En juin 2026, Let’s Encrypt sécurise 762 millions de sites web et émet 10 millions de certificats SSL par jour, gratuitement. Pendant ce temps, les autorités de certification commerciales continuent de facturer entre 4€ et 1 500€ par an pour des certificats dont le chiffrement est, techniquement, identique. Ce comparatif répond à une question que se posent des milliers de développeurs, sysadmins et DSI chaque mois : un certificat SSL gratuit est-il vraiment suffisant, ou faut-il payer ?
La réponse dépend de votre contexte, et elle est plus nuancée qu’un simple “gratuit suffit”. Le CA/Browser Forum a officialisé en février 2026 une durée de validité maximale de 199 jours pour tous les certificats TLS publics, ce qui rapproche encore les deux mondes. Voici ce que ce comparatif révèle, chiffres à l’appui.
Tableau de comparaison : Let’s Encrypt vs certificats SSL payants
Avant d’entrer dans les détails, voici une vue synthétique des différences essentielles entre un certificat SSL gratuit (Let’s Encrypt, Cloudflare) et les offres payantes des principales autorités de certification.
| Critère | Let’s Encrypt (gratuit) | SSL payant (DV) | SSL payant (OV) | SSL payant (EV) |
|---|---|---|---|---|
| Prix annuel | 0€ | 4€ – 45€/an | 35€ – 110€/an | 55€ – 170€/an |
| Validation | Domaine uniquement (DV) | Domaine uniquement (DV) | Domaine + organisation | Identité étendue (16 vérifications) |
| Durée de validité | 90 jours | 90 à 199 jours (2026) | 90 à 199 jours | 90 à 199 jours |
| Certificat wildcard | Oui, gratuit | Oui, 45€ – 180€/an | Oui, 60€ – 200€/an | Limité, 150€+/an |
| Chiffrement | RSA 2048 bits / ECDSA P-256 | Identique | Identique | Identique |
| Automatisation ACME | Natif (Certbot, acme.sh) | Partielle | Partielle | Non (validation manuelle) |
| Support | Forums communautaires | Email / ticket | Email + téléphone | SLA contractuel |
| Compatibilité navigateurs | 99,9% (depuis 2021) | 99,9% | 99,9% | 99,9% |
| Indicateur EV dans Chrome | N/A | N/A | N/A | Supprimé depuis 2018 |
| Limite de débit | 5 certs/domaine/semaine | Aucune | Aucune | Aucune |
| Garantie financière | Aucune | Variable selon prestataire | Variable selon prestataire | Jusqu’à 1,75 M$ (DigiCert) |
| Certificate Transparency | Obligatoire | Obligatoire | Obligatoire | Obligatoire |
Let’s Encrypt en 2026 : l’essor du certificat SSL gratuit
Lancé en 2015 par l’Internet Security Research Group (ISRG), Let’s Encrypt a atteint en 2025 un jalon historique : 762 millions de sites sécurisés, contre 492 millions l’année précédente, soit une progression de 55% en un an. À ce rythme, le milliard de sites actifs est prévu courant 2026. Ces chiffres classent Let’s Encrypt comme la première autorité de certification du monde par volume, loin devant tous ses concurrents commerciaux.
W3Techs confirme cette domination : Let’s Encrypt représente 63,7% des parts de marché parmi les certificats SSL connus, devant GlobalSign (22,4%) et Sectigo (5,9%). En cumulé depuis sa création, l’ISRG a émis plus de 7 milliards de certificats, au rythme actuel de 10 millions par jour. Pour rappel, ces certificats sont entièrement gratuits, et leur niveau de chiffrement est techniquement identique à celui des offres payantes les plus chères.
La popularité de Let’s Encrypt s’explique par trois facteurs structurels. D’abord, l’automatisation totale via le protocole ACME (Automatic Certificate Management Environment), pris en charge nativement par Nginx, Apache, Caddy et la plupart des hébergeurs. Ensuite, la gratuité absolue, sans période d’essai ni limitation fonctionnelle. Enfin, la confiance universelle : depuis 2021, le certificat racine ISRG Root X1 est intégré directement dans tous les navigateurs et systèmes d’exploitation majeurs, y compris les versions Android antérieures à 7.1 qui dépendaient auparavant d’une chaîne croisée avec IdenTrust.
Un chiffre révélateur : selon TechnologyChecker, 83,2% des domaines qui utilisent Let’s Encrypt appartiennent à des organisations de moins de 10 employés. Cela signifie que le choix Let’s Encrypt est souvent un choix par défaut, activé automatiquement par le panneau de contrôle de l’hébergeur, et non une décision consciente de l’équipe technique. Cette “adoption infrastructurelle” accélère encore la progression des chiffres.
