Il existe plusieurs facons d’obtenir un certificat SSL gratuit en 2026. Mais “gratuit” ne signifie pas qu’ils sont tous egaux — ils different par le nombre de certificats que vous pouvez obtenir, si votre cle privee reste privee, le support wildcard et ce qui se passe quand vous voulez quitter le fournisseur.
Voici la comparaison qu’aucun autre site ne fait : nous analysons ou votre cle privee est generee — car si le fournisseur a votre cle, votre chiffrement est compromis a la source.
Comparaison rapide : tous les fournisseurs en un coup d’oeil
| Fournisseur | Type | Validite | Wildcard (gratuit) | Compte requis | Cle privee | Limite gratuite | Renouvellement auto |
|---|---|---|---|---|---|---|---|
| Let’s Encrypt | CA autonome | 90 jours | ✅ DNS-01 | Non | ✅ Locale | Illimite | Via client ACME |
| ZeroSSL | CA autonome | 90 jours | ❌ Payant uniquement | ⚠️ Variable | 3 certificats | Via ACME | |
| Buypass Go | CA autonome | 180 jours | ❌ | Non | ✅ Locale | Illimite | Via ACME |
| Google Trust Services | CA autonome | 90 jours | ✅ DNS-01 | Google Cloud | ✅ Locale | Illimite | Via ACME |
| Cloudflare | Proxy CDN | Auto | ✅ | ❌ Cloudflare la detient | Illimite | Automatique | |
| SSL For Free | Outil web | 90 jours | ❌ | ⚠️ Generee cote serveur | 3 certificats | Non | |
| Hebergeurs | Inclus | 90+ jours | Variable | Compte hebergement | ✅ Sur votre serveur | Illimite | Generalement auto |
| AWS ACM | Service cloud | Auto | ✅ | Compte AWS | ❌ AWS la detient | Illimite | Automatique |
Autorites de certification autonomes
Ces CA emettent des certificats que vous telechargez et possedez. Vous pouvez les installer partout — n’importe quel serveur, plateforme ou fournisseur.
Let’s Encrypt — Le standard de l’industrie
Let’s Encrypt est une CA a but non lucratif geree par l’Internet Security Research Group (ISRG). Elle domine le marche avec 63,9 % de part mondiale et plus de 300 millions de certificats actifs.
Pourquoi c’est le choix par defaut :
- Veritablement illimite — pas de limites sur l’offre gratuite, pas de ventes incitatives, pas de plans payants
- Certificats wildcard — via le challenge DNS-01, sans frais
- Ecosysteme massif — 50+ clients ACME : GetHTTPS (navigateur), Certbot (CLI), acme.sh (shell), Caddy (integre) et bien d’autres
- Aucun compte requis — les cles de compte ACME sont generees localement, pas d’inscription par e-mail
- Certificate Transparency — tous les certificats emis sont enregistres publiquement pour la responsabilite
- Soutenu par Mozilla, Google, EFF, Meta, Cisco et d’autres
Limitations :
- Validite de 90 jours (necessite une planification du renouvellement — guide)
- DV uniquement — pas d’OV ou EV (en avez-vous besoin ?)
- Limites de debit : 50 certificats par domaine enregistre par semaine (genereux pour toute utilisation legitime)
- Pas de support dedie — forum communautaire uniquement
Comment obtenir un certificat Let’s Encrypt :
| Outil | Type | Ideal pour |
|---|---|---|
| GetHTTPS | Navigateur | Aucune installation, cle reste dans le navigateur |
| Certbot | CLI | Renouvellement auto sur serveurs Linux |
| acme.sh | Script shell | Sans root, 150+ plugins DNS |
| Caddy | Serveur web | HTTPS sans configuration |
ZeroSSL — Offre gratuite avec des conditions
ZeroSSL est une CA commerciale soutenue par Sectigo. Elle propose une offre gratuite a cote de plans payants ($10-100/mois).
Avantages par rapport a Let’s Encrypt :
- Tableau de bord web pour la gestion des certificats
- REST API pour l’emission programmatique
- Validation par e-mail (pas d’acces serveur necessaire)
- Certificats d’un an sur les plans payants
Les pieges :
- Offre gratuite : seulement 3 certificats — ensuite il faut un plan payant
- Wildcard : payant uniquement — Let’s Encrypt offre les wildcards gratuitement
- Preoccupation sur la cle privee : En utilisant le tableau de bord web, la cle peut etre generee sur le serveur de ZeroSSL, pas dans votre navigateur. L’utilisation de leur endpoint ACME avec un client local garde la cle locale.
