En 2015, la plupart des experts vous auraient conseiller sans hésiter d’acheter un certificat SSL à validation étendue (EV). À l’époque, ces certificats changeaient la couleur de la barre d’adresse en vert dans le navigateur. Ils affichaient aussi le nom légal de l’entreprise dans la barre URL et montraient un cadenas visible confirmant l’authenticité d’un site. Ces signaux de confiances pouvaient alors augmenter la confiance des visiteurs.
Nous ne sommes toutefois plus en 2015. Et en 2025, les certificats SSL EV ont désormais perdu beaucoup de leur attrait passé. Aujourd’hui, payer pour un certificat aussi dispendieux est parfois comparé à acheter des toilettes en or. L’efficacité est exactement la même, mais le coût est beaucoup plus élevé.
Dans cet article, nous aborderons brièvement l’histoire des certificats SSL de validation étendue. Nous aborderons leurs avantages passés, l’évolution de ceux-ci, et la situation telle qu’elle se présente à l’heure actuelle. Vous pourrez ainsi comprendre pourquoi les certificats SSL sont très rarement recommandés de nos jour.
Quel rôle jouaient les certificats SSL EV par le passé?
Les certificats de validation de domaine (DV) sont en quelque sorte devenu une mesure de sécurité numérique de base. Ils ne vérifient que la propriété légitime du domaine lié au site web. Tout le monde peut donc obtenir facilement l’un de ces certificats basiques.
Il existe toutefois d’autres types de certificats, validant plus que le seul nom de domaine. On peut notamment penser aux SSL OV, qui valident l’organisation ou l’entreprise liée au site web. Ceux-ci sont souvent requis pour permettre les paiements par carte sur les sites e-commerce.
Les certificats SSL EV vont encore plus loin, et valident une foule d’informations clés. La “validation étendue” liée au SSL nécessite une vérification commerciale approfondie. Elle nécessite des documents juridiques, des appels téléphoniques, la confirmation de l’adresse physique, ainsi que la preuve que l’entreprise est réelle et opérationnelle.
Le processus est assez long et laborieux, s’étendant souvent sur quelques semaines. Il implique aussi une vérification humaine à chaque étape pour s’assurer de la légitimité des informations. Le bénéfice qu’apportaient tous ses efforts était de voir des signaux de confiance s’afficher dans le navigateur web des internautes. Ceux-ci contribuait alors évidemment à l’image de marque des entreprises.
Qu’est-ce qui fait des certificats SSL EV un mauvais choix en 2025 ?
Comme nous venons de l’évoquer, le principal avantage des certificats EV était les indicateurs visuels s’affichant sur Chrome, Firefox, et compagnie. Ces navigateurs étaient alors la force motrice qui les propulsait, avant de devenir la cause de leur désuétude.
Ceux-ci ont graduellement changer leur approches face à l’ensemble des certificats, poussant ainsi les SSL EV vers la porte de sortie.
Les changements qui ont tué les certificats SSL EV
Au cours des années 2015 à 2017, les certificats SSL se sont imposés comme la nouvelle norme pour les sites web. L’icône du cadenas est alors devenue une attente, plutôt qu’un signal de confiance. La vaste majorité des sites affichaient ainsi ces informations à coté de la barre d’adresse.
Pour éliminer la redondance, Chrome a supprimé la barre URL de couleur verte en 2018. Google a également remplacé l’icône de cadenas par l’icône actuel en 2023, évoquant le fait que le cadenas “procurait un faux sentiment de sécurité aux internautes”. Firefox a pour sa part, éliminé les indicateurs de confiance en 2019, et les autres navigateurs ont suivi.
La stratégie derrière ce changement visait à changer d’approche, pour désormais cibler dont les données n’était pas chiffées. Tout site web sans certificat SSL valide est depuis ce temps marqué comme étant « Non sécurisé », et un avertissement s’affiche quand un internaute veut y accéder.
Il est désormais nécessaire d’ignorer les risques et de cliquer sur « Continuer vers le site de toute façon (dangereux) » avant de pouvoir consulter un tel site web.
