Certificats-SSL : pourquoi-votre-site-en-a-besoin

1. Qu’est-ce qu’un certificat SSL pour un site web ?

Vous avez peut-être déjà vu l’icône en forme de cadenas dans votre navigateur, avec un avertissement comme « Non sécurisé » ou « Votre connexion n’est pas privée », qui vous demande une vérification supplémentaire avant d’accéder à un site. Et il est probable que vous hésitiez à faire cette étape en plus.

Mais alors, vous vous demandez : « Ai-je besoin d’un certificat SSL pour mon site ? » Si vous posez cette question, vous êtes déjà sur la bonne voie pour rendre votre site plus sécurisé et plus pratique pour les visiteurs.

Un certificat SSL est un petit fichier numérique installé sur un serveur web. Il confirme l’identité de votre site et permet une connexion chiffrée. Quand un visiteur arrive sur votre site, son navigateur vérifie le certificat avant tout transfert de données. Si le certificat est valide, tout le trafic entre le navigateur et le serveur est protégé contre l’interception.

Si vous vous demandez « Que veut dire SSL ? », SSL signifie « Secure Sockets Layer ». C’est un protocole Internet créé dans les années 1990 pour sécuriser les communications. En pratique, la plupart des sites utilisent aujourd’hui son successeur, TLS (Transport Layer Security), plus rapide et nettement plus sécurisé. Même si le monde est passé de SSL à TLS, les deux noms sont utilisés comme des synonymes dans le secteur (souvent SSL/TLS).

2. Comment fonctionne un certificat SSL ?

Chaque certificat SSL/TLS utilise une paire de clés cryptographiques – une clé publique et une clé privée. La clé publique est intégrée au certificat et partagée librement. La clé privée reste sur votre serveur web et n’est jamais exposée.

Quand un navigateur se connecte à votre site, il passe par un processus appelé la négociation TLS (TLS handshake), qui se fait en quelques millisecondes en échangeant de petits paquets. Voici comment cela fonctionne :

1. Le navigateur demande une connexion sécurisée et indique quelles méthodes de chiffrement il prend en charge.
2. Votre serveur répond avec son certificat SSL (qui contient la clé publique) et sa méthode de chiffrement préférée.
3. Le navigateur vérifie que le certificat a été délivré par une autorité de certification (CA) de confiance.
4. Les deux côtés utilisent la clé publique pour se mettre d’accord sur une clé de session unique.
5. Toutes les données suivantes – comme les champs de formulaire, les identifiants de connexion et les détails de paiement – sont envoyées chiffrées avec cette clé de session.
6. Avec la norme (la plus récente) TLS 1.3, le serveur et le client peuvent aussi partager une clé de session pour éviter des allers-retours une fois la clé de session créée.

Ainsi, chaque certificat SSL contient un ensemble standard de champs que le navigateur lit pendant ce processus :

Les données sont ensuite brouillées avec la méthode de chiffrement et la clé publique fournies. À l’arrivée, elles sont déchiffrées avec la clé de session. Même si quelqu’un interceptait le trafic, il ne verrait que des données illisibles, impossibles à déchiffrer sans la clé privée.

3. Pourquoi chaque site web a besoin d’un certificat SSL aujourd’hui

Chaque octet de données que vos visiteurs envoient à votre site circule presque comme du texte en clair. Le SSL brouille ce texte en le chiffrant du client vers le serveur et dans l’autre sens. Même si toute personne sur le même réseau (par exemple le Wi-Fi d’un café) peut techniquement lire ces informations avec différents outils, seule la clé privée permet de les déchiffrer.

De plus, tous les navigateurs affichent un avertissement « Non sécurisé » dans la barre d’adresse pour toute page HTTP qui contient un formulaire. Par exemple, les indicateurs de sécurité de Chrome signalent clairement aux utilisateurs les sites sans HTTPS. Cet avertissement suffit souvent à faire partir les visiteurs.

Un certificat valide prouve aussi que votre nom de domaine est bien contrôlé par l’entité qui l’a demandé. Cela rend beaucoup plus difficile l’usurpation de votre site, car un attaquant ne peut pas obtenir un certificat pour un domaine qu’il ne contrôle pas.

Quand le SSL est obligatoire

Si votre site collecte des informations de carte bancaire, il doit souvent respecter la norme PCI-DSS. Cela impose le chiffrement de bout en bout. Le SSL n’est pas toujours explicitement obligatoire, mais c’est le minimum pour chiffrer les données des utilisateurs, donc c’est souvent la première chose que les petits sites mettent en place.