Let’s Encrypt supporte deux méthodes de validation de domaine : HTTP-01 (fichier déposé sur le serveur) et DNS-01 (enregistrement TXT dans la zone DNS), ce dernier étant obligatoire pour les certificats wildcard. La limite technique principale reste le débit : 5 certificats par domaine et par semaine, ce qui peut bloquer des déploiements CI/CD intensifs sans optimisation préalable.
Depuis sa création, Let’s Encrypt a bénéficié du soutien financier de Google, Mozilla, Cisco, Akamai et de l’EFF. Son modèle de financement par dons et sponsors lui permet de maintenir une infrastructure qui émet 10 millions de certificats par jour sans facturer les utilisateurs. Cette structure à but non lucratif est l’un des fondements de la confiance que lui accordent les grandes plateformes.
Les certificats SSL payants : DV, OV et EV décryptés
Le marché des certificats SSL payants se structure autour de trois niveaux de validation, qui ont des implications très différentes selon le cas d’usage.
DV : validation de domaine uniquement
Le certificat DV (Domain Validation) vérifie uniquement que le demandeur contrôle le domaine concerné. Le processus est automatisé et ne prend que quelques minutes. Sur le plan cryptographique, un certificat DV payant de Namecheap à 4€/an est strictement identique à un certificat Let’s Encrypt. Les deux utilisent le même chiffrement TLS, la même résistance aux attaques, et affichent le même cadenas dans le navigateur. Payer pour un DV ne procure aucun avantage de sécurité mesurable par rapport à Let’s Encrypt.
Les DV payants présentent néanmoins quelques avantages opérationnels dans des cas spécifiques : absence de limitation de débit (contrairement aux 5 certificats/domaine/semaine de Let’s Encrypt), support commercial en cas de problème de validation, et compatibilité avec certains environnements où l’accès à l’API Let’s Encrypt est bloqué par un pare-feu ou un proxy d’entreprise.
OV : validation de l’organisation
Le certificat OV (Organization Validation) exige de l’autorité de certification qu’elle vérifie l’existence légale de l’organisation demandeuse, son adresse et son numéro de téléphone actif. Cette vérification prend 1 à 3 jours ouvrables. Le certificat OV peut contenir le nom de l’organisation dans ses métadonnées, visible en cliquant sur le cadenas dans certains navigateurs. Il est préféré par les entreprises qui souhaitent afficher une identité vérifiée sans passer par le processus EV complet.
Le certificat OV est souvent exigé dans les cahiers des charges d’appels d’offre publics en France, notamment pour les collectivités territoriales et les établissements publics. L’ANSSI recommande ce niveau de validation pour les services numériques qui traitent des données sensibles non-personnelles mais stratégiques, comme les systèmes de gestion documentaire ou les portails fournisseurs.
EV : validation étendue, usage en déclin rapide
Le certificat EV (Extended Validation) impose 16 vérifications d’identité supplémentaires, incluant la documentation légale, les droits de marque et la confirmation d’une ligne téléphonique opérationnelle. Il représente le niveau de confiance maximal offert par une autorité de certification. Cependant, son utilité pratique a fortement chuté depuis 2018, quand Chrome, puis Safari, ont supprimé l’indicateur visuel “barre verte” qui distinguait les sites EV. Aujourd’hui, les certificats EV ne représentent plus que 1 à 2% des certificats HTTPS actifs, en baisse constante. Le coût justifié d’un EV se réduit désormais à des obligations contractuelles spécifiques.
Tableau des prix SSL 2026 : de 0€ à 1 500€ par an
Le marché des certificats SSL payants présente une dispersion de prix considérable. Les offres promotionnelles des hébergeurs masquent souvent les tarifs de renouvellement bien plus élevés. Voici les prix réels constatés en 2026.
| Autorité / Produit | DV (1 domaine) | OV (1 domaine) | EV (1 domaine) | Wildcard DV |
|---|---|---|---|---|
| Let’s Encrypt | 0€ | Non disponible | Non disponible | 0€ |
| Cloudflare SSL | 0€ (DV auto) | Via plan Business | Certificat fourni par l’utilisateur | 0€ |
| Sectigo (Comodo) | 4€ – 27€/an | 27€ – 83€/an | 45€ – 128€/an | 32€ – 49€/an |
| DigiCert | Via revendeurs | 155€ – 825€/an | 914€ – 1 056€/an | 825€ – 1 434€/an |
| GlobalSign | 4€ – 28€/an | 36€ – 91€/an | 45€ – 138€/an | 46€ – 138€/an |
| GoDaddy SSL | 0,91€ – 9€/an (promo 1re année) | 55€ – 91€/an | 91€ – 138€/an | 64€ – 138€/an |
| Namecheap | 0,91€ – 8€/an | 32€ – 87€/an | 46€ – 128€/an | 32€ – 49€/an |
Point d’attention sur les prix GoDaddy : les tarifs promotionnels de première année (souvent inférieurs à 1€) sont des offres d’appel. Le renouvellement revient à 30€ – 40€/an pour un DV standard. Les tarifs DigiCert s’adressent principalement aux grands comptes, via des contrats pluriannuels négociés incluant une garantie financière pouvant atteindre 1,75 million de dollars. Pour un développeur ou une PME, Sectigo et GlobalSign offrent les meilleurs rapports qualité/prix parmi les certificats payants.