Avec ce changement d’approche, le principal avantage des certificats SSL EV s’est évaporé. Plusieurs autorités de certifications continuent néanmoins de les proposer en faisant comme si rien n’avait changé. Ces entreprises continuent souvent de mettre de l’avant les signaux de confiance, que les moteurs de recherche ont pourtant jugés contre-productifs.
Les navigateurs ont jugé que la validation étendue ne remplissait pas le rôle espéré
La suppression des indices visuels à coté de la barre n’était pas une décision purement arbitraire. Elle était étayée par des recherches et basées sur une vaste quantité de données.
Les nombreux avantages présentés par les certificats SSL semblaient incontestables, en théorie. En pratique, la validation étendue s’est avéré beaucoup moins efficace et utile que prévu.
L’équipe de sécurité de Google a étudié des données s’étalant sur des années pour voir si cette vérification coûteuse offrait de réels avantages en matière de sécurité. Ils ont alors constaté que les signaux n’avaient pas l’effet escompté.
Les internautes ne prenaient pas des décisions différentes en fonction du fait que les indicateurs de sécurité soient présents ou absents. Et l’équipe de Google n’est pas la seul à avoir observé cette réalité. Mozilla a tiré des conclusions similaires après avoir effectué ses propres recherches.
La conclusion de ces recherches était que les dépenses sur les certificats EV ne se sont pas traduites par une meilleure protection contre les menaces réelles. Tous ces efforts n’ont pas réussi à lutter contre le phishing ou les sites web malveillants.
La majorité des utilisateurs ne voient simplement plus les informations sur les certificats SSL
Le version Chrome 77 et Firefox 70 ont été publiés en 2018. Depuis celles-ci, les dernières informations associées au certificats SSL EV étaient désormais cachées.
Google les alors été placé sous l’icône de fréquence à la gauche de la barre d’adresse. Les utilisateurs doivent dont cliquer pour afficher l’ensemble des détails du certificat. Ils peuvent alors trouver le nom de l’entreprise, le statut de validation étendue, les informations commerciales vérifiées.
Firefox a pour sa part maintenu l’icone de cadenas, mais a retiré les autres signaux, et y a également dissimulé les informations.
Ces changement ont simplifié la barre d’adresse, en réduisant la quantité d’information qui s’affiche. En conséquence, la majorité des utilisateurs ne voient toutefois jamais les signaux de confiance qui pourraient justifié le prix important des certificats SSL EV.
Les certificats sont tous pratiquement équivalents, et fournissent un chiffrement identique
Le travail d’un certificat SSL est de chiffrer les données échangées entre le navigateur d’un visiteur et le serveur hébergeant un site web. Cette mesure complique grandement la tâche de potentiels acteurs malveillants voulant espionner les données. Même si elles sont intercepter, le cryptage élaboré les rend impossibles à exploiter.
N’importe quel certificat SSL peut chiffrer les données de la même manière. Il est toutefois fortement recommandé d’éviter les SSL auto-signés, dont la sécurité est souvent défaillante. Des options gratuites de bonne qualité sont facilement accessibles et disponibles sur le marché.
Les algorithmes de chiffrement de presque tous les SSL chiffrement sont identiques. Il s’agit de RSA-2048 pour l’échange de clés, de SHA-256 pour les signatures numériques, et de AES pour le chiffrement symétrique.
Le navigateur et le serveur échange donc les données à travers exactement le même tunnel sécurisé. Et ce, quelle que soit l’autorité de certification qui a émis le certificat ou le montant payé pour celui-ci.
En certificat SSL DV gratuit ou un certificat de validation étendue à 500 $ offrent donc exactement la même sécurité pour vos données et celles de vos utilisateurs. Si vous choisissez un certificat SSL EV, vous payez donc pour des formalités administratives supplémentaires, sans obtenir de véritables bénéfices en retour.
Quelle sont les meilleures options de certificat SSL en 2025 ?
Let’s Encrypt a complètement bouleversé le marché SSL au cours des dernières années. L’organisation commencé à proposer des certificats gratuits, automatisés et tout aussi sécurisés que les alternatives coûteuses. Tout propriétaire de nom de domaine peut donc obtenir un certificat SSL sans frais.
La vaste majorité des hébergeurs web ont rapidement intégré les solutions offertes par Let’s Encrypt. Ils pouvaient ainsi permettre à leurs clients de bénéficier de certificats SSL gratuits, ce qui augmentait la sécurité de leurs données.
