Vous avez sans doute remarqué que beaucoup de sites web sont passés du HTTP au HTTPS, le HTTPS tendant à devenir la norme sur internet. Pourquoi ce changement, qu’est-ce que le https précisément et le SSL auquel il est lié et qu’apportent-ils ?
Le HTTPS est la version cryptée du HTTP (le « S » signifiant « sécurisé » ou « Secure »). Le HTTP est un protocole (HyperText Transfer Protocol) utilisé pour la communication entre le navigateur web (Firefox, Chrome…) et le serveur web (l’hébergeur, tel que OVH, Amen…), c.-à-d. la langue dans laquelle les deux parties discutent entre elles. Ceci est la raison pour laquelle toutes les adresses web (non cryptées) commence par « http:// » afin d’indiquer le protocole à utiliser pour transmettre l’information ; les URL ne l’indique pas forcément et vous n’êtes pas obligé de le spécifier lorsque vous tapez manuellement une URL dans la barre d’adresse de votre navigateur. Les adresses des sites cryptés commencent elles toujours par » https:// ».
Pourquoi crypter la connexion entre le serveur et le navigateur ?
Sur Internet, les données échangées entre le navigateur et le serveur web ne sont pas transmises directement de A vers B, mais généralement par l’intermédiaire de plusieurs étapes. Il est alors possible pour un pirate (un tiers mal intentionné) informatique d’intercepter des données au cours de cette transmission à l’une de ces étapes intermédiaires. Dans une transmission non cryptée, les données ainsi interceptées peuvent être lues par n’importe qui. Si par exemple vous commandez quelque chose dans une boutique en ligne non sécurisée et que toutes les données de votre carte bancaire sont renseignées lors de votre commande (écrites « en clair »), tout pirate pourra alors avoir accès à ces information, le danger est donc très grand.
Les sites e-commerce (boutiques en ligne) utilisent donc depuis longtemps le HTTPS et il est totalement déconseillé de renseigner des informations personnelles sur des sites qui n’utilisent pas le protocole HTTPS.
Comment savoir si un site internet utilise le protocole HTTPS ?
Les navigateurs vous indiqueront généralement si un site utilise le HTTPS en affichant une petite icône de cadenas dans leur barre d’adresse :
Le navigateur Google Chrome ajoute même une indication pour préciser que les sites non cryptés ne sont pas sécurisés :
Cet objectif étant poursuivi par Google depuis 2014 visant à rendre le web « plus sûr » selon lui, de manière peut-être pas si désintéressée que cela, nous y reviendrons. Ceci expliquant le nombre croissant de sites utilisant le HTTPS ces dernières années, poussé en grande partie par cette initiative de Google. Les nouvelles versions du navigateur Chrome avertissent sur les sites qui ne sont pas encore sécurisés, amenant les webmestres à utiliser le HTTPS pour leurs sites. Le but étant que le HTTPS devienne à l’avenir la norme. Google détaille cette initiative dans un article de son blog officiel.
Quel est le lien entre le HTTPS et le SSL ?
Le protocole SSL (Secure Sockets Layer), ou sa version plus récente qu’est le TLS (Transport Layer Security) signifiant Sécurité de la couche de transport, est la technologie de cryptage utilisée par le HTTPS. Les anciennes versions de ce protocole de sécurité s’appelaient « SSL » depuis 1999. Cette technologie ayant évoluée depuis sous le nom de « TLS », bien que le terme « SSL » ait perduré alors qu’il s’agisse d’une version obsolète qui n’est plus prise en charge. On retrouve aussi parfois le terme « SSL/TLS ». Aujourd’hui les deux termes désignent fondamentalement la même technique (le TLS).
Le certificat SSL
Pour qu’une connexion soit cryptée en SSL/TLS, il faut un certificat électronique qui va authentifier ce cryptage. Le navigateur vérifie d’abord la validité de ce certificat (expiration, révocation, correspondance avec le domaine, crédibilité de l’autorité émettrice). Tous les navigateurs possèdent des certificats préinstallés, considérés comme dignes de confiance ; ceux-ci peuvent varier d’un navigateur à l’autre ou selon la version utilisée.
Il vous faudra donc impérativement obtenir un certificat SSL pour sécuriser votre site internet, qui se verra ainsi approuvé par un maximum de navigateurs. Si ce n’est pas le cas, le navigateur affichera un avertissement informant l’internaute que le certificat n’est pas approuvé et la page web ne s’affichera pas ; cela risque donc de vous faire perdre énormément de visiteurs lorsqu’ils tomberont sur ce genre de message.
Comment obtenir un certificat SSL
Pour obtenir un certificat SSL, il faut envoyer une demande appelée CSR (Certificate Signing Request) à une autorité de certification. Celle-ci examine la demande avant de délivrer le certificat. Le certificat doit ensuite être installé sur le serveur web. La plupart des hébergeurs fournissent des services d’installation automatisés. Il est souvent possible d’obtenir un certificat SSL directement via son hébergeur, comme OVH, qui propose plusieurs niveaux de certification. Une demande peut être envoyée à une autorité comme Comodo, Sectigo, Thawte, GeoTrust, GlobalSign, etc. ; une fois délivré, le certificat est installé automatiquement.
