HTTPS et certificat SSL, c’est quoi ?

Pierre Woo

Si vous souhaitez faire rรฉaliser votre site internet ou crรฉer un blog, ou hรฉberger celui-ci, vous entendrez parler du HTTPS. Dans ce cadre, on entend aussi parler de certificats SSL. Mais de quoi sโ€™agit-il ? Et ร  quoi servent ces รฉlรฉments dans le dรฉveloppement de votre site internet ? Comme dโ€™habitude, on vous explique tout !

Introduction au HTTPS

Initialement, le HTTP dรฉsigne leย HyperTextย Transferย Protocol.ย Par la suite, ce protocole de transfert des donnรฉes a รฉvoluรฉ vers leย HTTPSย pour plus de sรฉcuritรฉ des internautes.ย Vous lโ€™aurez peut-รชtre aperรงu au dรฉbut des adresses web, accompagnรฉ dโ€™un petit cadenas.ย Faisons le point.ย 

HTTP, HTTPS โ€ฆ Cโ€™est quoi ? Dรฉfinition

HTTPSย signifieย HyperTextย Transferย Protocolย Secure.ย En franรงais, il sโ€™agit dโ€™un protocole de cryptage et de transfert des donnรฉes de faรงon sรฉcurisรฉe.ย Il sโ€™agit dโ€™un programme ayant pour objectif de sรฉcuriser les รฉchanges de donnรฉes entre deux pรดles. Lorsque vous naviguez sur Internet et consultez des sites, votre machine reรงoit et envoie des donnรฉes ร  un serveur. Le protocoleย HTTPSย a pour mission de protรฉger le transfert de ces donnรฉes, notamment grรขce auย SSL/TLS. On reviendra sur les dรฉfinitions de ces termes.ย 

En bref, le HTTP vous permet lโ€™รฉchange de donnรฉes entre plusieurs machines et serveurs grรขce ร  plusieurs technologies sous-jacentes. Le HTTPS vous permet de le faire de faรงon sรฉcurisรฉe grรขce au cryptage de ces donnรฉes. La plupart des sites internet sont aujourdโ€™hui utilisateurs du HTTPS.

Pourquoi passer votre site en HTTPS ?

Le fait de passer votre site internet sous HTTPS a une importance capitale. On dit รงa pour plusieurs raisons distinctes :ย 

  • Pour sรฉcuriser votre site internet,
    En effet, les hackers dรฉveloppent continuellement leurs compรฉtences. Leur objectif ? Dรฉtournement et vol de donnรฉes, pour la vente ou lโ€™utilisation frauduleuse. Ainsi, il vous faut assurer la sรฉcuritรฉ des donnรฉes gรฉnรฉrรฉes ou transmises par votre site.ย 
  • Pour ne pas se faire bouder par Google et les autres moteurs de recherche,
    En effet, le HTTPS est devenu un standard pour les sites internet. Ceux qui sont en HTTP ont tendance ร  รชtre moins bien rรฉfรฉrencรฉs, voire mรชme bloquรฉs.ย 
  • Pour respecter la loi,
    En effet, cโ€™est le Rรจglement Gรฉnรฉral de la Protection des Donnรฉes (RGPD) qui veut รงa. Tout รฉditeur doit assurer la sรฉcuritรฉ de son site ร  travers les technologies les plus rรฉcentes disponibles. Le HTTPS en fait partie.ย 

Vous lโ€™aurez compris, il sโ€™agit dโ€™une quasi obligation de passer au HTTPS, pour les visiteurs, le SEO, et la loi.ย 

https vs http

Tout comprendre sur le SSL

Une fois la notion de HTTPS intรฉgrรฉe, nous pouvons parler des certificats de cryptage. Anciennement nommรฉs SSL, et caractรฉrisรฉs par ce terme, ce sont cependant les TLS qui sont aujourdโ€™hui ร  utiliser.

Certificat SSL/TLS cโ€™est quoi ?

Ces certificats sont des protocoles de chiffrement des donnรฉes qui sont des extensions au protocole de transport. SSL signifie Secure Sockets Layer et TLS correspond ร  Transport Layer Security. Il sโ€™agit de technologies permettant de sรฉcuriser les donnรฉes grรขce ร  la cryptographie ร  clรฉ publique. Les donnรฉes sont transformรฉes en des suites de nombres gรฉnรฉrรฉes alรฉatoirement. Grรขce ร  des clรฉs (l’une privรฉe, l’autre publique) elles peuvent รชtre dรฉchiffrรฉes par le serveur et la machine.ย  Ces donnรฉes peuvent par exemple correspondre ร  des informations personnelles, des coordonnรฉes bancairesโ€ฆ Ce chiffrement permet uniquement ร  lโ€™expรฉditeur et au destinataire des donnรฉes de les consulter. Cela รฉvite notamment le vol de celle-ci par une personne mal intentionnรฉe lors dโ€™un envoi par connexion.ย 

En ce sens, les certificats SSL et TLS permettent dโ€™authentifier lโ€™identitรฉ dโ€™un site. Cela permet de sรฉcuriser sa connexion avec le navigateur et le serveur. Lors dโ€™une phase de nรฉgociation SSL, qui dure quelques millisecondes, le serveur et le navigateur รฉchangent. Lors dโ€™une demande de connexion, le certificat SSL est fourni et un accord รฉlectronique est signรฉ. Une connexion sรฉcurisรฉe et chiffrรฉe est รฉtablie, et le cadenas apparaรฎt ร  cรดtรฉ de lโ€™adresse du site web. (Depuis aoรปt 2020, ce nโ€™est plus le cas pour tous les navigateurs).ย 

Le certificat SSL a รฉtรฉ introduit en 1995 suite ร  de nombreuses failles de sรฉcuritรฉ dans la transmission de donnรฉes. Cette technologie a connu de nombreuses versions modernisรฉes, mais toutes รฉtant obsolรจtes aujourdโ€™hui. Le TLS a succรฉdรฉ au SSL en 1999 en fournissant une version plus efficace, sรปre et flexible de ce certificat. Il est toujours utilisรฉ aujourdโ€™hui sous sa version 1.2, disponible depuis 2018.