Sécurité et chiffrement : gratuit est-il vraiment égal à payant ?
La question que se posent le plus souvent les décideurs : un certificat SSL gratuit est-il moins sécurisé ? La réponse courte est non, et les détails sont importants à comprendre.
Tous les certificats TLS publics, qu’ils proviennent de Let’s Encrypt ou de DigiCert, utilisent les mêmes algorithmes cryptographiques approuvés par le CA/Browser Forum. Let’s Encrypt délivre des certificats RSA 2048 bits ou ECDSA P-256, les deux options considérées comme sûres par le NIST pour un horizon de sécurité 2026 – 2030. Le chiffrement en transit entre le navigateur et le serveur est identique, peu importe ce que vous avez payé pour le certificat.
La vraie distinction entre gratuit et payant ne porte pas sur le chiffrement, mais sur l’identité vérifiée. Un certificat DV (qu’il soit gratuit ou payant) prouve uniquement que vous contrôlez le domaine. Il ne dit rien sur qui est la personne ou l’organisation derrière ce domaine. C’est précisément pourquoi des sites de phishing peuvent utiliser des certificats SSL valides, y compris des certificats Let’s Encrypt. Le cadenas dans la barre d’adresse signifie que la connexion est chiffrée, pas que le site est légitime.
Sur le plan de la résistance quantique, ni Let’s Encrypt ni les certificats payants actuels n’offrent encore de protection post-quantique en production. Le NIST a finalisé en 2024 ses standards PQC (CRYSTALS-Kyber pour l’échange de clés, CRYSTALS-Dilithium pour les signatures), mais leur déploiement dans les certificats TLS publics est encore en phase de test pour l’ensemble du secteur. L’ANSSI recommande d’anticiper cette transition d’ici 2030, indépendamment du type de certificat SSL choisi aujourd’hui.
Un point souvent sous-estimé : la durée de vie courte de 90 jours des certificats Let’s Encrypt est un avantage de sécurité, pas un inconvénient. En cas de compromission d’une clé privée, un certificat qui expire dans 45 jours en moyenne limite considérablement la fenêtre d’exposition. Les certificats payants valides pendant 199 jours (le nouveau maximum depuis 2026) exposent potentiellement deux fois plus longtemps. C’est la logique qui a poussé le CA/Browser Forum à réduire les durées de validité, en convergeant vers le modèle de Let’s Encrypt.
Les journaux Certificate Transparency (CT) jouent un rôle clé dans la détection des émissions frauduleuses. En 2025, environ 3,2 milliards de certificats TLS publics ont été enregistrés dans ces logs, avec une moyenne de 8,8 millions de nouveaux enregistrements par jour. Tous les navigateurs modernes exigent que les certificats apparaissent dans au moins deux logs CT indépendants, ce qui s’applique aussi bien à Let’s Encrypt qu’aux certificats commerciaux. Ce système rend la surveillance des abus possible pour n’importe quel domaine, gratuitement, via des outils comme crt.sh.
Certificat SSL wildcard : la victoire du gratuit
Un certificat wildcard SSL couvre un domaine principal et tous ses sous-domaines (*.example.com). Cette fonctionnalité est particulièrement utile pour les services SaaS à architecture multi-tenant, les plateformes e-commerce avec sous-domaines par boutique, ou les applications avec environnements staging/production/dev séparés.
Let’s Encrypt propose des certificats wildcard gratuitement depuis 2018, via la validation DNS-01. Cette méthode nécessite de créer un enregistrement TXT dans la zone DNS du domaine, ce qui exige soit un accès direct à l’API DNS de votre registrar (supporté par acme.sh et Certbot pour AWS Route 53, Cloudflare, OVH, et 150+ autres registrars), soit une intervention manuelle lors du renouvellement tous les 90 jours.
# Obtenir un certificat wildcard avec Certbot et le plugin Cloudflare DNS
certbot certonly \
--dns-cloudflare \
--dns-cloudflare-credentials ~/.secrets/cloudflare.ini \
-d example.com \
-d *.example.com \
--preferred-challenges dns-01
# Le certificat sera valide pour example.com ET tous ses sous-domaines :
# app.example.com, api.example.com, staging.example.com, etc.Les certificats wildcard payants des grands acteurs coûtent entre 32€ et 200€ par an selon le niveau de validation et le fournisseur. DigiCert propose des wildcard OV à partir de 825€/an, un tarif qui ne reflète pas une meilleure sécurité cryptographique mais une garantie financière contractuelle et un support SLA inclus. Sectigo et GlobalSign proposent des wildcard DV autour de 35€ – 50€/an, ce qui reste moins intéressant qu’un wildcard Let’s Encrypt à 0€ pour la quasi-totalité des projets.
