Quel certificat SSL pour un site VM3 ?

Bonjour !

Quelqu'un peut-il me dire quel type de certificat SSL il faut privilégier pour un site Virtuemart 3 où les modes de paiement sont PayPal, virement bancaire (hors-site) et mandat postal, donc sans autres informations sensibles sur le site lui-même que les coordonnées et mot de passe des clients ?

Un RapidSSL de Trustico (Geotrust) suffit-il ? Du fait que le site peut être visité via smartphone, faut-il plutôt un QuickSSL Premium ou une autre solution ?
Je suis étonné de l'ampleur de la fourchette de prix selon les offres !

Merci par avance de vos conseils,
Robert

Bonjour
Ta question date un peu, mais elle est super intéressante. Tu as eu des reponses entre temps?

Bonjour,

Après échanges avec Gandi, il apparaît que leur certificat standard suffit pour un site qui ne gère pas lui-même les paiements, mais passe par PayPal ou virement bancaire (fait par le client depuis sa banque), par exemple.
Dans une autre discussion, il est apparu que c'est le certificat Thawte SSL 123 qui serait le plus adapté, en rapport qualité-prix pour ce même type de site.
Les certificats plus onéreux, garantissant par exemple la propriété du nom de domaine, ne sont a priori pas utiles, en tout cas, c'est ce que j'en ai conclu pour ce type de sites.

Le coût mis à part, se posent deux problèmes : tous les hébergements mutualisés ne permettent pas nécessairement de disposer d'un certificat spécifique au site (à son propre nom de domaine), et la mise en place n'est pas forcément simple.
Il semble qu'il n'y ait que chez 1&1 que les choses soient simples puisqu'il suffirait de prendre le complément certificat SSL, avec son abonnement mensuel, pour que le site soit automatiquement protégé. Je n'ai cependant pas testé.

Ceci dit, les études semblent montrer que le gain annoncé - en termes d'amélioration des ventes - est surestimé et qu'on n'aurait au plus que 5% de gain, ce qui, a priori, compensera largement le prix annuel du certificat.

Bonsoir
Merci beaucoup pour cette réponse très complète.

C'est aussi parce que Google veut privilégier les sites en SSL.. mais je ne suis pas sur que ce critère soit vraiment pris en compte encore ..;

C'est aussi pour cette raison que je m'y suis intéressé.
Et je ne suis pas certain moi non plus de la future prise en compte de ce critère...

Bonjour Robert

Oui, mais je lis ici et la, que c'est une exigence et un gage de sécurité du site...
Autant je comprends dans les parties creation et gestion du compte, autant je ne vois pas l'interet dans la la partie navigation dans les pages d'un site...
ma reference googlewebmastercentral.blogspot.fr/2014/...-ranking-signal.html

en plus crypter et decrypter un contenu ralenti une page
et le passage de SSL a non SSL et vice versa est délicat a gerer

C'est bien le problème en effet, et c'est pourquoi je me posais aussi cette question de l’intérêt réel de ce passage en SSL.

D'un côté Google nous somme d'accélérer les sites pour être mieux positionnés, de l'autre il nous demande de les ralentir par ce cryptage/décryptage : il y a une logique qui m'échappe !

Sans compter que pour les tests Page Speed sur GTmetrix, on nous demande de gérer les "expire headers" pour les scripts GA et les Google fonts !

Bonjour,

le sujet n'est pas neuf, mais je me suis intéressé au sujet au printemps dernier, alors voici mes trouvailles.
j'avais creuser la piste de google qui propose de l’innovation "coté serveur" avec la technologie le protocole QUIC.
l'objectif de google est de proposer une alternative à TCP+TSL avec ce nouveau futur protocole (QUIC travaille en UDP).

un article ici :
blog.chromium.org/2015/04/a-quic-update-...es-experimental.html

beaucoups travaillent sur le sujet en voici un exemple :
github.com/devsisters/libquic

des remontées intéressantes avec des chiffres de perfs :
www.connectify.me/blog/taking-google-quic-for-a-test-drive/

en attendant, des bases de travail avec SPDY (pour l’accélération du serveur apache) :
googledevelopers.blogspot.fr/2014/06/mod...-apache-project.html
Attention, c'est à tester sur un serveur de test ou un vps pour l'occasion, ...SURTOUT PAS en prod directement !

Dans le même temps, d'autres (mozilla, cisco et d'autres) travaillent sur la banalisation des certificats, voir même l'automatisation sur les serveurs avec :
letsencrypt.org/

github.com/letsencrypt/letsencrypt

ça bouge sérieusement,

Joomlamicalement, Denis

Bonjour,
Comme j'ai "causé" de letsencrypt il y à quelques temps, je fais le point sur ce certificat gratuit.

j'ai déjà des petits sites e-commerces avec ce type de certificats.
pour la mise en place c'est assez facile sur un serveur Ubuntu ou Debian.

Pour la mise en place avec le panel virtualmin c'est simplifié au max car il y à maintenant une fonction pour installer le certificat letencrypt automatiquement en un clic.

seul problème rencontré, c'est avec admintools qui empêche la validation, mais j'ai trouvé la solution que j'ai posté ici :
www.akeebabackup.com/support/admin-tools...icat-use-urllib.html

il faut simplement enlever "urllib" des user-agents bloqués par le htaccess ...et ça tourne comme une horloge.

@+ denis

Certain logiciel antivirus bloque les certificats gratuits.
Pourquoi?
Les sociétés qui délivrent des certificats sont là majeur partie, recontrôlé par d'autres organismes. Il y a déja eu des compagnies de certification SSL qui se sont fait piraté alors depuis ils prennent pour la plus part des expert externes pour vérifiés que leur serveur non pas de faille.
Cherchez par exemple "SSL comodo hacked" dans google, alors que c'est une des compagnie qui délivre le plus de certificat. Ils ont rectifié le tire depuis, mais c'est pour dire que utilisé un certificat non généré par une compagnie certifié et pire que pas de SSL du tout, car si vous êtes hacké vous pensez être sécurisé. Donc pour un E-commerce achetez le certificat. Pour quelques $, Vous aurez un certificat valide et contrôlé, la seule différence au niveau du prix est la garantie qui n'est pas la même en cas de vols de certificat et le nom de votre site qui apparait pour certain type de certificat.