Quelques hébergeurs se sont toutefois montrés plus récalcitrants face à ce changement, car ils tiraient profits de la vente de SSL. C’est notamment le cas de GoDaddy, qui a dû être contraint par les autorités américaines à offrir cette protection.
Let’s Encrypt domine le marché pour de bonnes raisons
Let’s Encrypt est une autorité de certification SSL à but non lucratif. Elle est gérée par le Groupe de recherche sur la sécurité Internet (ISRG), une société à but non lucratif d’utilité publique. L’IRSG est soutenu par des entreprises et organisations importantes comme Amazon, Google, Mozilla, OVH et l’Université du Michigan.
Let’s Encrypt est le principal fournisseur gratuit de certificats de validation de domaine. Le groupe contrôle donc 63% du marché mondial des certificats SSL. Le reste du marché est partagé entre d’autres fournisseurs SSL comme Sectigo, DigiCert et GoDaddy.
L’entreprise a émis plus d’un milliard de certificats de 21018 à 2020. Le rythme auquel ceux-ci sont émis a toutefois fortement augmenté depuis ce temps. À l’heure actuelle, Let’s Encrypt émet ainsi plus de 7 millions de nouveaux certificats par jour. Cela représente plus de 2,5 milliards de SSL par an!
L’automatisation surpasse désormais les processus manuels
L’industrie des SSL a longtemps vendu des certificats coûteux, exigent des processus de vérification manuelle s’étendant sur des jours ou des semaines. Let’s Encrypt a bouleversé le marché en introduisant un niveau élevé d’automatisation et d’efficacité.
Le protocole ACME permet désormais d’émettre, d’installer et de renouveler des certificats sans intervention humaine. Le tout se fait en quelques minutes, plutôt qu’en plusieurs jours.
Cette automatisation du processus de validation a permis d’assurer davantage de sécurité et de commodité. Grâce à elle, les autorités de certification SSL peuvent désormais utiliser des certificats à durée de vie plus courte. Les durée d’un an ou deux comme on voyait jadis sont désormais dépassées.
Aujourd’hui, même si un attaquant accède à la clé privée d’une autorité, elle ne sera valable que pendant une courte durée, souvent 90 jours. Après cette date, une nouvelle clé est générée et les clés précédentes sont reconnues comme invalides.
Cette période moyenne de 90 jours est déjà perçue comme trop longue par plusieurs. Les principaux fournisseurs de SSL prennent déjà des mesures pour réduire cette durée de manière importante.
Les durées de vie courtes rendent la vérification manuelle presque impossible
L’industrie de la certification SSL se dirige vers des périodes de validité de plus en plus courtes. La durée de vie maximale permise sera d’abord fixée 200 jours d’ici 2026. Elle sera ensuite réduite à 100 jours dès 2027, avant de descendre à 47 jours d’ici 2029.
Il devient donc clair qu’il sera impossible de traverser le processus de vérification manuelle des certificats SSL EV tous les 47 jours. Fournir les documents juridiques, participer aux entrevues téléphoniques, effectuer la vérification commerciale, etc. Le temps et frais généraux administratifs nécessaires deviendraient écrasants, rendant ces SSL inutiles, voire étouffants.
Cette évolution, combinée aux facteurs cités précédemment, explique pourquoi il n’y a que 21 000 sites web protégés par un certificat SSL EV à l’heure actuelle. C’est un pourcentage infime des près de 200 000 millions de sites web actifs, et du 1,5 milliards de sites totaux qui forment le web.
Les certificats SSL de validation de domaine (DV) ou d’organisation (OV) sont généralement suffisants
Les certificats de validation de domaine gratuits de Let’s Encrypt offrent plusieurs avantages par rapport aux certificats SSL EV beaucoup plus coûteux. Parmi ceux-ci, on peut notamment mentionner les éléments suivants:
- Renouvellement automatique : Le système AutoSSL de Let’s Encrypt vous évite les risques d’interruptions à l’expiration de vos certificats
- Déploiement plus rapide : Est mis en place en quelques minutes, plutôt qu’après une période se comptant en jours ou en semaines
- Cryptage identique : Vos utilisateurs bénéficient de la même sécurité qu’avec un SSL plus dispendieux
- Pas de frais généraux administratifs : Vous n’avez pas besoin de vous occuper de paperasse, d’appels téléphoniques ou de vérification commerciale
- Durable : Parfaitement adaptés pour les durées de vie de plus en plus courtes des certificats
Les certificats SSL DV gratuits comme Let’s Encrypt et CloudFlare offrent le même niveau de protection que les autres certificats. Si c’est tout ce dont vous avez besoin, optez pour un certificat gratuit.