La seule situation où un wildcard payant s’impose face à Let’s Encrypt : lorsque la rotation automatique DNS-01 n’est pas possible (registrar sans API ACME, environnement restreint) et que la gestion manuelle tous les 90 jours est trop contraignante. Dans ce cas précis, un wildcard annuel payant réduit la fréquence des interventions manuelles.
Durée de validité SSL : la règle des 199 jours change tout en 2026
Le CA/Browser Forum a officialisé en février 2026 une décision majeure : la durée de validité maximale pour les certificats TLS publics est désormais de 199 jours (environ 6,5 mois). DigiCert a arrêté d’émettre des certificats de 397 jours le 24 février 2026. Les autres grandes autorités de certification ont suivi dans les semaines qui ont suivi. Ce changement redistribue les cartes en réduisant l’avantage traditionnel des certificats payants sur Let’s Encrypt.
L’argument historique des vendeurs de certificats payants (“un certificat payant dure un an, Let’s Encrypt seulement 3 mois, c’est plus simple à gérer”) perd de sa substance quand la durée maximale autorisée tombe à 199 jours, soit un renouvellement tous les 6 mois minimum. Cette évolution rend l’automatisation incontournable pour tous les acteurs, qu’ils utilisent des certificats gratuits ou payants.
La distribution actuelle des durées de validité en 2026 : 75% des certificats actifs expirent dans 90 jours (modèle Let’s Encrypt et Cloudflare), 22% dans les 199 jours impartis par la nouvelle règle, et seulement 3% sur des durées supérieures, principalement des certificats anciens en cours d’expiration naturelle. Le marché converge vers des cycles courts, ce qui représente une victoire du modèle Let’s Encrypt sur le long terme.
Cette évolution vers des cycles courts renforce la nécessité d’une automatisation robuste du renouvellement, quel que soit le certificat choisi. Un certificat payant qui expire tous les 6 mois sans processus automatisé génère autant de friction opérationnelle qu’un certificat Let’s Encrypt renouvelé tous les 90 jours avec Certbot. Les équipes qui refusaient d’automatiser sous prétexte que “le certificat payant dure un an” n’ont plus d’argument technique pour justifier cette approche manuelle.
ACME, Certbot et acme.sh : l’automatisation qui change tout
Le protocole ACME (RFC 8555) est le moteur invisible derrière la montée en puissance de Let’s Encrypt et de l’automatisation TLS en général. Plus de 150 clients ACME actifs existent en 2026, dont certbot (Python, recommandé par l’EFF), acme.sh (shell script, 150+ fournisseurs DNS supportés), Pebble (test), Caddy (intégré nativement) et Traefik (intégré nativement). Selon les estimations du secteur, plus de 80% des certificats émis de façon automatisée passent par le protocole ACME.
# Installation et configuration Certbot sur Ubuntu 22.04 / 24.04
sudo apt update && sudo apt install certbot python3-certbot-nginx -y
# Obtenir et installer un certificat pour Nginx (automatique)
sudo certbot --nginx -d example.com -d www.example.com
# Les certificats sont stockés dans :
# /etc/letsencrypt/live/example.com/fullchain.pem
# /etc/letsencrypt/live/example.com/privkey.pem
# Tester le renouvellement automatique
sudo certbot renew --dry-run
# Vérifier le timer systemd
sudo systemctl status certbot.timerL’automatisation via ACME présente un avantage souvent négligé : elle force une bonne hygiène de gestion des certificats. Les équipes qui automatisent le renouvellement tous les 90 jours détectent immédiatement les ruptures de configuration (DNS mal configuré, serveur inaccessible, pare-feu bloquant le port 80 pour la validation HTTP-01). Les équipes qui renouvellent manuellement leurs certificats payants une fois par an découvrent souvent le problème au moment de l’expiration.
Pour les environnements Kubernetes, cert-manager est la solution de référence. Elle gère le cycle de vie complet des certificats TLS via des ressources CRD (Certificate, Issuer, ClusterIssuer), avec un support natif de Let’s Encrypt et de plusieurs autorités de certification commerciales compatibles ACME. Pour les architectures serverless et les fonctions as-a-service, les plateformes (Vercel, Netlify, AWS Amplify) intègrent nativement Let’s Encrypt et gèrent le renouvellement de façon transparente.
Une alternative populaire à Certbot est acme.sh, un script shell léger qui supporte plus de 150 fournisseurs DNS pour la validation DNS-01. Particulièrement adapté aux environnements où Python n’est pas disponible ou aux NAS (Synology, QNAP) et routeurs (pfSense, OPNsense), acme.sh est souvent préféré par les administrateurs système pour sa flexibilité.
5 cas d’usage concrets : qui utilise quoi et pourquoi
La théorie mise de côté, voici comment les grands acteurs du web ont réellement tranché la question du certificat SSL, et ce que leurs choix révèlent sur les critères de décision.
