Des sites Internet plus sûrs grâce au SSL et HTTPS
L’espionnage et l’usage abusif de données sont de sérieux problèmes, aussi bien pour les autorités internationales que pour le consommateur final à titre privé. C’est pour cette raison que le thème de la sécurité sur Internet prend une importance croissante. Ce n’est pas que dans la sphère privée que l’on utilise toujours plus de services Internet, mais aussi au niveau des entreprises. Le monde des affaires assiste en effet à une transformation digitale très rapide. Dans le but de sécuriser les transmissions et l’administration de données internes d’entreprises, de données clients et autres informations sensibles, l’utilisation des protocoles SSL/TLS et HTTPS est devenue un standard courant. Mais quelle est la signification de ces acronymes et comment appliquer ces protocoles de sécurité à mon site Internet ?
- Sécurisez vos transferts de données
- Renforcez la confiance de vos clients
- Améliorez votre positionnement sur Google
Qu’est-ce que le SSL/TLS ?
La notion de SSL (acronyme de « Secure Socket Layers ») définit une technique de chiffrement et d’authentification des flux de données en réseau. Autrement dit, cela garantit une transmission de données sécurisée d’un site Web, entre un navigateur et le serveur Web. La mise en place de ces certificats SSL ou de son développement TLS ( « Transport Layer Security ») est avant tout indispensable pour les sites de e-commerce et pour les banques en ligne, où de nombreuses données confidentielles et sensibles fluctuent.
Ces données sensibles, souvent protégées par un chiffrement SSL/TLS, peuvent être les suivantes :
- données d’inscription : nom, adresse, email, numéro de téléphone
- données d’identification : adresse Email et mot de passe
- informations de paiement : numéro de carte de crédit et autres coordonnées bancaires
- formulaires de saisie
- documents téléchargés par le client
Avec le SSL/TLS, on s’assure que les communications ne tombent pas entre de mauvaises mains et qu’elles ne puissent ni être lues, ni être manipulées.
- Domaine .eu ou .fr + éditeur de site gratuit pendant 6 mois
- 1 certificat SSL Wildcard par contrat
- Boîte email de 2 Go
Qu’est-ce que HTTPS ?
L’abréviation HTTPS (« Hypertext Transport Protocol Secure ») correspond au protocole de sécurisation des transmissions de données. Le sigle HTTP désigne sa version antérieure non sécurisée. Sur les sites Web HTTP, les données peuvent en principe être lues et modifiées et un client en ligne ne peut s’assurer de savoir s’il transmet ses coordonnées bancaires à un commerçant ou à un hacker. Le HTTPS prend en charge en revanche le chiffrement des données et assure l’authentification des demandes. Cela fonctionne grâce au certificat SSL/TLS. Les experts recommandent la mise en place de TLS. Souvent, l’abréviation SSL est utilisée, bien que ce soit le TLS qui est sous-entendu.
Avantages de l’utilisation de SSL/TLS - HTTPS :
- Protection des données et sécurité pour clients et partenaires ;
- Risque réduit de vol et d’usage abusif de données ;
- Répercussions positives dans le référencement Google ;
- Permet l’utilisation de HTTP/2 pour un site Web plus performant ;
- Certificat facilement reconnaissable pour l’utilisateur et inspirant la confiance.
SSL/TLS gratuit ou payant : quel certificat prendre ?
Comme déjà évoqué, si vous souhaitez convertir votre site Web en SSL/TLS, vous serez dépendant d’un certificat SSL/TLS. Depuis son lancement en 2015, les certificats de l’association à but non lucratif Let’s Encrypt constituent une alternative gratuite et facile à installer comparée aux certificats classiques payants. Pendant la conversion du site Web en HTTPS, il est désormais également nécessaire de choisir entre un SSL/TLS gratuit ou payant. Le principal reproche fait aux certificats gratuits est qu’ils sont de plus en plus utilisés par les hackers pour mettre en place des opérations de phishing encore plus fiables : les utilisateurs voient ainsi apparaître un site en apparence sécurisé alors que c’est tout le contraire.
Début mars 2020, Let’s Encrypt a dû retirer plus de trois millions de ses certificats SSL/TLS actifs. La raison de ce retrait était une erreur dans le logiciel open source Boulder utilisé par Let’s Encrypt pendant la vérification des enregistrements CAA (Certification Authority Authorization). En théorie, cela a permis de créer des certificats pour des domaines externes. Une seule solution existe pour les personnes concernées : de nouveaux certificats ont dû être générés dans les 24h pour rétablir le chiffrement des sites.
