Les certificats SSL existent en trois niveaux de validation : DV (Domain Validation), OV (Organization Validation) et EV (Extended Validation). Les trois offrent la même force de chiffrement — la différence réside dans la rigueur avec laquelle l’Autorité de Certification vérifie l’identité du demandeur du certificat.
Pour la plupart des sites web, un certificat DV gratuit de Let’s Encrypt est suffisant.
Comparaison rapide
| DV | OV | EV | |
|---|---|---|---|
| Valide | Propriété du domaine uniquement | Domaine + existence de l’organisation | Domaine + audit approfondi de l’organisation |
| Délai d’émission | Minutes (automatisé) | 1-3 jours | 1-2 semaines |
| Chiffrement | Identique | Identique | Identique |
| Prix | Gratuit (Let’s Encrypt) | 50-200 $/an | 100-500 $/an |
| Affichage navigateur | Cadenas | Cadenas | Cadenas (barre verte supprimée en 2019) |
| Nom de l’organisation dans le certificat | Non | Oui | Oui |
| Garantie | Aucune | 10K-250K $ | 250K-1,75M $ |
| Wildcard disponible | Oui | Oui | Non |
| Idéal pour | 90%+ des sites web | Conformité entreprise | Industries réglementées |
Domain Validation (DV)
Les certificats DV vérifient uniquement que vous contrôlez le domaine. La CA le vérifie automatiquement via :
- Challenge HTTP-01 — placer un fichier sur votre serveur
- Challenge DNS-01 — ajouter un enregistrement TXT à votre DNS
- Validation par e-mail — répondre à un e-mail envoyé à admin@yourdomain.com
Pas de paperasse, pas d’appels téléphoniques, pas d’attente. L’émission prend quelques minutes.
Qui émet des DV gratuitement :
- Let’s Encrypt — via GetHTTPS, Certbot, acme.sh
- Buypass Go — validité de 180 jours
- Google Trust Services — via ACME
Le DV est suffisant pour :
- Sites personnels et blogs
- Applications SaaS et APIs
- E-commerce (PCI DSS accepte les DV)
- Startups et petites entreprises
- Outils internes
- Environnements de staging/développement
Organization Validation (OV)
Les certificats OV vérifient la propriété du domaine plus l’identité juridique de l’organisation. La CA vérifie :
- Le contrôle du domaine (comme pour le DV)
- L’organisation existe dans les registres gouvernementaux
- Vérification de l’adresse physique
- Appel téléphonique de vérification
Les certificats OV incluent le nom juridique de l’organisation dans les métadonnées du certificat. Cependant, les navigateurs modernes ne montrent aucune différence visuelle entre DV et OV — les utilisateurs voient le même cadenas.
Quand vous pourriez avoir besoin d’un OV :
- Processus d’achat d’entreprise qui exige spécifiquement un OV
- Cadres de conformité qui imposent l’identité organisationnelle dans les certificats
- Politique interne de l’entreprise exigeant un OV
Extended Validation (EV)
Les certificats EV nécessitent la vérification la plus approfondie :
- Tout ce qui est dans l’OV
- Vérification de l’existence opérationnelle de l’organisation (pas seulement juridique)
- Vérification de l’adresse physique
- Vérification de l’autorité du demandeur à demander le certificat
- Renouvellement annuel de toutes les étapes de vérification
La barre verte a disparu. Chrome a supprimé la barre d’adresse verte EV en 2019 (version 77). Firefox a suivi. Il n’y a désormais aucune distinction visuelle entre DV, OV et EV dans aucun navigateur majeur. Les utilisateurs ne peuvent pas faire la différence.
Quand vous pourriez avoir besoin d’un EV :
- Exigence réglementaire spécifique (vérifiez la réglementation réelle — beaucoup supposent que l’EV est requis alors que ce n’est pas le cas)
- Certaines institutions financières l’exigent pour la conformité
- Rarement justifié pour des raisons techniques ou de sécurité
Arbre de décision
Avez-vous une exigence de conformité spécifique imposant l'OV ou l'EV ?
├── Oui → Obtenez un OV ou EV auprès d'une CA commerciale
└── Non → Y a-t-il une politique d'achat exigeant l'identité de l'organisation dans le certificat ?
├── Oui → Obtenez un OV
└── Non → Le DV est suffisant → Obtenez-en un gratuit de Let's Encrypt
94,3 % de tous les certificats SSL sont des DV. Le marché a parlé.
Idées reçues courantes
“L’EV est plus sécurisé que le DV.” Faux. Les trois types utilisent un chiffrement identique. Un certificat DV de Let’s Encrypt fournit la même protection TLS qu’un certificat EV à 500 $ de DigiCert. Le chiffrement ne connaît ni ne se soucie du niveau de validation.
“Les sites e-commerce ont besoin d’un EV.” PCI DSS (le standard de l’industrie des cartes de paiement) exige le chiffrement, pas un niveau de validation spécifique. Les certificats DV répondent aux exigences PCI. Votre processeur de paiement (Stripe, PayPal) gère de toute façon les parties les plus sensibles.
“Les utilisateurs font plus confiance aux sites EV.” Puisque les navigateurs ne montrent plus aucune différence visuelle (plus de barre verte depuis 2019), les utilisateurs ne peuvent pas distinguer l’EV du DV. Des études ont montré que la plupart des utilisateurs n’avaient jamais remarqué la barre verte, même quand elle existait.
Questions fréquemment posées
Google classe-t-il les sites EV plus haut que les DV ?
Non. Google a confirmé que le type de certificat SSL n’affecte pas le classement dans les recherches. Tout certificat HTTPS valide fournit le même signal SEO.
Puis-je passer d’un DV à un OV plus tard ?
Oui. Achetez un certificat OV auprès d’une CA commerciale et remplacez les fichiers sur votre serveur. Aucune migration ni temps d’arrêt nécessaire.
Pourquoi les CA commerciales poussent-elles l’EV ?
Le chiffre d’affaires. Les certificats EV coûtent 100-500 $/an contre 0 $ pour un DV de Let’s Encrypt. Le marketing des CA met l’accent sur la confiance et la garantie, mais le chiffrement est identique et la barre verte a disparu.
Qu’en est-il de la garantie des certificats payants ?
Les garanties de certificats couvrent les dommages si la CA émet un certificat à la mauvaise partie (mauvaise émission). Elles ne vous couvrent PAS si votre site est piraté. En pratique, les réclamations de garantie sont extrêmement rares et ont des conditions strictes. Aucun paiement de garantie significatif n’a jamais été publiquement documenté.