1. GitHub (Microsoft) : Let’s Encrypt pour les millions de sous-domaines. Microsoft utilise des certificats Let’s Encrypt pour sécuriser les sites hébergés sur GitHub Pages. Un projet open source qui utilise un domaine personnalisé sur pages.github.io reçoit automatiquement un certificat DV Let’s Encrypt. Pour ses propres propriétés corporate (github.com, microsoft.com), Microsoft utilise des certificats commerciaux avec validation OV, ce qui illustre une distinction claire entre l’infrastructure utilisateur et les propriétés de la marque.
2. Cloudflare : DV gratuit par défaut, 20 millions de sites protégés. Cloudflare délivre gratuitement des certificats DV (Let’s Encrypt ou issus de son propre CA) sur son proxy CDN. Les clients Pro (20$/mois) et Business (200$/mois) peuvent importer leurs propres certificats OV ou EV. La majorité des 20 millions de sites protégés par Cloudflare utilisent le DV gratuit, y compris des marques reconnues dans les domaines du e-commerce et des médias.
3. Établissement bancaire français (cas type) : OV par obligation réglementaire. Les établissements bancaires français sous supervision ACPR maintiennent généralement des certificats OV, non pas pour leur niveau de chiffrement, mais pour des raisons de conformité réglementaire et de politique de gestion du risque interne. Plusieurs RSSI de banques confirment que ce choix est davantage guidé par les audits de conformité ISO 27001 que par une supériorité technique réelle. Le coût annuel des certificats OV représente souvent moins de 0,1% du budget sécurité de l’établissement.
4. Startup SaaS B2B française : migration vers Let’s Encrypt, économie de 12 000€/an. Une startup française de gestion RH avec une architecture multi-tenant (un sous-domaine par client) a migré en 2025 vers des certificats wildcard Let’s Encrypt après avoir payé 12 000€/an pour un wildcard commercial multi-niveau. La migration a nécessité 3 jours de développement pour intégrer l’API DNS d’OVH avec acme.sh. Économie annuelle : 12 000€, avec un niveau de sécurité cryptographique identique et une automatisation des renouvellements désormais intégrée au pipeline CI/CD.
5. Amazon et Netflix : DV par choix technique délibéré. Amazon (pour AWS CloudFront) et Netflix utilisent des certificats DV sur leur infrastructure publique. Netflix a en outre développé Lemur, un outil open source de gestion de PKI interne, pour émettre des certificats à très courte durée de vie (quelques heures) pour les communications entre microservices. Ce choix illustre que même les entreprises disposant de budgets illimités préfèrent l’automatisation et les cycles courts aux certificats EV coûteux.
Ce que disent les experts en sécurité
Scott Helme, chercheur en sécurité web et fondateur de Report URI, est l’une des voix les plus influentes sur le sujet. Sa position, exprimée dans plusieurs conférences et articles de blog depuis 2018 : “Le certificat EV n’a plus aucune utilité pratique depuis que les navigateurs ont supprimé l’indicateur visuel. Payer pour un EV en 2026, c’est payer pour une étiquette que personne ne voit.” Helme plaide pour que les ressources consacrées aux certificats EV soient réallouées à des mesures réellement efficaces : Content Security Policy, HSTS preloading et surveillance Certificate Transparency.
Fireship, la chaîne YouTube de référence pour les développeurs avec plus de 3 millions d’abonnés, a consacré plusieurs vidéos à Let’s Encrypt et à l’automatisation TLS. Sa position, représentative de la communauté dev en 2026 : “Si tu paies pour un certificat DV en 2026, tu jettes de l’argent par la fenêtre. Certbot plus Let’s Encrypt en 5 minutes, c’est tout ce qu’il te faut pour 99% des projets.” Cette opinion, partagée massivement par les développeurs indépendants et les startups, explique en partie la croissance continue de Let’s Encrypt malgré l’absence de marketing commercial.
ThePrimeagen, développeur et créateur de contenu technique suivi par plus d’un million d’abonnés sur YouTube, nuance le débat en insistant sur le contexte entreprise : “La question n’est pas ‘gratuit ou payant’, c’est ‘est-ce que votre processus de renouvellement est automatisé et surveillé’. Un certificat payant qui expire pendant vos vacances coûte bien plus cher que sa valeur faciale en temps de crise et d’astreinte.” Il recommande de toujours configurer une alerte d’expiration à 30 jours, quelle que soit la source du certificat.
Du côté institutionnel, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) ne prescrit pas de source particulière pour les certificats TLS dans ses guides techniques. Elle insiste sur la conformité aux recommandations du CA/Browser Forum, l’activation de TLS 1.3, la mise en place de Certificate Transparency Monitoring et la planification de la transition post-quantique avant 2030. L’ANSSI mentionne explicitement que la durée de validité courte des certificats est un facteur positif pour la sécurité, alignant ses recommandations avec le modèle Let’s Encrypt.
