Si vous souhaitez faire réaliser votre site internet ou créer un blog, ou héberger celui-ci, vous entendrez parler du HTTPS. Dans ce cadre, on entend aussi parler de certificats SSL. Mais de quoi s’agit-il ? Et à quoi servent ces éléments dans le développement de votre site internet ? Comme d’habitude, on vous explique tout !
Introduction au HTTPS
Initialement, le HTTP désigne le HyperText Transfer Protocol. Par la suite, ce protocole de transfert des données a évolué vers le HTTPS pour plus de sécurité des internautes. Vous l’aurez peut-être aperçu au début des adresses web, accompagné d’un petit cadenas. Faisons le point.
HTTP, HTTPS … C’est quoi ? Définition
HTTPS signifie HyperText Transfer Protocol Secure. En français, il s’agit d’un protocole de cryptage et de transfert des données de façon sécurisée. Il s’agit d’un programme ayant pour objectif de sécuriser les échanges de données entre deux pôles. Lorsque vous naviguez sur Internet et consultez des sites, votre machine reçoit et envoie des données à un serveur. Le protocole HTTPS a pour mission de protéger le transfert de ces données, notamment grâce au SSL/TLS. On reviendra sur les définitions de ces termes.
En bref, le HTTP vous permet l’échange de données entre plusieurs machines et serveurs grâce à plusieurs technologies sous-jacentes. Le HTTPS vous permet de le faire de façon sécurisée grâce au cryptage de ces données. La plupart des sites internet sont aujourd’hui utilisateurs du HTTPS.
Pourquoi passer votre site en HTTPS ?
Le fait de passer votre site internet sous HTTPS a une importance capitale. On dit ça pour plusieurs raisons distinctes :
- Pour sécuriser votre site internet,
En effet, les hackers développent continuellement leurs compétences. Leur objectif ? Détournement et vol de données, pour la vente ou l’utilisation frauduleuse. Ainsi, il vous faut assurer la sécurité des données générées ou transmises par votre site. - Pour ne pas se faire bouder par Google et les autres moteurs de recherche,
En effet, le HTTPS est devenu un standard pour les sites internet. Ceux qui sont en HTTP ont tendance à être moins bien référencés, voire même bloqués. - Pour respecter la loi,
En effet, c’est le Règlement Général de la Protection des Données (RGPD) qui veut ça. Tout éditeur doit assurer la sécurité de son site à travers les technologies les plus récentes disponibles. Le HTTPS en fait partie.
Vous l’aurez compris, il s’agit d’une quasi obligation de passer au HTTPS, pour les visiteurs, le SEO, et la loi.
Tout comprendre sur le SSL
Une fois la notion de HTTPS intégrée, nous pouvons parler des certificats de cryptage. Anciennement nommés SSL, et caractérisés par ce terme, ce sont cependant les TLS qui sont aujourd’hui à utiliser.
Certificat SSL/TLS c’est quoi ?
Ces certificats sont des protocoles de chiffrement des données qui sont des extensions au protocole de transport. SSL signifie Secure Sockets Layer et TLS correspond à Transport Layer Security. Il s’agit de technologies permettant de sécuriser les données grâce à la cryptographie à clé publique. Les données sont transformées en des suites de nombres générées aléatoirement. Grâce à des clés (l’une privée, l’autre publique) elles peuvent être déchiffrées par le serveur et la machine. Ces données peuvent par exemple correspondre à des informations personnelles, des coordonnées bancaires… Ce chiffrement permet uniquement à l’expéditeur et au destinataire des données de les consulter. Cela évite notamment le vol de celle-ci par une personne mal intentionnée lors d’un envoi par connexion.
En ce sens, les certificats SSL et TLS permettent d’authentifier l’identité d’un site. Cela permet de sécuriser sa connexion avec le navigateur et le serveur. Lors d’une phase de négociation SSL, qui dure quelques millisecondes, le serveur et le navigateur échangent. Lors d’une demande de connexion, le certificat SSL est fourni et un accord électronique est signé. Une connexion sécurisée et chiffrée est établie, et le cadenas apparaît à côté de l’adresse du site web. (Depuis août 2020, ce n’est plus le cas pour tous les navigateurs).