La même chose s’applique à tout site qui traite des données de santé protégées (HIPAA) ou qui opère sous le RGPD dans l’UE. Même les sites sans paiement, qui ont des formulaires de connexion ou de contact, exposent les données des utilisateurs s’ils sont en HTTP.

De plus, si vous prévoyez d’utiliser des API avancées qui suivent la localisation de l’utilisateur ou si vous voulez proposer des notifications push, ces services demandent souvent un certificat SSL pour pouvoir fonctionner.

4. Pourquoi passer en HTTPS : SEO et business

Google a confirmé en 2014 que le HTTPS est un signal de classement. Cela veut dire que les sites utilisant un certificat SSL (la base d’une connexion HTTPS) peuvent être favorisés dans les résultats de recherche. Avec une bonne extension de domaine pour l’e-commerce ou les sites d’entreprise, c’est l’une des rares façons dont l’URL peut influencer le positionnement.

Mais au-delà du classement, la confiance augmente les conversions. Dès qu’un visiteur potentiel voit un gros avertissement indiquant que le site n’est peut-être pas sécurisé parce qu’il n’a pas de certificat SSL ou n’utilise pas le HTTPS, il est beaucoup plus susceptible de partir. Le petit cadenas est devenu si courant que ne pas le voir rend les gens méfiants sur les vraies intentions d’un site.

Checklist pour une migration SEO sans risque

Passer de HTTP à HTTPS peut faire perdre vos données d’analyse ou de classement, ou créer des pages en double (certaines en HTTPS et d’autres non). Vous devez :

• Mettre en place des redirections 301 de chaque URL HTTP vers son équivalent en HTTPS
• Mettre à jour tous les liens internes, les balises canoniques et les sitemaps XML
• Renvoyer votre sitemap dans Google Search Console.

5. Ce que garantissent le cadenas et HTTPS, et ce qu’ils ne garantissent pas

Le cadenas est un signal clair pour deux points :

1. Les données échangées entre le serveur et le client (c’est-à-dire le navigateur) ne peuvent pas être lues correctement par des tiers.
2. Le domaine dans le certificat correspond au domaine visité pour la vérification.

Cependant, ce n’est pas non plus une garantie totale. En particulier, cela ne veut pas dire que le site n’est pas une arnaque, qu’il n’utilisera pas mal vos données, ou que vous ne risquez pas d’attraper un malware en téléchargeant quelque chose depuis ce site. Puisque les certificats SSL sont assez faciles à obtenir, n’importe qui peut techniquement en avoir un et donner à ses activités une apparence plus légitime.

À noter : même des sites de phishing peuvent obtenir un certificat SSL. Pensez donc à bien vérifier l’URL exacte dans les messages et les liens reçus.

6. Les types de certificats SSL expliqués

Il existe deux « classifications » des certificats SSL : le niveau de validation et l’étendue de la couverture.

La première catégorie vérifie (ou ne vérifie pas) l’entité légale derrière le certificat, pour s’assurer qu’elle est bien celle qu’elle prétend être :

La deuxième classification concerne le nombre de domaines « couverts » par le certificat.

7. Qui délivre les certificats SSL ?

La délivrance, la validation et la révocation des certificats SSL sont gérées par une autorité de certification (CA). Les navigateurs ont une liste intégrée de CA de confiance : si un certificat est délivré par une CA de cette liste, le navigateur affiche le cadenas. Sinon, il affiche un avertissement de sécurité.

À noter : les certificats racines sont auto-signés par les CA et préinstallés dans les systèmes d’exploitation et les navigateurs. Les certificats intermédiaires font le lien entre un certificat racine et le certificat de votre site, en créant la hiérarchie de confiance que les navigateurs vérifient.

Les certificats auto-signés sont générés sans CA et déclenchent des avertissements de sécurité dans tous les principaux navigateurs. Ils conviennent au développement interne (par exemple, les grandes entreprises qui ont besoin d’authentification utilisateur pour le contrôle de versions de fichiers), mais ils sont quasiment inutiles pour un site en ligne.

8. Comment obtenir un certificat SSL gratuit

Vous pouvez en général contacter votre fournisseur de domaine et voir s’il propose des certificats SSL gratuits (souvent des DV) ou s’il travaille avec des CA spécifiques. Cela permet de limiter la maintenance de votre certificat SSL. Cependant, si vous choisissez l’enregistrement de domaine sans hébergement et que vous configurez le site vous-même, Cloudflare propose un SSL gratuit pour n’importe quel site.