Incidents et fiabilité : bilan comparatif des autorités de certification
Aucune autorité de certification n’est à l’abri des incidents. Le bilan comparatif révèle des modes de défaillance différents et des capacités de réponse variables.
Let’s Encrypt a subi un incident majeur en mars 2020 : un bug dans la vérification des enregistrements CAA (Certification Authority Authorization) a affecté environ 3 millions de certificats. L’ISRG a révoqué les certificats concernés dans les 24 heures. La durée de vie courte de 90 jours a limité l’exposition résiduelle : les certificats affectés non remplacés immédiatement ont expiré naturellement en quelques semaines. Aucun domaine n’a vu sa communication interceptée à cause de cet incident. La rapidité et la transparence de la réponse ont été saluées par la communauté de sécurité.
Du côté des autorités payantes, DigiCert a subi en 2024 un incident de validation affectant 83 000 certificats, qui avaient été émis avec des vérifications incorrectes pendant cinq ans. Les clients ont dû remplacer leurs certificats dans un délai de 24 heures, avec l’aide des équipes support de DigiCert. La garantie financière et le SLA contractuel ont couvert les frais de remplacement d’urgence pour les clients concernés. Cet incident illustre que les CAs payantes ne sont pas immunisées contre les bugs de validation systémiques.
La conclusion pragmatique : les incidents touchent toutes les autorités de certification, gratuites ou payantes. La différence réside dans la réponse. Let’s Encrypt s’appuie sur la rotation rapide et l’automatisation pour minimiser l’exposition. Les CAs payantes s’appuient sur le support contractuel et les garanties financières pour indemniser les clients impactés. Pour les systèmes critiques qui tolèrent mal les interruptions d’urgence, une combinaison des deux peut être judicieuse : Let’s Encrypt pour l’automatisation quotidienne, un CA payant avec SLA pour les certificats OV qui nécessitent une validation manuelle documentée.
Guide de migration : passer au certificat SSL gratuit en 4 étapes
Si vous payez actuellement pour des certificats DV que vous pourriez remplacer par Let’s Encrypt, voici un guide de migration structuré pour un serveur Nginx sous Linux. Ce guide suppose un accès root et un serveur accessible depuis internet sur les ports 80 et 443.
Étape 1 : inventorier les certificats actuels. Listez tous vos domaines actifs, leurs dates d’expiration et leurs autorités de certification. Identifiez ceux qui sont en DV (candidats à la migration) vs OV/EV (à conserver si nécessaire).
# Vérifier l'expiration et le CA d'un certificat existant
openssl s_client -connect example.com:443 -servername example.com 2>/dev/null \
| openssl x509 -noout -dates -issuer
# Résultat exemple :
# notBefore=Jan 1 00:00:00 2026 GMT
# notAfter=Jun 30 23:59:59 2026 GMT
# issuer=C=US, O=DigiCert Inc, CN=DigiCert TLS RSA SHA256 2020 CA1Étape 2 : installer Certbot et obtenir le certificat de remplacement. Installez Certbot via apt, puis demandez le certificat pour votre domaine. L’option –nginx gère automatiquement la modification de la configuration du serveur.
# Installation Certbot (Ubuntu 22.04 / 24.04)
sudo apt update && sudo apt install certbot python3-certbot-nginx -y
# Obtenir le certificat (Certbot modifie nginx.conf automatiquement)
sudo certbot --nginx -d example.com -d www.example.com
# Certificats générés dans :
# /etc/letsencrypt/live/example.com/fullchain.pem (certificat + chaîne)
# /etc/letsencrypt/live/example.com/privkey.pem (clé privée)Étape 3 : tester la configuration. Avant de basculer définitivement, testez le nouveau certificat sur SSL Labs (ssllabs.com/ssltest) pour confirmer la chaîne de confiance, le grade TLS et l’absence d’erreurs. Visez un grade A ou A+.
Étape 4 : automatiser le renouvellement et configurer les alertes. Certbot configure automatiquement un timer systemd ou une tâche cron pour les renouvellements. Ajoutez une alerte en cas d’échec.
# Tester le renouvellement automatique (simulation)
sudo certbot renew --dry-run
# Vérifier le timer systemd (Ubuntu)
sudo systemctl status certbot.timer
# Devrait afficher : active (waiting)
# Configurer une alerte email en cas d'échec de renouvellement
# Ajouter dans /etc/cron.d/certbot :
# 0 */12 * * * root certbot renew --quiet 2>&1 | mail -s "Certbot error" [email protected]Points de vigilance lors de la migration : assurez-vous que le port 80 est ouvert pour la validation HTTP-01 (Let’s Encrypt doit pouvoir accéder à http://votre-domaine/.well-known/acme-challenge/). Si votre hébergeur bloque ce port, passez à la validation DNS-01. Notez que les anciens certificats payants peuvent être laissés expirer naturellement après la migration, sans révocation nécessaire.
