Pour sécuriser votre site Web, l’uti­li­sa­tion des pro­to­coles SSL/TLS et HTTPS est in­dis­pen­sable. Mais que sig­ni­fient réel­le­ment ces termes ? Et comment mettre en place ces pro­to­coles de sécurité pour convertir un site existant en HTTPS ?

Cer­ti­fi­cats SSL
Faites le choix de la sécurité
  • Sécurisez vos trans­ferts de données
  • Renforcez la confiance de vos clients
  • Améliorez votre po­si­tion­ne­ment sur Google

Qu’est-ce que le SSL/TLS ?

Le terme SSL (abré­via­tion de Secure Sockets Layer) désigne une tech­no­lo­gie servant au chif­fre­ment et à l’au­then­ti­fi­ca­tion du trafic de données sur Internet sur le réseau. Pour les sites Web, elle protège la com­mu­ni­ca­tion entre le na­vi­ga­teur et le serveur Web. Dans l’E-commerce, où des données con­fi­den­tielles et sensibles sont échangées, l’uti­li­sa­tion d’un cer­ti­fi­cat SSL ou de son suc­ces­seur TLS (Transport Layer Security) est es­sen­tielle.

Les données sensibles gé­né­ra­le­ment protégées par un chif­fre­ment SSL/TLS incluent notamment :

  • Données d’en­re­gis­tre­ment : nom, adresse, email, numéro de téléphone
  • Données de connexion : email et mot de passe
  • In­for­ma­tions de paiement : numéro de carte de crédit, coor­don­nées bancaires
  • For­mu­laires de saisie : in­for­ma­tions saisies dans les champs des for­mu­laires
  • Documents té­lé­char­gés : fichiers trans­fé­rés par les uti­li­sa­teurs

Grâce à SSL/TLS, la com­mu­ni­ca­tion reste con­fi­den­tielle et protégée contre toute in­ter­cep­tion ou ma­ni­pu­la­tion, ga­ran­tis­sant que les données per­son­nelles ne puissent être com­pro­mises.

Note

Les spé­cia­listes re­com­man­dent aujourd’hui d’utiliser uni­que­ment TLS. Le terme SSL est encore fré­quem­ment employé, bien qu’il désigne en réalité TLS.

Qu’est-ce que HTTPS ?

HTTPS (Hypertext Transfer Protocol Secure) est un protocole de transfert de données sécurisé entre le na­vi­ga­teur et le serveur Web. À l’inverse, HTTP cor­res­pond à la version non sécurisée, dans laquelle les données trans­mises peuvent, en théorie, être in­ter­cep­tées ou modifiées par des tiers mal­veil­lants. L’uti­li­sa­teur ne peut donc pas être certain, par exemple, que les données de sa carte de crédit sont bien envoyées au com­mer­çant légitime lorsque ce protocole non sécurisé est utilisé.

HTTPS garantit la sécurité des échanges en assurant le chif­fre­ment des données et l’au­then­ti­cité des requêtes. Ce mécanisme repose sur l’uti­li­sa­tion d’un cer­ti­fi­cat SSL.

Quels avantages offrent SSL/TLS ou HTTPS ?

  • Protéger les données et renforcer la sécurité pour les clients et les par­te­naires
  • Réduire les risques de vol et d’abus de données
  • Améliorer le ré­fé­ren­ce­ment naturel grâce au chif­fre­ment HTTPS, critère pris en compte par Google
  • Optimiser les per­for­mances grâce à l’uti­li­sa­tion de HTTP/3
  • Renforcer la confiance des visiteurs grâce au cer­ti­fi­cat SSL visible dans la barre d’adresse du na­vi­ga­teur

SSL/TLS gratuit ou payant : quelle option choisir ?

Si vous souhaitez passer votre site en HTTPS en activant SSL/TLS, vous aurez besoin d’un cer­ti­fi­cat SSL comme mentionné pré­cé­dem­ment. Des solutions telles que Let’s Encrypt offrent des al­ter­na­tives gratuites et simples à installer face aux cer­ti­fi­cats SSL tra­di­tion­nels payants. Lors de la mise en place d’un site HTTPS ou de la création d’un site Web sécurisé, il faut désormais choisir entre un cer­ti­fi­cat SSL/TLS gratuit ou payant.

Le principal reproche adressé aux cer­ti­fi­cats gratuits est leur uti­li­sa­tion crois­sante par des cy­ber­cri­mi­nels pour rendre des sites de phishing plus crédibles : un site HTTPS est alors affiché aux uti­li­sa­teurs, leur inspirant une fausse im­pres­sion de sécurité.