Pour les grandes organisations ou les entreprises de commerce électronique qui ont besoin de sceaux de sécurité pour gagner la confiance, un certificat SSL d’organisation (OV) signé professionnellement peut toutefois être préférable. Ceux-ci valide l’existence et la légitimité de l’organisation associée au site web. Ils sont plus simples à obtenir et moins couteux que les SSL EV.
Est-ce que cela a du sens financièrement de payer pour des certificats EV ?
La valeur économique des certificats SSL EV est extrêmement limité, voire négative, pour la vaste majorité des sites web. Leur coût devient de plus en plus difficile à justifier d’année en année. Il existe néanmoins encore certaines catégorie de sites web pour lesquels ils peuvent être bénéfiques.
Quel cas nécessitent encore un certificat SSL EV ?
Malgré tout ce dont nous avons traité dans cet articles, les certificats de validation étendue ont toujours une certaine utilité. Celle-ci se trouve toutefois de plus en plus restreinte et limitée.
Nous vous présentons donc quelques situations très spécifiques où vous devriez choisir un certificat SSL EV.
- Institutions financières soumises à des exigences réglementaires strictes : certains cadres de conformité, comme PCI DSS ou des réglementations bancaires spécifiques, imposent des certificats spécifiques. Si votre secteur d’activité a des règles qui l’exigent, vous n’avez pas le choix d’utiliser un SSL étendu.
- Signature de code et signature de document : Let’s Encrypt ne délivre que des certificats de validation de domaine. Si vous signez électroniquement des documents ou offrez des téléchargements de logiciels, vous aurez besoin de certificats d’autorités de certification traditionnelles. Dans certain cas, un SSL EV pourrait être nécessaire.
- Politiques d’entreprise nécessitant des types de certificats spécifiques : Certaines grandes entreprises ont des politiques internes rendant obligatoires les certificats EV pour les sites publics. Ces politiques sont souvent davantage motivés par une stratégie de gestion des risques de l’entreprise, que par la sécurité réelle.
- Appareils informatiques hérités : Certains systèmes plus anciens, ne reconnaissent pas les certificats racine de Let’s Encrypt. C’est notamment le cas de certains matériels d’entreprise produit au début des années 2000. Cette contrainte se fait évidemment de plus en plus rare, au fur et à mesure que les anciens systèmes sont remplacés.
Pour la grande majorité des sites web, un certificat EV n’offre aucun bénéfice significatif par rapport aux alternatives gratuites ou moins dispendieuses. Dans la majorité des cas, des alternatives EV ou OV seront nettement plus avantageuses.
Pour conclure sur la place des certificats SSL EV en 2025
Si vous hésitez sur le choix du certificat SSL pour votre site web ou votre domaine de messagerie, on vous recommande de débuter par une solution gratuite de Let’s Encrypt. Ces certificats sans frais sont rapides et faciles à installer, et conviennent à la majorité des utilisateurs.
Si vous possédez un site e-commerce et souhaiter accepter les paiements par carte de crédit, vous devrez peut-être opter pour un certificat OV payant. Il existe toutefois très peu de cas pour lesquels un certificat SSL EV est la meilleur solution. Dans la majorité des cas, les bénéfices très marginaux ne compensent pas les coûts importants et la complexité de la validation.
Nous espérons que cet article vous a plu et vous a éclairé sur les aperçus IA de Google. Si c’est le cas, nous vous invitons à jeter un coup d’œil nos autres articles et comparatifs. Vous y trouverez les informations les plus récentes concernant l’hébergement et la création de sites web.
N’hésitez pas à consulter également nos divers classements des meilleurs hébergeurs web pour chaque catégorie de service.