- Propriete de Sectigo — une CA commerciale avec des interets commerciaux
En resume : ZeroSSL convient pour 1-3 sites si vous voulez un tableau de bord. Pour plus, Let’s Encrypt n’a pas de limites. Comparaison detaillee →
Buypass Go SSL — Validite plus longue, moins de fonctionnalites
Buypass est une CA norvegienne offrant des certificats DV gratuits avec une validite de 180 jours — deux fois plus longue que Let’s Encrypt.
Avantages :
- 180 jours de validite = moins de renouvellements
- Support du protocole ACME (fonctionne avec Certbot, acme.sh)
- Aucun compte requis
- CA europeenne (pertinent pour les organisations soucieuses du RGPD)
- Certificats gratuits illimites
Limitations :
- Pas de support wildcard — eliminatoire si vous avez besoin de
*.example.com - Communaute plus petite — moins de documentation, moins d’integrations testees
- Notoriete plus faible
Ideal pour : Sites simples souhaitant une validite plus longue sans wildcards.
Google Trust Services — La propre CA de Google
Google Trust Services emet des certificats DV gratuits via ACME, soutenus par l’infrastructure de Google.
Avantages :
- Support wildcard via DNS-01
- Fiabilite de niveau Google
- Compatible ACME (Certbot, acme.sh)
Limitations :
- Necessite un compte Google Cloud pour l’endpoint ACME
- Moins de documentation communautaire que Let’s Encrypt
- Validite de 90 jours
- Dependance a Google Cloud
Ideal pour : Les equipes deja sur Google Cloud qui veulent un ecosysteme unifie.
SSL gere par CDN et cloud
Ces fournisseurs gerent les certificats pour vous — mais vous ne les possedez pas.
Cloudflare — SSL gratuit dans le cadre du CDN
Cloudflare fournit “Universal SSL” sur son plan gratuit. Mais c’est fondamentalement different d’un certificat telechargeable.
Comment fonctionne reellement le SSL Cloudflare :
Visiteur ──HTTPS──→ Cloudflare Edge ──???──→ Votre serveur d'origine
(Certificat Cloudflare) (peut etre non chiffre !)
La connexion chiffree de vos visiteurs se termine chez Cloudflare, pas sur votre serveur. Cloudflare dechiffre le trafic, le traite (cache, WAF, etc.), puis etablit une connexion separee vers votre origine.
Le probleme : En mode “Flexible” (le defaut pour beaucoup), la connexion Cloudflare→origine est du HTTP en clair. Vos visiteurs voient un cadenas, mais le trafic backend est non chiffre. Utilisez toujours le mode “Full (Strict)” avec un vrai certificat sur votre origine.
Ce que vous n’obtenez pas :
- Un fichier de certificat a telecharger
- Une cle privee que vous controlez
- Un certificat qui fonctionne sans Cloudflare
- La confidentialite vis-a-vis de Cloudflare (ils voient tout le trafic en clair)
- L’utilisation pour des services non-web (e-mail, APIs non derriere Cloudflare)
Ce que vous obtenez :
- Zero gestion de certificats
- Renouvellement automatique
- Protection DDoS, CDN et autres fonctionnalites Cloudflare
- Couverture wildcard
Ideal pour : Les sites deja sur Cloudflare qui acceptent le modele proxy. Pas un remplacement pour un vrai certificat si vous voulez un chiffrement de bout en bout ou la portabilite. Comparaison complete →
AWS Certificate Manager (ACM) — Pour les services AWS uniquement
ACM fournit des certificats gratuits pour les load balancers AWS (ALB/NLB), CloudFront et API Gateway.
Limitation cle : Vous ne pouvez pas telecharger la cle privee. Les certificats ACM ne fonctionnent qu’avec les services geres par AWS — pas directement sur EC2 ou tout serveur non-AWS. Guide complet SSL AWS →
Outils web (prudence requise)
SSL For Free — Commodite au prix de la confidentialite
SSL For Free etait un outil web simple pour obtenir des certificats Let’s Encrypt. Il appartient maintenant a ZeroSSL/Sectigo et redirige vers ZeroSSL.