Le certificat SSL a été introduit en 1995 suite à de nombreuses failles de sécurité dans la transmission de données. Cette technologie a connu de nombreuses versions modernisées, mais toutes étant obsolètes aujourd’hui. Le TLS a succédé au SSL en 1999 en fournissant une version plus efficace, sûre et flexible de ce certificat. Il est toujours utilisé aujourd’hui sous sa version 1.2, disponible depuis 2018.
Les différents types de certificats SSL/TLS
Il existe différents types de certificats SSL. Ceux-ci peuvent être regroupés dans 3 grandes catégories :
- EV SSL – Certificat à validation étendue
Les certificats à validation étendue sont les plus sécurisés et les plus chers. Ils ne seront pas indispensables pour les petits sites sans collecte de données. Cependant, ils seront fortement recommandés pour les sites de commerce en ligne. Ceux-ci assurent une protection maximale des données, en vérifiant l’identité du propriétaire du site. Une fois obtenus et activés, ces certificats permettent l’affichage du cadenas dans la barre d’adresse. Ce cadenas peut être accompagné des coordonnées de l’entreprise, de sorte à la distinguer de sites frauduleux. - OV SSL – Certificat à validation de l’organisation
Ce type de certificat est à mi-chemin entre les deux autres gammes présentées. Plus performant que le DV, l’OV vérifie l’identité du propriétaire du site. Il reste cependant moins coûteux que l’EV. Ce type de certificat est recommandé pour l’ensemble des sites commerciaux ou en relation avec le public. Il sécurise les transactions bancaires et les données confidentielles. - DV SSL – Certificat à validation de domaine
Idéal pour les entreprises qui ont besoin d’un certificat rapidement, peu cher, et sans démarches administratives. Le chiffrement est minimal, assuré sur la sécurité des données. Cependant, l’identité du destinataire n’est pas vérifiée. Ces certificats seront surtout utilisés pour les sites qui ne transfèrent pas de données sensibles. Par exemple, les blogs ou sites internationaux sans système de transaction bancaire.
Il existe, au-delà de ces catégories, certains certificats très utiles pour les entreprises. Les certificats pour domaines multiples (MDC) par exemple. Ceux-ci permettent de sécuriser plusieurs domaines et/ou sous-domaines différents sous un seul SSL.
Comment obtenir un certificat SSL ou TLS?
Ces certificats doivent être obtenus auprès des Certificate Authorities ou CA (Autorité de Certification/AC en français). Il en existe des centaines, toutes n’ayant pas la même pertinence et crédibilité. On vous conseille de choisir un AC reconnu à la fois par les navigateurs et systèmes d’exploitation. Ces derniers tiennent des listes à jour des certificats dignes de confiance. Le prix de ce certificat variera en fonction du niveau de sécurité souhaité et de l’AC. C’est également le cas pour le délai d’obtention de votre certificat.
Un certificat non reconnu donnera lieu à des messages d’alerte proférés par le navigateur de votre visiteur. Cela aura tendance à le dissuader de visiter votre site, et celui-ci se rendra sur un site concurrent. De nombreux AC proposent des certificats SSL gratuits, et ceux-ci peuvent être inclus dans votre forfait d’hébergement. D’ailleurs, les hébergeurs permettent généralement l’activation de votre certificat de façon rapide et simple. Si toutefois vous gérez vous-même votre serveur, la procédure se déroule en 3 étapes :
- Configurez votre serveur pour l’envoi de votre dossier auprès de l’AC choisie. Vérifiez que vos coordonnées sont à jour, notamment pour l’authentification de votre organisation.
- Mettez en place votre Certificate Signing Request (CSR) sur votre serveur. Il s’agit de la demande de signature du certificat. Puis transmettez votre demande à votre AC.
- Installez le certificat qui vous a été fourni par votre Autorité de Certification.
Nous espérons que cet article vous aura aidé à comprendre l’intérêt de la sécurisation des données. Le HTTPS et les certificats TLS sont des technologies indispensables au bon fonctionnement des échanges sur Internet. Cependant, ce sont des protocoles voués à évoluer pour maintenir leur efficacité. Quelles seront les technologies de demain?