Note

Début mars 2020, Let’s Encrypt a dû révoquer plus de trois millions de cer­ti­fi­cats SSL/TLS actifs. Cette mesure faisait suite à un défaut dans le logiciel open source Boulder utilisé par Let’s Encrypt pour vérifier les en­re­gis­tre­ments CAA (Cer­ti­fi­ca­tion Authority Au­tho­ri­za­tion). En théorie, cette faille per­met­tait de générer des cer­ti­fi­cats pour des domaines tiers. Les uti­li­sa­teurs concernés ont dû créer un nouveau cer­ti­fi­cat dans les 24 heures pour rétablir la sécurité de leur projet.

En principe, les cer­ti­fi­cats SSL/TLS gratuits et payants diffèrent prin­ci­pa­le­ment sur les points suivants :

  • Validité : la dif­fé­rence la plus marquante entre les cer­ti­fi­cats SSL/TLS gratuits et payants réside dans leur durée de validité. La plupart des cer­ti­fi­cats payants sont valides entre 12 et 24 mois, tandis que la validité des cer­ti­fi­cats gratuits est de 90 jours seulement. Si vous optez pour un cer­ti­fi­cat SSL gratuit, vous devrez donc le re­nou­ve­ler plus souvent, même si de nombreux four­nis­seurs proposent un re­nou­vel­le­ment au­to­ma­tique.
  • Gestion : en choi­sis­sant un cer­ti­fi­cat SSL payant, vous bé­né­fi­ciez d’outils de gestion inclus. À l’inverse, un cer­ti­fi­cat gratuit ne propose pas ce service et son ad­mi­nis­tra­tion doit être effectuée ma­nuel­le­ment.
  • Ap­par­te­nance au domaine : un cer­ti­fi­cat SSL gratuit est valable uni­que­ment pour un seul domaine auquel il reste lié. Un cer­ti­fi­cat payant, en revanche, peut couvrir plusieurs domaines et s’utiliser sans dif­fi­culté sur dif­fé­rents projets Web.

Comment passer un site en HTTPS ?

Lors de la création d’un site Web sécurisé, il est re­com­mandé d’utiliser dès le départ un cer­ti­fi­cat SSL. Toutefois, passer un site existant en HTTPS ne demande pas un effort con­si­dé­rable.

Étape 1 : obtenir et valider un cer­ti­fi­cat SSL/TLS

Le cer­ti­fi­cat SSL sert de preuve d’identité pour un site Web. L’autorité de cer­ti­fi­ca­tion (CA), auprès de laquelle le cer­ti­fi­cat est obtenu, vérifie préa­la­ble­ment l’identité du pro­prié­taire et garantit l’exac­ti­tude des in­for­ma­tions. Les cer­ti­fi­cats SSL sont stockés sur le serveur et consultés à chaque visite d’un site HTTPS.

Il existe dif­fé­rents types de cer­ti­fi­cats, qui se dis­tin­guent par leur niveau de va­li­da­tion :

  • Cer­ti­fi­cats avec va­li­da­tion de domaine (DV), gratuits et payants : pour ce type de cer­ti­fi­cat au niveau d’au­then­ti­fi­ca­tion le plus bas, l’autorité de cer­ti­fi­ca­tion vérifie uni­que­ment la propriété du domaine concerné. Les in­for­ma­tions de l’en­tre­prise ne sont pas con­trô­lées, ce qui laisse un léger risque résiduel lors de la va­li­da­tion. Adapté pour : les sites Web où la confiance et la cré­di­bi­lité ne jouent pas un rôle central, et pour lesquels le risque de phishing ou de fraude est faible.
  • Cer­ti­fi­cats avec va­li­da­tion d’or­ga­ni­sa­tion (OV), payants : cette va­li­da­tion est plus complète et donc plus sûre que la va­li­da­tion de domaine. En plus de la propriété du domaine, l’autorité de cer­ti­fi­ca­tion vérifie les in­for­ma­tions de l’en­tre­prise. Les visiteurs peuvent consulter ces données vérifiées, ce qui renforce la confiance dans le site Web. Ce type de cer­ti­fi­cat SSL est plus coûteux, mais il offre un niveau de sécurité supérieur. Adapté pour : les sites Web ef­fec­tuant des tran­sac­tions avec des données non sensibles.
  • Cer­ti­fi­cats avec va­li­da­tion étendue (EV), payants : il s’agit du niveau de va­li­da­tion le plus élevé et le plus complet. Par rapport à la va­li­da­tion d’or­ga­ni­sa­tion, les in­for­ma­tions de l’en­tre­prise sont examinées de manière encore plus détaillée, et seuls les or­ga­nismes de cer­ti­fi­ca­tion agréés peuvent délivrer ces cer­ti­fi­cats. Ce processus rigoureux assure la sécurité maximale et renforce la cré­di­bi­lité du site Web, bien qu’il soit également associé à des coûts plus élevés. Adapté pour : les sites Web col­lec­tant des in­for­ma­tions de carte de crédit ou d’autres données sensibles.
Image: Vue d’ensemble des certificats SSL
Graphique des dif­fé­rents cer­ti­fi­cats SSL/TLS. Copyright Symantec Cor­po­ra­tion / Source : https://www.ionos.fr/di­gi­tal­guide/fileadmin/Di­gi­tal­Guide/Downloads/ssl-cer­ti­fi­cates.pdf