⚠️ Probleme critique de confidentialite : L’interface web de SSL For Free generait votre cle privee sur leur serveur et vous l’envoyait. Cela signifie qu’ils avaient acces a votre cle privee — la seule chose qui devrait rester secrete. Si leurs systemes etaient compromis, chaque cle qu’ils ont generee pourrait etre compromise.
C’est la difference fondamentale entre SSL For Free et GetHTTPS : GetHTTPS genere la cle dans votre navigateur avec la Web Crypto API. La cle n’existe que dans la memoire de votre navigateur jusqu’a ce que vous la telechargiez. Aucun serveur ne la voit jamais. Comparaison detaillee →
Hebergeurs avec SSL inclus
La plupart des hebergeurs modernes incluent le SSL gratuit — generalement Let’s Encrypt via AutoSSL ou leur propre integration :
| Hebergeur | SSL gratuit | Wildcard | Renouvellement auto | Comment activer |
|---|---|---|---|---|
| Hostinger | ✅ Let’s Encrypt | ✅ | ✅ | hPanel → Securite → SSL |
| SiteGround | ✅ Let’s Encrypt | ✅ | ✅ | Site Tools → Securite → SSL |
| Bluehost | ✅ Let’s Encrypt | ❌ | ✅ | My Sites → Security |
| Namecheap | ✅ AutoSSL | ❌ | ✅ | cPanel → SSL/TLS Status |
| A2 Hosting | ✅ Let’s Encrypt | ✅ | ✅ | cPanel → SSL/TLS |
| DreamHost | ✅ Let’s Encrypt | ✅ | ✅ | Panel → Secure Hosting |
| DigitalOcean | ❌ | — | — | Utilisez GetHTTPS ou Certbot |
| Hetzner | ❌ | — | — | Utilisez GetHTTPS ou Certbot |
| Vultr | ❌ | — | — | Utilisez GetHTTPS ou Certbot |
Si votre hebergeur inclut le SSL gratuit — utilisez-le. C’est la voie de moindre resistance.
Si votre hebergeur ne l’inclut pas (DigitalOcean, Hetzner, Vultr, Linode ou tout VPS) — utilisez GetHTTPS pour un certificat rapide ou Certbot pour le renouvellement automatique.
La dimension confidentialite : ou est votre cle privee ?
Voici la comparaison qu’aucun autre article “meilleur SSL gratuit” ne fait — et c’est la question de securite la plus importante :
| Fournisseur | Ou la cle privee est-elle generee ? | Qui a acces ? | Niveau de risque |
|---|---|---|---|
| GetHTTPS | Votre navigateur (Web Crypto API) | Vous uniquement | ✅ Le plus bas |
| Certbot / acme.sh | Votre serveur (OpenSSL) | Vous + quiconque a root | ✅ Normal |
| Let’s Encrypt (tout client) | Depend du client — voir ci-dessus | Depend du client | Variable |
| ZeroSSL (client ACME) | Votre serveur | Vous + root | ✅ Normal |
| ZeroSSL (tableau de bord web) | Serveur de ZeroSSL | ZeroSSL + vous | ⚠️ Plus eleve |
| SSL For Free (web) | Leur serveur | SSLForFree + vous | ⚠️ Plus eleve |
| Cloudflare | Infrastructure de Cloudflare | Cloudflare | ⚠️ Vous ne l’avez pas |
| AWS ACM | Infrastructure AWS | AWS | ⚠️ Vous ne l’avez pas |
| Hebergeur AutoSSL | Votre serveur d’hebergement | Hebergeur + vous | ✅ Normal |
Pourquoi c’est important : Votre cle privee est le fondement de la securite de votre certificat. Si quelqu’un d’autre la possede, il peut usurper l’identite de votre site web. La plupart des comparaisons de “fournisseurs SSL gratuits” ignorent completement cet aspect.