Les certificats SSL/TLS gratuits et payants se distinguent particulièrement sur les points suivants :
- Validité : la différence la plus importante entre les SSL/TLS gratuits et payants est probablement la durée de validité des certificats. Alors que la plupart des certificats payants sont valables de 12 à 24 mois, les certificats gratuits expirent après 90 jours. Si vous comptez sur le SSL/TLS gratuit, vous devrez remplacer votre certificat beaucoup plus souvent.
- Gestion : en passant par un fournisseur payant, vous recevrez en plus du certificat un outil de gestion approprié. Autrement, vous n’aurez pas ces services avec un certificat SSL/TLS gratuit, ce qui signifie que vous devrez vous occuper vous-même de toute la gestion.
- Affiliation de domaine : un certificat SSL/TLS gratuit ne peut être généré que pour un seul domaine exclusivement auquel il est ensuite relié. Si vous choisissez un SSL/TLS payant, vous bénéficiez de certificats interdomaines qui peuvent être facilement utilisés pour plusieurs projets Web.
- Présentation dans le champ d’adresse : si vous protégez votre site Web avec un certificat payant, vous pouvez afficher celui-ci ainsi que le nom de votre entreprise dans la ligne du navigateur. Avec un SSL/TLS gratuit, le site est marqué comme étant un projet HTTPS, mais vous ne pourrez pas effectuer de personnalisation.
Passer un site Web en HTTPS
Les pages les plus récentes peuvent bien entendu être créées directement sur la base de ces protocoles SSL/TLS. Même pour les sites déjà existants, le passage au SSL/TLS ne présente pas un investissement trop grand en termes de temps et d’effort. Pour les deux cas, la première étape est dans tous les cas la même : vous devez acquérir un certificat SSL.
Acquérir un certificat SSL
Les certificats SSL sont une sorte de preuve d’identité d’un site Web. La place d’attribution officielle (CA pour Certificate Authority), grâce à laquelle on obtient le certificat, est une identité examinée au préalable qui garantit la justesse des indications. Les certificats SSL sont classés sur le serveur et chargés à chaque visite sur un site HTTPS. Il y a différents types de certificats qui se distinguent par l’étendue de leur identification :
- Certificat à validation de domaine (DV) – gratuit et payant
Il s’agit des certificats comportant le niveau d’authentification le plus bas. Dans ce cas, le CA vérifie seulement si le demandeur est en possession du domaine correspondant pour lequel il veut obtenir un certificat. Les informations d’une entreprise ne sont pas contrôlées lors de la vérification et c’est pourquoi il reste un risque dans la validation du domaine. De par le faible effort d’authentification, le certificat est toutefois rapidement établi par le CA et est de surcroît le moins cher des trois types de certificat SSL – parfois il est même totalement gratuit (Let’s Encrypt).
Les certificats à validation de domaine sont très adaptés pour les sites Web pour lesquels le lien de confiance concernant la sécurité des données de l’internaute n’est pas une priorité et pour les sites qui ne présentent aucun risque d’escroquerie ou d’hameçonnage (Phishing).
- Certificat à validation d’organisation (OV) - payant
Ce type de validation est plus détaillé et donc plus sûr. Mis à part la propriété du domaine, le CA vérifie des informations organisationnelles pertinentes supplémentaires comme par exemple l’appartenance au registre du commerce. Les informations vérifiées par le CA sont accessibles pour un visiteur quelconque, ce qui renforce la confiance envers un site Web. De par son processus de contrôle, le certificat SSL à validation d’organisation s’avère plus coûteux que le certificat SSL à validation de domaine. Cependant, le CA d’organisation présente un plus haut degré de sécurité.
Ce certificat est adapté aux sites Web sur lesquels on effectue des transferts de données qui ne sont pas sensibles.
- Certificat à validation étendue (EV) - payant
Il s’agit là du certificat proposant le niveau d’authentification le plus élevé et le plus volumineux. À la différence du certificat à validation d’organisation, les informations d’entreprises sont vérifiées sur des critères d’attribution plus sévères et détaillés. En outre, ce certificat est seulement attribué grâce à une autorisation du CA, (Certificate Authority). La vérification détaillée des entreprises accorde le plus haut niveau de sécurité et cela permet ainsi de renforcer la confiance et la crédibilité vis-à-vis d’un site Web. Par ailleurs, le certificat à validation étendue est la solution qui représente le coût le plus élevé.
Ce certificat est notamment adapté pour les sites Web qui collectent des coordonnées bancaires ou bien d’autres données sensibles.
Cliquez ici pour télécharger l’infographique sur les différents types de certificats SSL.