Les différents types de certificats
Les certificats peuvent être divisés selon la validité et le degré d’authentification ; le prix d’un certificat peut varier selon ces critères ainsi que d’un fournisseur à un autre.
La validité d’un certificat varie entre ceux qui s’appliquent uniquement à un domaine (ce sont les moins coûteux), les certificats dits génériques qui s’appliquent à tous les sous-domaines d’un domaine, et les certificats de serveur qui s’appliquent à un serveur entier (les plus chers). Le degré d’authentification d’un certificat SSL influe également sur son prix.
Le certificat DV (Domain Validated)
Ce certificat DV (pour « Domaine validé ») vérifie uniquement si le déposant est en possession du domaine, mais l’identité du demandeur ne sera pas vérifiée. Ce processus est généralement automatisé et ne prend que quelques minutes.
Le certificat quelques minutes.
Le certificat OV (Organisation Validated)
Il est également possible de faire vérifier également l’identité du demandeur par l’organisme de certification. Pour cela certains documents doivent être soumis pour être vérifiés par l’autorité. Cette méthode n’est donc pas complètement automatisée. L’émission de tels certificats OV (« Organisation validée ») peut prendre plusieurs jours et coûte plus chère. Ce certificat garantit donc aussi que le demandeur est bien la personne ou l’entreprise liée au site web ; l’identité du demandeur fait partie du certificat.
Cependant, l’utilisation d’un certificat OV ne signifie pas que le cryptage est plus sécurisé qu’avec un certificat DV. L’avantage est que vous pouvez être assuré que l’identité du demandeur a été vérifiée. Cela crée une fiabilité supplémentaire. Vous pouvez prendre connaissance de ces informations en consultant les détails du certificat en cliquant au bon endroit depuis votre navigateur.
Le certificat EV (Extended Validation)
Les certificats de validation étendue (EV) vont encore plus loin et leur attribution et d’autant plus stricte ; le prix de ce genre de certificats est aussi plus élevé. Pour ces certificats le détenteur est affiché directement dans la barre d’adresse du navigateur, comme ici avec l’exemple de la banque CIC :
Il s’agit ici du plus haut degré de fiabilité.
Le Let’s Encrypt
Let’s Encrypt est une autorité de certification gratuite, automatisée et financée par des sponsors. Elle délivre uniquement des certificats DV, largement suffisants pour la majorité des sites ne traitant pas de données sensibles comme les paiements bancaires. La simplicité d’installation et de renouvellement automatique a encouragé une large adoption. La plupart des hébergeurs proposent désormais Let’s Encrypt gratuitement.
Pourquoi migrer son site internet en HTTPS ?
Même pour un site vitrine, le passage en HTTPS est fortement conseillé. Il présente plusieurs avantages (ou vous évite des inconvénients) :
- Obligation légale (RGPD) : Toute collecte de données personnelles, même via un simple formulaire, impose un cryptage. Ce principe est énoncé dans l’article 32 du RGPD.
- Confiance : Les navigateurs signalent les sites non sécurisés, ce qui dissuade de nombreux visiteurs.
- Référencement : HTTPS est un (petit) facteur de classement Google depuis 2014. Voir à ce sujet l’annonce officielle de Google : HTTPS as a ranking signal. Indirectement, il améliore aussi les performances et le taux de rebond
- Performances : Le HTTPS permet d’utiliser HTTP/2 ou HTTP/3, plus rapides que l’ancienne version HTTP/1.1.
Vous pouvez observer la vitesse d’une page web avec l’outil de Google, PageSpeed Insights, qui simule le temps de chargement (sur mobile et ordinateur de bureau). Les pages trop lentes pourraient être partiellement dévalorisées par Google.
Outils utiles :
- Qualys SSL Labs : tester votre certificat SSL/TLS.
- Security Headers : analyser les en-têtes de sécurité de votre site.
- PageSpeed Insights : vérifier la rapidité de votre site.
Comment migrer un site WordPress en HTTPS ?
Il n’est pas forcément très compliqué de passer un site WordPress en HTTPS, mais cela demande tout de même de faire attention à certains points.
Je rappelle une fois de plus qu’il est IMPÉRATIF d’effectuer une sauvegarde complète de votre site avant de procéder à un tel changement.
En théorie, il suffit de modifier les paramètres WordPress pour passer les URL en HTTPS. En pratique, il faut aussi corriger les contenus mixtes (liens ou images encore en HTTP), ce qui nécessite de passer en revue les fichiers ou utiliser certaines extensions.
Mais heureusement je vous explique comment passer son site WordPress en HTTPS.
Ouf !