers des périodes de validité de certificats encore plus courtes.

La durée de vie maximale devrait être de 200 jours d’ici 2026, 100 jours d’ici 2027 et 47 jours d’ici 2029.

Imagine réaliser le processus de vérification manuelle des VE — avec des documents légaux, des appels téléphoniques, et la vérification d’entreprise — tous les 47 jours. La charge administrative seule serait écrasante, les rendant ainsi plus du tout intéressants.

Cela explique probablement pourquoi il n’y a que 21 000 sites web avec un certificat EV en 2025.

Les Certificats de Validation de Domaine (DV) Sont Généralement Tout Ce Dont Tu As Besoin

Les certificats de validation de domaine (qu’ils soient gratuits ou payants) offrent plusieurs avantages par rapport aux certificats EV coûteux.

  • Chiffrement identique : Tes utilisateurs bénéficient de la même sécurité
  • Renouvellement automatique : Pas de risque de coupure par expiration
  • Déploiement plus rapide : Quelques minutes au lieu de jours ou de semaines
  • Aucune gestion administrative : Pas de paperasse, d’appels téléphoniques, ni de vérification d’entreprise
  • Préparation pour l’avenir : Conçu pour les durées de vie des certificats plus courtes à venir en 2029

Les certificats SSL DV gratuits tels que Let’s Encrypt et CloudFlare offrent le même niveau de protection que les autres certificats. Si c’est tout ce dont tu as besoin, opte pour un certificat gratuit.

Pour les grandes organisations ou les entreprises de commerce électronique qui ont besoin de support client, de dates d’expiration plus longues et de sceaux de sécurité pour établir la confiance, un certificat SSL DV signé professionnellement est judicieux.

Les Grandes Entreprises Utilisent-Elles Des Certificats EV Et Quelqu’Un En A-T-Il Vraiment Besoin ?

Si les certificats EV étaient vraiment nécessaires pour la sécurité et la confiance, tu t’attendrais à ce que les plus grandes entreprises les utilisent.

Ils ne le font pas.

Même Amazon, Netflix et Walmart Utilisent Des Certificats Gratuits

Troy Hunt, le créateur de Have I Been Pwned, a partagé un tweet lorsque Chrome a commencé à expérimenter la suppression de l’indicateur EV du navigateur lors du premier semestre de 2018.

Ce tweet souligne le déclin de la visibilité des SSL EV—le changement de Chrome consistant à ne plus afficher les noms des organisations dans la barre d'adresse indique un mouvement plus large vers des indicateurs simplifiés, uniquement avec un cadenas.
Source

Amazon, Netflix, Walmart, eBay, Target, Best Buy : des entreprises disposant de budgets de sécurité illimités, d’équipes d’experts et de millions de clients saisissant quotidiennement des informations sensibles — elles utilisent toutes des certificats de validation de domaine standards.

Quand Shopify et Amazon traitent des milliards de transactions en utilisant des certificats SSL gratuits, de quoi exactement les vendeurs de certificats EV prétendent-ils vous protéger que ne peut pas un certificat gratuit ?

Ces entreprises ne négligent pas la sécurité. Elles utilisent simplement des certificats qui fournissent le même niveau de cryptage sans la surcharge de documentation et les coûts inutiles.

Est-Il Financièrement Judicieux de Payer pour des Certificats EV ?

L’économie des certificats EV ne tient pas la route lorsque tu examines ce que tu obtiens réellement.

Tu Paies Pour L’intérêt Propre De L’industrie

Le Certificate Authority Browser Forum établit des normes industrielles, mais c’est essentiellement une coalition de fournisseurs de certificats qui élaborent des règles pour vendre des certificats plus chers.

Un redditor qui prétendait avoir travaillé pour une autorité de certification a répondu à la question : « Quel est l’intérêt des certificats SSL haut de gamme ? »

Ils ont affirmé qu’il n’y a aucune différence entre un SSL haut de gamme et un ordinaire. C’est juste une manière pour les autorités de certification de te vendre plus de certificats.

Ce commentaire Reddit met en lumière un scepticisme croissant : beaucoup considèrent les certificats SSL, surtout les versions premium, comme étant davantage axés sur le profit que sur la protection, avec peu de différence pratique en termes de sécurité.

Cela crée des conflits d’intérêts évidents lorsque les mêmes entreprises qui vendent des certificats coûteux rédigent les règles stipulant quand les certificats coûteux sont “nécessaires”.

Ces Garanties D’un Million De Dollars Sont Des Astuces Marketing

Les certificats EV sont accompagnés de garanties, généralement entre 10 000 $ et 2 millions $, selon le type de certificat. Ces garanties sont censées te protéger si l’autorité de certification commet des erreurs qui entraînent des violations de la sécurité.

Mais selon des experts comme Troy Hunt, ces garanties ont toujours été des astuces marketing.

Scott Helme, le fondateur de Report URI, a également mentionné trois scénarios couverts par ces garanties.