- Sécurisez vos transferts de données
- Renforcez la confiance de vos clients
- Améliorez votre positionnement sur Google
Installation et configuration
L’étape suivante consiste en l’installation du certificat SSL sur le serveur. De nombreux prestataires de service d’hébergement Web se chargent de la mise en place pour leurs clients. Dans le domaine de la relation client, on peut la plupart du temps directement recourir au certificat correspondant proposé par le fournisseur. Un client IONOS peut sans problème ajouter un certificat SSL/TLS à son offre d’hébergement Web existante à partir du centre de contrôle. Le certificat est compris dans de nombreuses offres de ce type et l’installation varie selon le fournisseur. En règle générale, ces fournisseurs de service ou fournisseurs de certificats mettent à disposition des indications d’installation et des instructions appropriées. Une implémentation techniquement parfaite dépendra principalement des critères suivants :
-
choisir correctement le certificat ;
-
codage adapté ;
-
configuration du serveur appropriée.
- Domaine .eu ou .fr + éditeur de site gratuit pendant 6 mois
- 1 certificat SSL Wildcard par contrat
- Boîte email de 2 Go
Problèmes et erreurs lors de la réorganisation
Lors du passage d’un site à un certificat SSL, diverses erreurs peuvent survenir. Pourtant il est possible de les éviter de manière à ne pas subir de pénalités dans son référencement ou des problèmes de redirection de pages Web par exemple.
Les administrateurs qui souhaitent passer un site Web en SSL/TLS devraient :
- Eviter les certificats périmés : un certificat périmé voire non valide fera apparaître un message d’alerte disgracieux dans une fenêtre du navigateur de l’utilisateur. L’image véhiculée de confiance et de sécurité auprès de l’utilisateur serait donc dans ce cas complètement détruite.
- Mettre en place les bonnes redirections: afin d’éviter les duplicatas de contenus, l’administrateur doit mettre en place les bonnes redirections, et notamment via une redirection 301 avec .htaccess permettant de modifier la cible de certaines URLs de façon naturelle. De cette manière, on peut éviter que Google distingue la page http de la nouvelle page HTTPS et qu’il s‘attende à ce que les deux contenus soient différents, ce qui impacterait leur référencement.
- Adapter les comptes publicitaires en ligne (Google AdWords, Bing Ads et autres) : si l’on insère des contenus (images, notes, photos) non codés dans un site HTTPS, une fenêtre d’information disgracieuse apparaîtra et importunera l’utilisateur. Cela s’avère surtout problématique dans un circuit d’annonce publicitaire. Les publicités sont pourtant encore pour la plupart envoyées de manière non codée. Les comptes publicitaires correspondants doivent absolument être adaptés.
- Mettre en place des outils d’administration et Google Analytics : théoriquement, le site HTTP et sa variante HTTPS sont considérés comme deux sites Web différents. La variante HTTPS doit être enregistrée dans l’outil d’administration lors du passage au SSL/HTTPS.
- Actualiser le sitemap XML : le sitemap doit également être actualisé et être intégré dans l’outil d’administration.
- Vérifier les liens internes et externes : même si des redirections 301, ou .htaccess, permettent de cacher des liens défectueux, il convient de changer tous les liens internes après le passage au protocole HTTPS. Des modifications manuelles pourraient s’avérer nécessaires, même après avoir retravaillé les contenus dans votre CMS. Pour les liens externes les plus importants (notamment les pages authority, qui déterminent la qualité de contenu d’une page), on devrait essayer de les modifier pour les rediriger vers l’adresse HTTPS.
Téléchargez une version abrégée, ainsi qu’une liste détaillée des points importants à considérer lors d’une conversion de site web à https.
Comment peut-on vérifier la validité d’un certificat?
Si un site Web est chargé et qu’il est chiffré avec un certificat valide, cela apparaît directement dans l’URL en question :
https://www.exemple.fr
Le « s » du protocole HTTPS se traduit par secure et indique que la page marquée comme tel est codée par un certificat SSL/TLS. Une indication visuelle différente selon le type de certificat et de navigateur apparaît pour montrer si une page est sécurisée.
Avec la vérification SSL gratuite de IONOS , il suffit d’un clic pour vous assurer que votre certificat SSL actuel est correctement installé et que votre site Web est protégé des attaques
Test SSL
Confiance accrue grâce aux sites sécurisés
Outre les avantages du cryptage SSL/TLS mentionnés ci-dessus, la confiance accrue des utilisateurs pour le Web, et notamment grâce aux sites d’entreprises sécurisés, va par extension faire augmenter leur confiance pour les entreprises elles-mêmes. C’est là un argument essentiel de l’importance de la sécurité Web dans le monde des affaires.