Étape 2 : installer et con­fi­gu­rer le cer­ti­fi­cat SSL/TLS sur le serveur

L’étape suivante consiste à installer le cer­ti­fi­cat SSL sur le serveur. De nombreux four­nis­seurs d’hé­ber­ge­ment proposent une ins­tal­la­tion au­to­ma­tique du cer­ti­fi­cat pour leurs clients. Depuis l’espace client, il est souvent possible de demander ou d’activer di­rec­te­ment le cer­ti­fi­cat souhaité, que le four­nis­seur installe ensuite sur le serveur. Dans certains forfaits d’hé­ber­ge­ment, le cer­ti­fi­cat SSL/TLS est même inclus par défaut.

La procédure d’ins­tal­la­tion varie selon le four­nis­seur, mais ceux-ci four­nis­sent gé­né­ra­le­ment les ins­truc­tions né­ces­saires. Pour garantir une mise en œuvre technique fiable, il convient de prêter une attention par­ti­cu­lière aux éléments suivants :

  • Les cer­ti­fi­cats corrects
  • Le chif­fre­ment adéquat
  • La con­fi­gu­ra­tion serveur ap­pro­priée

Étape 3 : corriger les erreurs courantes lors du passage en HTTPS

Lors du passage d’un site en HTTPS, certains problèmes peuvent ap­pa­raître. Il est important de les anticiper afin d’éviter toute perte de po­si­tion­ne­ment dans les moteurs de recherche ou toute in­ter­rup­tion d’accès au site.

Les ad­mi­nis­tra­teurs qui sou­hai­tent migrer leur site vers SSL/TLS doivent notamment :

  • Éviter les cer­ti­fi­cats expirés : un cer­ti­fi­cat SSL invalide ou expiré entraîne un aver­tis­se­ment dans le na­vi­ga­teur, com­pro­met­tant la confiance et la sécurité que vous souhaitez inspirer aux uti­li­sa­teurs.
  • Con­fi­gu­rer cor­rec­te­ment les re­di­rec­tions : pour éviter le Duplicate Content, con­fi­gu­rez une re­di­rec­tion 301. Cette mesure empêche les moteurs de recherche de con­si­dé­rer les versions HTTP et HTTPS comme deux sites distincts.
  • Adapter les comptes pu­bli­ci­taires : l’in­té­gra­tion de contenu non chiffré (images, scripts, etc.) dans une page HTTPS provoque un aver­tis­se­ment de sécurité. C’est par­ti­cu­liè­re­ment pro­blé­ma­tique pour les campagnes pu­bli­ci­taires, car la diffusion d’annonces n’est pas toujours chiffrée. Il est donc important d’adapter les comptes pu­bli­ci­taires concernés.
  • Mettre à jour la Google Search Console et les outils d’analyse : les versions HTTP et HTTPS sont con­si­dé­rées comme deux sites distincts. Après la migration, il est né­ces­saire d’ajouter la version HTTPS dans la Google Search Console.
  • Ac­tua­li­ser le plan Sitemap XML : le sitemap doit être mis à jour et soumis à nouveau dans la Search Console.
  • Vérifier les liens internes et externes : même si les re­di­rec­tions 301 limitent les erreurs, il est conseillé de mettre à jour tous les liens internes vers les nouvelles URL HTTPS. Selon le CMS utilisé, cette opération peut né­ces­si­ter des ajus­te­ments manuels. Pour les liens externes, il est re­com­mandé de demander la mise à jour des plus im­por­tants, notamment ceux provenant de sites d’autorité.
Nom de domaine
Votre domaine en un clic
  • 1 cer­ti­fi­cat SSL Wildcard par contrat
  • Fonction incluse Domain Connect pour une con­fi­gu­ra­tion DNS sim­pli­fiée

Té­lé­char­ge­ment gratuit de la liste de contrôle

Vous pouvez té­lé­char­ger ci-dessous une liste de contrôle courte ou détaillée qui énumère et explique les aspects les plus im­por­tants lors du passage d’un site en HTTPS.