Déclaration de Scott Helme, fondateur de Report URI, concernant les garanties de certificat

Mais aucun de ces scénarios ne conduit réellement à ce que tu obtiennes une réclamation. D’abord, un certificat ne peut pas être émis sans informations valides, donc le premier point est immédiatement disqualifié. Les deuxième et troisième sont tout aussi infondés.

Je recommande de lire l’article de Scott ainsi que l’article de Troy pour mieux comprendre pourquoi je les considère également comme des astuces marketing.

As-tu Jamais Besoin d’un Certificat EV Alors ?

Malgré tout ce dont nous avons parlé ci-dessus, les certificats EV ont quelques utilisations.

Voici quelques situations spécifiques où tu aurais besoin de revenir aux certificats EV.

  • Institutions financières soumises à des exigences réglementaires strictes : Certains cadres de conformité, comme le PCI DSS ou certaines réglementations bancaires, exigent des certificats EV. Si ton régulateur l’exige, tu n’as pas le choix.
  • Appareils informatiques anciens : Certains systèmes plus anciens, notamment le matériel d’entreprise du début des années 2000, ne reconnaissent pas les certificats racine de Let’s Encrypt. Cela devient de plus en plus rare à mesure que les anciens systèmes sont remplacés.
  • Politiques d’entreprise exigeant des types de certificats spécifiques : Certaines grandes entreprises ont des politiques internes exigeant des certificats EV pour les sites orientés vers le public. Cela concerne généralement plus la gestion des risques d’entreprise que la sécurité réelle.
  • Signature de code et signature de documents : Let’s Encrypt ne délivre que des certificats DV. Si tu signes des téléchargements de logiciels ou des documents, tu auras besoin de certificats provenant d’autorités de certification traditionnelles.

Pour la grande majorité des sites web tels que les blogs, boutiques en ligne, applications SaaS, sites de marketing et la plupart des sites d’entreprise, un certificat EV n’apporte aucun avantage significatif par rapport aux alternatives gratuites.

Devrais-Tu Simplement Obtenir Des Certificats Gratuits Et Passer À Autre Chose ?

À mon avis, la réponse est un OUI retentissant. En fait, pour 99 % des sites web, la réponse est oui.

Voici pourquoi :

Le Marché A Déjà Décidé

Les certificats de validation de domaine constituent la majorité du marché.

Camembert montrant que la majorité de l'utilisation des SSL provient des options par défaut ou gratuites comme Let's Encrypt, les certificats payants constituant une petite partie.

Selon BuiltWith, il y a plus de 258 millions de certificats SSL sur Internet en juin 2025. La majorité sont gratuits, automatisés et offrent une excellente sécurité.

Note : Tu remarqueras que SSL By Default a la part la plus importante ici. Cependant, Let’s Encrypt vend également des certificats SSL By Default. Donc, même s’ils sont présentés séparément, je les considérerais comme une seule entité.

Investis Ton Argent Dans Une Sécurité Qui Compte Vraiment

Le temps et l’argent que tu économises peuvent être investis dans des mesures de sécurité qui comptent vraiment : une meilleure infrastructure d’hébergement, surveillance de la sécurité, sauvegardes régulières, pare-feu pour applications web, ou tests de pénétration.

La plupart des fournisseurs d’hébergement — comme DreamHost — offrent maintenant une intégration Let’s Encrypt en un clic. Si ce n’est pas le cas pour le tien, il est peut-être temps de trouver un fournisseur d’hébergement qui comprend que nous sommes en 2025, et non en 2010.

Arrête De Trop Réfléchir, Un DV SSL Est Tout Ce Dont Tu As Besoin

Les certificats de validation étendue sont des solutions coûteuses à des problèmes qui peuvent principalement être résolus gratuitement. Je ne fais pas référence aux industries hautement réglementées qui nécessitent des SSL EV — pour le reste du monde, un SSL DV devrait suffire.

Le chiffrement est identique, les navigateurs ont supprimé les indicateurs visuels, et même les plus grandes entreprises ne les utilisent pas.

Voici ce que tu devrais vraiment faire :

  • Connecte-toi à ton panneau de contrôle d’hébergement
  • Active le SSL gratuit en un clic
  • C’est terminé !

Tes utilisateurs bénéficient du même chiffrement qui protège Amazon et Shopify.

Si ton hôte n’offre pas de SSL gratuit, tu dois passer à un fournisseur d’hébergement comme DreamHost qui le propose !

Économise ton argent pour une sécurité qui compte vraiment : sauvegardes, surveillance, ou un pare-feu d’application web.

Cela protégera ton site web bien mieux que de payer des centaines chaque année pour des documents premium.

Si tu préfères confier les aspects techniques à un professionnel, nous t’avons couvert avec nos services professionnels de gestion de site web!

Services professionnels – Gestion de site web

Nous Nous Occupons De La Technique

Offre à ton site web des performances et une fiabilité de niveau entreprise. Laisse le backend aux experts – concentre-toi sur ton entreprise.

Voir Plus
Photo de Dallas Kashuba

Dallas Kashuba