La confiance est aujourd’hui le sujet de prédilection des acteurs du Web, tant dans le domaine du B2B (business to business) que dans le B2C (business to consumer). L’industrie du SSL et du TLS émet désormais l’hypothèse que tout doit être crypté et que les gens oublient souvent la seconde fonction de SSL qui n’est pas tant de chiffrer, mais d’authentifier.
Il faut se rendre à l’évidence. Les internautes ne sont pas tous à l’aise sur la Toile et se posent souvent les questions suivantes : « suis-je sur un site vraiment sérieux ? Est-ce que cette boutique en ligne est sécurisée ? Suis-je en sécurité ici au regard de mes données personnelles ? ». La confiance est devenue la préoccupation première des utilisateurs du Web. Quand nous quittons le travail et que nous nous déconnectons à la fin de la journée, nous devenons des consommateurs.
Nous allons sur des sites de banque en ligne, nous consultons nos emails, nous échangeons sur les réseaux sociaux. En tant qu’internaute, les sites doivent respecter un certain nombre d’indicateurs de sécurité. Ce n’est pas une surprise si on prend en compte l’actualité internationale. Il y a une cassure et nous devons tous les jours faire des compromis. Toute organisation devrait ainsi se demander : « suis-je la prochaine victime ? Quand serais-je visée ? ».
Ce phénomène est assez triste quand on y songe. La situation est telle qu’on devient las de ces sites. En même temps, nous devenons avides de tout signe rassurant, tant en ce qui concerne notre vie privée que la sécurité de nos données bancaires. Ainsi, il est conseillé aux entrepreneurs du Web d’adopter ces symboles de confiance dont le but est de rassurer les internautes. Tels sont les aspects qui rendent le cryptage de données légitime, notamment dans le monde des affaires.
Dans ce contexte, nous vous donnons trois recommandations d’actions concrètes pour permettre à votre entreprise de répondre à l’attente de sécurité croissante des internautes au sujet de votre site Web.
J’aimerais émettre trois recommandations :
La première est d’utiliser des sceaux de confiance. Il s’agit de ces petits indicateurs visibles sur la barre URL des sites Internet, à côté des boutons d’achat voire à la fin des expériences utilisateurs avec des phrases telles que « ce processus est authentifié, ne comporte aucun virus et respecte les normes de protection des données personnelles. »
La seconde est l’adoption du certificat SSL (EV SSL), soit le niveau de sécurité SSL le plus élevé.
Outre les sceaux de confiance et le certificat SSL, il existe un troisième facteur appelé Always On SSL. Ce programme permet de crypter un site en entier. Comme je l’ai évoqué au début de l’interview, il faut mettre davantage l’accent sur la sécurité et la confiance que sur le cryptage. L’authentification fonctionne également avec les deux premières recommandations évoquées.
- Intégrez un sceau de confiance à votre site Web
Le sceau de confiance est rapidement devenu un indicateur courant de la fiabilité d’un site Web. Ces différents cachets garantissent par exemple la sécurité des données, du flux de paiements ou encore une protection contre les programmes malveillants.
- Intégrez un certificat avec un haut niveau de sécurité
Les certificats à haut niveau de sécurité mettent directement en avant leur présence dans la barre de recherche des navigateurs grâce à une indication visuelle de leur chiffrement sécurisé sur une page. Cela permet d’augmenter la confiance des internautes (cf. certificats et symboles ci-dessus).
- « Always on SSL »
Le certificat SSL/TLS devrait être appliqué à toutes les sous-pages d’un domaine, et non pas seulement sur une page d’identification de membre ou celle d’un panier d’achats. Ainsi, l’utilisateur se sentira en confiance du début jusqu’à la fin de sa visite.
HTTPS dans le contexte du référencement Web
Les répercussions du passage à une page Web sécurisée (HTTPS) sur le référencement Web a suscité de nombreux débats ces dernières années. Google a en effet annoncé l’effet positif que ce certificat pouvait entraîner sur le référencement d’un site sur son moteur de recherche. Google veut ainsi rendre le Web plus sûr et inciter les exploitants de sites Internet à sécuriser tous leurs sites sans exception. Il est donc opportun d’établir le HTTPS comme standard pour votre site Web.
Indépendamment des critères de référencement en ligne, les pages HTTPS sont un gage de qualité et de sérieux. Les internautes sont toujours plus sensibilisés sur le sujet de la sécurité sur Internet et ils peuvent donc dorénavant distinguer les pages sécurisées de celles qui ne le sont pas.
- Sécurisez vos transferts de données
- Renforcez la confiance de vos clients
- Améliorez votre positionnement sur Google