Les diffรฉrents types de certificats SSL/TLS

Il existe diffรฉrents types de certificats SSL. Ceux-ci peuvent รชtre regroupรฉs dans 3 grandes catรฉgories :ย 

  • EV SSL – Certificat ร  validation รฉtendue
    Les certificats ร  validation รฉtendue sont les plus sรฉcurisรฉs et les plus chers. Ils ne seront pas indispensables pour les petits sites sans collecte de donnรฉes. Cependant, ils seront fortement recommandรฉs pour les sites de commerce en ligne. Ceux-ci assurent une protection maximale des donnรฉes, en vรฉrifiant lโ€™identitรฉ du propriรฉtaire du site. Une fois obtenus et activรฉs, ces certificats permettent lโ€™affichage du cadenas dans la barre d’adresse.ย  Ce cadenas peut รชtre accompagnรฉ des coordonnรฉes de lโ€™entreprise, de sorte ร  la distinguer de sites frauduleux.ย 
  • OV SSL – Certificat ร  validation de lโ€™organisation
    Ce type de certificat est ร  mi-chemin entre les deux autres gammes prรฉsentรฉes. Plus performant que le DV, lโ€™OV vรฉrifie lโ€™identitรฉ du propriรฉtaire du site. Il reste cependant moins coรปteux que lโ€™EV. Ce type de certificat est recommandรฉ pour lโ€™ensemble des sites commerciaux ou en relation avec le public. Il sรฉcurise les transactions bancaires et les donnรฉes confidentielles.ย 
  • DV SSL – Certificat ร  validation de domaine
    Idรฉal pour les entreprises qui ont besoin dโ€™un certificat rapidement, peu cher, et sans dรฉmarches administratives. Le chiffrement est minimal, assurรฉ sur la sรฉcuritรฉ des donnรฉes. Cependant, lโ€™identitรฉ du destinataire nโ€™est pas vรฉrifiรฉe. Ces certificats seront surtout utilisรฉs pour les sites qui ne transfรจrent pas de donnรฉes sensibles. Par exemple, les blogs ou sites internationaux sans systรจme de transaction bancaire.ย 

Il existe, au-delร  de ces catรฉgories, certains certificats trรจs utiles pour les entreprises. Les certificats pour domaines multiples (MDC) par exemple. Ceux-ci permettent de sรฉcuriser plusieurs domaines et/ou sous-domaines diffรฉrents sous un seul SSL.ย 

Certificat SSL

Comment obtenir un certificat SSL ou TLS?

Ces certificats doivent รชtre obtenus auprรจs des Certificate Authorities ou CA (Autoritรฉ de Certification/AC en franรงais). Il en existe des centaines, toutes n’ayant pas la mรชme pertinence et crรฉdibilitรฉ. On vous conseille de choisir un AC reconnu ร  la fois par les navigateurs et systรจmes dโ€™exploitation. Ces derniers tiennent des listes ร  jour des certificats dignes de confiance. Le prix de ce certificat variera en fonction du niveau de sรฉcuritรฉ souhaitรฉ et de lโ€™AC. Cโ€™est รฉgalement le cas pour le dรฉlai dโ€™obtention de votre certificat.ย ย 

Un certificat non reconnu donnera lieu ร  des messages dโ€™alerte profรฉrรฉs par le navigateur de votre visiteur. Cela aura tendance ร  le dissuader de visiter votre site, et celui-ci se rendra sur un site concurrent. De nombreux AC proposent des certificats SSL gratuits, et ceux-ci peuvent รชtre inclus dans votre forfait dโ€™hรฉbergement.ย  Dโ€™ailleurs, les hรฉbergeurs permettent gรฉnรฉralement lโ€™activation de votre certificat de faรงon rapide et simple. Si toutefois vous gรฉrez vous-mรชme votre serveur, la procรฉdure se dรฉroule en 3 รฉtapes :ย 

  • Configurez votre serveur pour lโ€™envoi de votre dossier auprรจs de lโ€™AC choisie. Vรฉrifiez que vos coordonnรฉes sont ร  jour, notamment pour lโ€™authentification de votre organisation.ย 
  • Mettez en place votre Certificate Signing Request (CSR) sur votre serveur. Il sโ€™agit de la demande de signature du certificat. Puis transmettez votre demande ร  votre AC.ย 
  • Installez le certificat qui vous a รฉtรฉ fourni par votre Autoritรฉ de Certification.ย 

Nous espรฉrons que cet article vous aura aidรฉ ร  comprendre lโ€™intรฉrรชt de la sรฉcurisation des donnรฉes. Le HTTPS et les certificats TLS sont des technologies indispensables au bon fonctionnement des รฉchanges sur Internet. Cependant, ce sont des protocoles vouรฉs ร  รฉvoluer pour maintenir leur efficacitรฉ. Quelles seront les technologies de demain?

Pierre
Pierre Woo

Expert en acquisition digital. La stratรฉgie marketing n'a plus de secret pour Pierre. Aprรจs plus d'une dizaine d'annรฉes dans la direction Marketing, Pierre a cofondรฉ 99digital pour accompagner les entreprises dans la croissance rentable grรขce au SEO. Acquisition | Conversion | Fidรฉlisation

Laisser un commentaire