Matrice de decision
| Votre situation | Recommande | Pourquoi |
|---|---|---|
| La plupart des sites web | Let’s Encrypt via GetHTTPS | Pas de limites, meilleure confidentialite, fonctionne partout |
| Renouvellement auto necessaire | Let’s Encrypt via Certbot | Configurer une fois, oublier pour toujours |
| Hebergement mutualise avec cPanel | AutoSSL de votre hebergeur | Deja present, zero effort |
| Deja sur Cloudflare | Cloudflare + certificat d’origine de GetHTTPS | Avantages CDN + vrai chiffrement d’origine |
| Deja sur AWS | ACM pour ALB/CloudFront + GetHTTPS pour EC2 | ACM est gratuit et se renouvelle auto |
| Validite plus longue souhaitee | Buypass Go via Certbot | 180 jours vs 90 |
| 1-3 certificats rapides avec tableau de bord | ZeroSSL | Interface web, validation par e-mail |
| Sensible a la confidentialite | Let’s Encrypt via GetHTTPS | La cle ne quitte jamais votre navigateur |
| Utilisateurs Google Cloud | Google Trust Services | Integration native |
Notre recommandation
Pour la plupart des sites web : Let’s Encrypt est le gagnant incontestable.
- 63,9 % de part de marche mondiale — le standard prouve
- Pas de limites, pas de ventes incitatives, pas de conditions
- Ecosysteme d’outils massif
Utilisez GetHTTPS comme client si vous voulez :
- Zero installation (navigateur uniquement)
- Cle privee generee localement dans votre navigateur
- Connexion directe a Let’s Encrypt, sans intermediaire
- Verification prealable avant la soumission du challenge
Evitez les outils qui generent votre cle privee sur leur serveur. Si le fournisseur d’outil a votre cle, le chiffrement est brise a la racine.
Questions frequemment posees
Les certificats SSL gratuits sont-ils aussi securises que les payants ?
Oui. Tous les certificats SSL — gratuits ou payants — utilisent le meme chiffrement TLS. Un certificat DV gratuit de Let’s Encrypt offre une force de chiffrement identique a un certificat EV a $500. La difference reside dans le niveau de validation d’identite (DV/OV/EV), pas dans le chiffrement. Comparaison complete →
Pourquoi certains fournisseurs limitent-ils les certificats gratuits a 3 ?
Modele economique. Les CA commerciales (ZeroSSL/Sectigo) utilisent l’offre gratuite comme entonnoir marketing pour les plans payants. Let’s Encrypt, en tant qu’organisation a but non lucratif, n’a aucune incitation a limiter l’emission.
Le SSL Cloudflare est-il un “vrai” certificat ?
Cloudflare emet un vrai certificat pour votre domaine — mais il reside sur les serveurs de Cloudflare, pas les votres. Vos visiteurs obtiennent des connexions chiffrees vers Cloudflare, mais la connexion entre Cloudflare et votre origine est separee (et peut etre non chiffree en mode “Flexible”). Vous ne possedez ni ne controlez le certificat. Details →
Que se passe-t-il quand la validite passe a 47 jours en 2029 ?
Le CA/Browser Forum a vote pour reduire la validite maximale a 47 jours. Cela affecte tous les fournisseurs de maniere egale. Le renouvellement automatique (Certbot, acme.sh, AutoSSL de l’hebergeur) devient incontournable. Pour les workflows manuels (GetHTTPS), vous renouvellerez environ tous les 30 jours.
Puis-je utiliser plusieurs fournisseurs en meme temps ?
Oui. Vous pourriez utiliser Let’s Encrypt pour votre site principal, Cloudflare pour une propriete fronted par CDN et ACM pour un load balancer AWS. Les certificats de differentes CA ne sont pas en conflit.
Quel fournisseur gratuit est le meilleur pour WordPress ?
Le SSL integre de votre hebergeur est le plus simple. Si votre hebergeur ne l’inclut pas, utilisez GetHTTPS pour obtenir un certificat Let’s Encrypt et installez-le via cPanel. Guide complet SSL WordPress →
Comment changer de fournisseur ?
Generez un nouveau certificat aupres du nouveau fournisseur et remplacez les fichiers sur votre serveur. Pas de migration, pas de coordination avec l’ancien fournisseur. Les certificats sont independants — remplacer l’un par l’autre revient simplement a echanger des fichiers.
Let’s Encrypt est-il suffisamment fiable pour la production ?
Oui. Let’s Encrypt dessert 63,9 % du marche et est soutenu par une organisation a but non lucratif bien financee (ISRG) avec des sponsors dont Google, Mozilla, Meta et Cisco. De grandes entreprises, des gouvernements et des millions de sites de production s’y fient. C’est financierement plus stable que de nombreuses CA commerciales.