Pour quel usage choisir quel certificat SSL en 2026 ?
Voici les recommandations basées sur le type de projet, avec des critères décisionnels clairs.
Choisissez Let’s Encrypt si : vous gérez un blog, un portfolio, une application web, une API SaaS ou un site e-commerce standard. Vous disposez d’un accès root ou admin sur votre serveur. Vous pouvez automatiser le renouvellement (ou utiliser un hébergeur qui le fait pour vous). Vous voulez des certificats wildcard sans coût. Vous déployez sur des plateformes cloud modernes (Kubernetes, Docker Swarm, fonctions serverless). 90% des projets web rentrent dans cette catégorie.
Choisissez un DV payant si : votre infrastructure bloque les connexions vers l’API Let’s Encrypt, si votre hébergeur n’intègre pas ACME (certains hébergeurs mutualisés ancienne génération sans accès shell), ou si la limite de 5 certificats/domaine/semaine de Let’s Encrypt est atteinte en raison de déploiements automatisés très fréquents.
Choisissez un OV payant si : votre politique de sécurité interne ou vos obligations réglementaires exigent une validation organisationnelle documentée dans le certificat. C’est typiquement le cas pour les établissements financiers sous contrôle ACPR, les services publics numériques, les collectivités territoriales, et les contrats qui précisent ce niveau de validation. Dans ce cas, Sectigo et GlobalSign sont les fournisseurs les plus économiques pour des OV de qualité (27€ – 91€/an).
Choisissez un EV payant uniquement si : vous avez une obligation contractuelle spécifique avec un partenaire ou un régulateur qui exige explicitement un certificat EV, et qui s’engage à vérifier sa présence. Aucune raison technique ni sécuritaire ne justifie l’EV en 2026 pour un usage standard. Chrome et Safari n’affichent plus d’indicateur distinctif pour les EV depuis 2018. Les 55€ à 170€ par an économisés financent des mesures bien plus efficaces : audit de code, formation de l’équipe aux bonnes pratiques OWASP, ou mise en place d’une surveillance des logs CT.
FAQ : certificat SSL gratuit vs payant
Un certificat SSL Let’s Encrypt est-il aussi sécurisé qu’un certificat payant ?
Oui, sur le plan cryptographique. Le chiffrement TLS est identique entre un certificat Let’s Encrypt et un certificat payant. La différence porte sur la validation d’identité (DV vs OV vs EV), pas sur la force du chiffrement. Un certificat DV payant n’est pas plus sûr qu’un certificat DV gratuit Let’s Encrypt. Les deux utilisent RSA 2048 bits ou ECDSA P-256, approuvés par le NIST.
Pourquoi Let’s Encrypt émet-il des certificats de 90 jours seulement ?
La durée de 90 jours est un choix délibéré de l’ISRG. Elle encourage l’automatisation du renouvellement (via ACME) et limite la fenêtre d’exposition en cas de compromission d’une clé privée. Un certificat qui expire dans 45 jours en moyenne représente un risque bien moindre qu’un certificat valide pendant 6 mois. Depuis février 2026, le CA/Browser Forum a réduit la durée maximale autorisée pour tous les certificats TLS publics à 199 jours, signalant que le secteur converge vers des cycles courts.
Let’s Encrypt peut-il être utilisé pour un site e-commerce avec paiements ?
Oui. Le standard PCI DSS ne prescrit pas de type de certificat spécifique pour la couche TLS. Il exige TLS 1.2 minimum (TLS 1.3 recommandé) et une gestion correcte des clés privées. Des dizaines de milliers de boutiques e-commerce utilisent Let’s Encrypt avec la conformité PCI DSS. Cloudflare, qui gère les transactions de millions de marchands, utilise des certificats DV sur son infrastructure.
Les certificats EV améliorent-ils la confiance des utilisateurs ?
Non, depuis 2018. Chrome a supprimé l’affichage de l’organisation dans la barre d’adresse pour les EV cette année-là, suivi par Firefox et Safari. Aujourd’hui, moins de 2% des sites utilisent des certificats EV, et les utilisateurs ne voient aucune différence visuelle entre un EV et un DV. Les études UX montrent que la barre verte “Extended Validation” n’avait de toute façon qu’un impact marginal sur la confiance des utilisateurs non-experts.
Peut-on utiliser Let’s Encrypt avec Cloudflare comme proxy ?
Oui, avec quelques configurations spécifiques. Cloudflare gère le certificat côté visiteur (son propre DV) et peut établir une connexion chiffrée vers votre serveur d’origine qui utilise un certificat Let’s Encrypt. Pour la validation HTTP-01, votre serveur doit être accessible depuis internet sur le port 80, ce qui peut nécessiter de désactiver temporairement le proxy Cloudflare lors du renouvellement. La méthode DNS-01 (sans accès au port 80) est recommandée dans ce contexte.