Étape 4 : sur­veil­ler et re­nou­ve­ler la validité du cer­ti­fi­cat SSL/TLS

Pour que votre chif­fre­ment HTTPS reste actif en per­ma­nence, votre cer­ti­fi­cat SSL/TLS ne doit pas expirer. Vérifiez donc ré­gu­liè­re­ment la durée de validité et, si possible, mettez en place un re­nou­vel­le­ment au­to­ma­tique.

  • Suivi : gardez un œil sur la date d’ex­pi­ra­tion. De nombreux four­nis­seurs d’hé­ber­ge­ment proposent pour cela des fonctions de rappel ou des outils de suivi.
  • Re­nou­vel­le­ment au­to­ma­tique avec ACME : avec le protocole ACME (Automatic Cer­ti­fi­cate Ma­na­ge­ment En­vi­ron­ment), les cer­ti­fi­cats (par ex. de Let’s Encrypt) peuvent être re­nou­ve­lés au­to­ma­ti­que­ment. Cela permet d’éviter les in­ter­rup­tions et les messages d’alerte dans le na­vi­ga­teur.
  • In­té­gra­tion du four­nis­seur : dans de nombreux forfaits d’hé­ber­ge­ment Web, le re­nou­vel­le­ment au­to­ma­tique du cer­ti­fi­cat est déjà activé par défaut. Vérifiez ce paramètre dans votre compte client.

Comment vérifier la validité d’un cer­ti­fi­cat SSL/TLS sur un site Web ?

Lorsqu’un site Web utilise un cer­ti­fi­cat valide, cela se remarque di­rec­te­ment dans l’URL. Voici un exemple d’adresse HTTPS :

https://www.example.fr

Le « S » ajouté au protocole signifie Secure et indique que la page est protégée par un cer­ti­fi­cat SSL/TLS. Selon le type de cer­ti­fi­cat et le na­vi­ga­teur, d’autres in­di­ca­teurs visuels peuvent également signaler un chif­fre­ment sécurisé :

Image: Indication du standard de sécurité SSL/TLS dans différents navigateurs
In­di­ca­tion du standard de sécurité SSL/TLS dans les na­vi­ga­teurs Chrome, Firefox, Opera et Microsoft Edge

Il existe également des outils en ligne gratuits per­met­tant de vérifier en un clic si un cer­ti­fi­cat SSL/TLS est cor­rec­te­ment installé et si le site Web est protégé contre d’éven­tuelles attaques.

Test SSL

Comment les sites Web sécurisés ren­for­cent-ils la confiance des uti­li­sa­teurs ?

Outre les avantages tech­niques du chif­fre­ment SSL/TLS, la confiance renforcée des uti­li­sa­teurs envers un site Web, et donc envers l’en­tre­prise qu’il re­pré­sente, constitue un atout majeur. La sécurité perçue inspire la cré­di­bi­lité et encourage les visiteurs à interagir ou à effectuer des tran­sac­tions en ligne, répondant ainsi aux attentes crois­santes des in­ter­nautes en matière de pro­tec­tion des données.

Dans ce contexte, nous proposons trois re­com­man­da­tions concrètes aux en­tre­prises pour répondre aux attentes crois­santes des uti­li­sa­teurs en matière de sécurité des sites Web.

  • Intégrer des sceaux de confiance dans le site Web : les sceaux de confiance sont un in­di­ca­teur de la fiabilité d’un site Web. Les dif­fé­rents sceaux ga­ran­tis­sent par exemple la sécurité des données, des tran­sac­tions sé­cu­ri­sées ou con­fir­ment que le site est exempt de logiciels mal­veil­lants.
  • Intégrer un cer­ti­fi­cat SSL avec un niveau de sécurité élevé : les cer­ti­fi­cats avec un niveau de sécurité élevé offrent un indice visuel direct dans la barre du na­vi­ga­teur sur le chif­fre­ment sécurisé, aug­men­tant ainsi la confiance des uti­li­sa­teurs.
  • Always on SSL : le cer­ti­fi­cat SSL doit être intégré sur toutes les sous-pages d’un domaine, pas seulement sur la page de connexion ou le panier. Ainsi, une pro­tec­tion optimale est offerte à l’uti­li­sa­teur du début à la fin de sa visite (Always on SSL signifie que le chif­fre­ment est actif sur toutes les pages du site).
Aller au menu principal