Pour enregistrer un certificat, il existe trois options :

SSL gratuit vs SSL payant

Les certificats SSL gratuits (comme ceux de Cloudflare) sont tout à fait valables pour la plupart des sites personnels et des blogs, car ce sont souvent des certificats DV pour un seul domaine. Pour les entreprises, les certificats payants permettent d’étendre à la fois la couverture et le niveau de validation.

De plus, les services SSL payants incluent souvent des avantages comme un support dédié, la gestion par le fournisseur et le renouvellement automatique. Cela veut dire que, sauf si vous devez refaire votre site, votre certificat SSL peut durer pour toujours.

Par exemple, Register.Domains propose des certificats SSL Comodo à des prix raisonnables, avec des niveaux de DV à EV, et soutenus par l’une des CA les plus reconnues du secteur.

9. Comment installer un certificat SSL et rediriger HTTP vers HTTPS

1. Installez le certificat sur votre serveur web. La plupart des panneaux de contrôle d’hébergement modernes (dont Plesk et cPanel) proposent une installation SSL en un clic. Avec l’hébergement mutualisé Register.Domains, la configuration SSL est intégrée directement dans le processus de configuration.
2. Mettez en place une redirection 301 de HTTP vers HTTPS. Ajoutez la redirection dans votre fichier .htaccess (Apache) ou dans la configuration du serveur (Nginx). Une redirection 301 indique aux moteurs de recherche que le changement est permanent et transfère la valeur des liens sans perte.
3. Corrigez les erreurs de contenu mixte. Toute page qui charge des ressources HTTP — images, scripts, feuilles de style — via une connexion HTTPS déclenche des avertissements du navigateur. Mettez à jour toutes les URL des ressources en HTTPS ou utilisez des URL relatives au protocole.
4. Mettez à jour les liens internes, les balises canoniques et les sitemaps XML pour qu’ils pointent vers les versions HTTPS de toutes les URL. Sur WordPress, un outil de recherche/remplacement dans la base de données fait cela efficacement.
5. (Facultatif) Ajouter HSTS. HTTP Strict Transport Security indique aux navigateurs d’utiliser toujours HTTPS pour votre domaine, même si un utilisateur tape http:// à la main. Testez bien avant de l’activer, car un HSTS mal configuré peut bloquer l’accès aux visiteurs.

10. Comment vérifier si votre site a déjà un SSL

Vous pouvez simplement taper votre domaine avec https:// devant. Si vous obtenez un message d’erreur ou si vous êtes redirigé vers HTTP, vous n’avez pas de certificat SSL.

Si vous avez souscrit un certificat SSL, essayez d’accéder à http://votredomaine.com. Si le certificat fonctionne, vous devriez être redirigé automatiquement vers la version HTTPS. Ensuite, utilisez un outil de vérification de redirection pour confirmer qu’il s’agit bien d’une redirection 301 permanente.

Vous pouvez aussi cliquer sur le cadenas et vérifier le statut réel du certificat. Pour un contrôle plus complet, SSL Labs propose gratuitement une note détaillée de la configuration de votre certificat, y compris la force du chiffrement et la validité de la chaîne.

11. Combien de temps dure un certificat SSL et que se passe-t-il s’il expire ?

Les certificats SSL/TLS ont une période de validité maximale de 397 jours, imposée par tous les principaux navigateurs. Cette durée a été réduite de deux ans afin que les propriétaires de domaine maintiennent la sécurité de leur site. En pratique, cependant, les certificats gratuits ou DV durent souvent seulement 90 jours à six mois. Les certificats SSL payants durent généralement environ un an.

Lorsqu’un certificat expire, les navigateurs affichent immédiatement une erreur en plein écran qui empêche les visiteurs d’accéder à votre site. Les robots des moteurs de recherche signalent aussi les certificats expirés, et le trafic naturel peut chuter fortement en quelques jours.

Cependant, la plupart des plateformes d’hébergement et des fournisseurs de certificats proposent le renouvellement automatique. Vous pouvez l’activer et vérifier qu’il fonctionne en mettant une notification après l’expiration du premier certificat SSL. À noter : ne comptez pas sur le « on configure et on oublie », car les renouvellements automatiques peuvent échouer si votre moyen de paiement expire, si vos enregistrements DNS changent, ou si la méthode de validation ne fonctionne plus.

12. Mythes courants sur le SSL qui empêchent d’agir

13. FAQ