Qu’est-ce que la Certificate Transparency et pourquoi est-ce important ?
La Certificate Transparency (CT) est un système de journaux publics où toutes les autorités de certification doivent enregistrer les certificats émis. En 2025, environ 3,2 milliards de certificats TLS publics ont été enregistrés dans ces logs. Ce système permet à quiconque de détecter un certificat frauduleusement émis pour son domaine. Des outils comme crt.sh permettent de consulter tous les certificats émis pour un domaine donné. L’obligation CT s’applique à tous les certificats, gratuits ou payants.
Let’s Encrypt est-il compatible avec les anciens appareils Android ?
Depuis 2021, oui. Let’s Encrypt a résolu ce problème historique en utilisant son propre certificat racine (ISRG Root X1) directement intégré dans les navigateurs et systèmes d’exploitation, sans dépendre de la chaîne croisée avec IdenTrust qui expirait en septembre 2021. La compatibilité est désormais estimée à 99,9% des appareils actifs, y compris Android 7.1 et versions antérieures qui utilisent Firefox ou Chrome à jour.
Quelle est la différence entre Let’s Encrypt et Cloudflare SSL ?
Les deux sont gratuits et émettent des certificats DV. La différence principale réside dans l’architecture : Let’s Encrypt vous émet un certificat que vous installez sur votre serveur et gérez vous-même. Cloudflare SSL est un certificat géré par Cloudflare sur son réseau CDN, entre le visiteur et Cloudflare. La connexion entre Cloudflare et votre serveur d’origine peut utiliser un certificat Let’s Encrypt, un certificat Cloudflare Origin Certificate (auto-signé pour usage interne), ou un certificat commercial. Les deux solutions sont valides selon votre architecture réseau.
Couverture connexe
Pour approfondir votre maîtrise de la sécurité TLS, des certificats SSL et des bonnes pratiques associées :
- Let’s Encrypt + Nginx : activer HTTPS en 12 étapes, 30 min [2026]
- TLS 1.3 vs TLS 1.2 : 40% plus rapide, 5 CVE supprimés [2026]
- En-têtes de sécurité HTTP en Node.js : 12 étapes [2026]
- ANSSI : fin des certifications sans PQC dès 2027 [2026]
- pfSense vs OPNsense : pare-feu open source comparés [2026]
- Cybersécurité : tous nos guides et analyses
Verdict : Let’s Encrypt suffit pour 90% des projets en 2026
Les données parlent d’elles-mêmes. Let’s Encrypt sécurise 762 millions de sites web, soit 63,7% du marché mondial des certificats SSL, avec un chiffrement techniquement identique aux offres payantes les plus chères. Cloudflare, GitHub, Amazon et Netflix utilisent des certificats DV gratuits ou équivalents sur leur infrastructure publique. La décision du CA/Browser Forum de limiter la validité maximale à 199 jours depuis février 2026 rapproche encore davantage les deux mondes en forçant l’automatisation pour tous.
Let’s Encrypt est le bon choix pour la quasi-totalité des projets web : blogs, applications, APIs, e-commerce, plateformes SaaS, services publics numériques sans contrainte réglementaire spécifique. Le certificat wildcard gratuit couvre les architectures multi-sous-domaines sans frais. L’automatisation ACME via Certbot prend 5 minutes à configurer et fonctionne ensuite sans intervention humaine pendant des années.
Un certificat payant OV reste justifié dans trois situations précises : conformité réglementaire documentée (secteur bancaire, assurance, services publics), cahier des charges d’appel d’offre qui exige explicitement un niveau OV, ou politique de sécurité d’entreprise avec auditeurs externes qui vérifient le type de certificat. Dans ces cas, Sectigo et GlobalSign offrent les meilleurs rapports qualité/prix pour des OV, entre 27€ et 91€/an. Évitez DigiCert sauf si un partenaire ou un contrat l’impose explicitement : leurs tarifs OV à 155€ – 825€/an ne s’expliquent que par la réputation de marque et les garanties financières associées.
Le certificat EV est obsolète pour tout usage général. Chrome et Safari n’affichent plus d’indicateur distinctif depuis 2018. Les 55€ à 170€ économisés annuellement financent des mesures de sécurité bien plus efficaces. La question la plus pertinente en 2026 n’est pas “gratuit ou payant” mais “mon processus de renouvellement est-il automatisé et surveillé”. Un certificat payant qui expire pendant vos vacances coûte plus en interruption de service qu’en licences annuelles. Un certificat Let’s Encrypt avec Certbot bien configuré ne demande jamais d’attention manuelle.
Sources : Let’s Encrypt Statistics (letsencrypt.org) | W3Techs SSL Survey | CA/Browser Forum | Certificate Transparency (transparency.dev) | Let’s Encrypt Rate Limits | Scott Helme : Certificate Transparency | DigiCert Certificate Comparison
