Si vous souhaitez faire rรฉaliser votre site internet ou crรฉer un blog, ou hรฉberger celui-ci, vous entendrez parler du HTTPS. Dans ce cadre, on entend aussi parler de certificats SSL. Mais de quoi sโagit-il ? Et ร quoi servent ces รฉlรฉments dans le dรฉveloppement de votre site internet ? Comme dโhabitude, on vous explique tout !
Introduction au HTTPS
Initialement, le HTTP dรฉsigne leย HyperTextย Transferย Protocol.ย Par la suite, ce protocole de transfert des donnรฉes a รฉvoluรฉ vers leย HTTPSย pour plus de sรฉcuritรฉ des internautes.ย Vous lโaurez peut-รชtre aperรงu au dรฉbut des adresses web, accompagnรฉ dโun petit cadenas.ย Faisons le point.ย
HTTP, HTTPS โฆ Cโest quoi ? Dรฉfinition
HTTPSย signifieย HyperTextย Transferย Protocolย Secure.ย En franรงais, il sโagit dโun protocole de cryptage et de transfert des donnรฉes de faรงon sรฉcurisรฉe.ย Il sโagit dโun programme ayant pour objectif de sรฉcuriser les รฉchanges de donnรฉes entre deux pรดles. Lorsque vous naviguez sur Internet et consultez des sites, votre machine reรงoit et envoie des donnรฉes ร un serveur. Le protocoleย HTTPSย a pour mission de protรฉger le transfert de ces donnรฉes, notamment grรขce auย SSL/TLS. On reviendra sur les dรฉfinitions de ces termes.ย
En bref, le HTTP vous permet lโรฉchange de donnรฉes entre plusieurs machines et serveurs grรขce ร plusieurs technologies sous-jacentes. Le HTTPS vous permet de le faire de faรงon sรฉcurisรฉe grรขce au cryptage de ces donnรฉes. La plupart des sites internet sont aujourdโhui utilisateurs du HTTPS.
Pourquoi passer votre site en HTTPS ?
Le fait de passer votre site internet sous HTTPS a une importance capitale. On dit รงa pour plusieurs raisons distinctes :ย
- Pour sรฉcuriser votre site internet,
En effet, les hackers dรฉveloppent continuellement leurs compรฉtences. Leur objectif ? Dรฉtournement et vol de donnรฉes, pour la vente ou lโutilisation frauduleuse. Ainsi, il vous faut assurer la sรฉcuritรฉ des donnรฉes gรฉnรฉrรฉes ou transmises par votre site.ย - Pour ne pas se faire bouder par Google et les autres moteurs de recherche,
En effet, le HTTPS est devenu un standard pour les sites internet. Ceux qui sont en HTTP ont tendance ร รชtre moins bien rรฉfรฉrencรฉs, voire mรชme bloquรฉs.ย - Pour respecter la loi,
En effet, cโest le Rรจglement Gรฉnรฉral de la Protection des Donnรฉes (RGPD) qui veut รงa. Tout รฉditeur doit assurer la sรฉcuritรฉ de son site ร travers les technologies les plus rรฉcentes disponibles. Le HTTPS en fait partie.ย
Vous lโaurez compris, il sโagit dโune quasi obligation de passer au HTTPS, pour les visiteurs, le SEO, et la loi.ย
Tout comprendre sur le SSL
Une fois la notion de HTTPS intรฉgrรฉe, nous pouvons parler des certificats de cryptage. Anciennement nommรฉs SSL, et caractรฉrisรฉs par ce terme, ce sont cependant les TLS qui sont aujourdโhui ร utiliser.
Certificat SSL/TLS cโest quoi ?
Ces certificats sont des protocoles de chiffrement des donnรฉes qui sont des extensions au protocole de transport. SSL signifie Secure Sockets Layer et TLS correspond ร Transport Layer Security. Il sโagit de technologies permettant de sรฉcuriser les donnรฉes grรขce ร la cryptographie ร clรฉ publique. Les donnรฉes sont transformรฉes en des suites de nombres gรฉnรฉrรฉes alรฉatoirement. Grรขce ร des clรฉs (l’une privรฉe, l’autre publique) elles peuvent รชtre dรฉchiffrรฉes par le serveur et la machine.ย Ces donnรฉes peuvent par exemple correspondre ร des informations personnelles, des coordonnรฉes bancairesโฆ Ce chiffrement permet uniquement ร lโexpรฉditeur et au destinataire des donnรฉes de les consulter. Cela รฉvite notamment le vol de celle-ci par une personne mal intentionnรฉe lors dโun envoi par connexion.ย
En ce sens, les certificats SSL et TLS permettent dโauthentifier lโidentitรฉ dโun site. Cela permet de sรฉcuriser sa connexion avec le navigateur et le serveur. Lors dโune phase de nรฉgociation SSL, qui dure quelques millisecondes, le serveur et le navigateur รฉchangent. Lors dโune demande de connexion, le certificat SSL est fourni et un accord รฉlectronique est signรฉ. Une connexion sรฉcurisรฉe et chiffrรฉe est รฉtablie, et le cadenas apparaรฎt ร cรดtรฉ de lโadresse du site web. (Depuis aoรปt 2020, ce nโest plus le cas pour tous les navigateurs).ย
Le certificat SSL a รฉtรฉ introduit en 1995 suite ร de nombreuses failles de sรฉcuritรฉ dans la transmission de donnรฉes. Cette technologie a connu de nombreuses versions modernisรฉes, mais toutes รฉtant obsolรจtes aujourdโhui. Le TLS a succรฉdรฉ au SSL en 1999 en fournissant une version plus efficace, sรปre et flexible de ce certificat. Il est toujours utilisรฉ aujourdโhui sous sa version 1.2, disponible depuis 2018.
Les diffรฉrents types de certificats SSL/TLS
Il existe diffรฉrents types de certificats SSL. Ceux-ci peuvent รชtre regroupรฉs dans 3 grandes catรฉgories :ย
- EV SSL – Certificat ร validation รฉtendue
Les certificats ร validation รฉtendue sont les plus sรฉcurisรฉs et les plus chers. Ils ne seront pas indispensables pour les petits sites sans collecte de donnรฉes. Cependant, ils seront fortement recommandรฉs pour les sites de commerce en ligne. Ceux-ci assurent une protection maximale des donnรฉes, en vรฉrifiant lโidentitรฉ du propriรฉtaire du site. Une fois obtenus et activรฉs, ces certificats permettent lโaffichage du cadenas dans la barre d’adresse.ย Ce cadenas peut รชtre accompagnรฉ des coordonnรฉes de lโentreprise, de sorte ร la distinguer de sites frauduleux.ย - OV SSL – Certificat ร validation de lโorganisation
Ce type de certificat est ร mi-chemin entre les deux autres gammes prรฉsentรฉes. Plus performant que le DV, lโOV vรฉrifie lโidentitรฉ du propriรฉtaire du site. Il reste cependant moins coรปteux que lโEV. Ce type de certificat est recommandรฉ pour lโensemble des sites commerciaux ou en relation avec le public. Il sรฉcurise les transactions bancaires et les donnรฉes confidentielles.ย - DV SSL – Certificat ร validation de domaine
Idรฉal pour les entreprises qui ont besoin dโun certificat rapidement, peu cher, et sans dรฉmarches administratives. Le chiffrement est minimal, assurรฉ sur la sรฉcuritรฉ des donnรฉes. Cependant, lโidentitรฉ du destinataire nโest pas vรฉrifiรฉe. Ces certificats seront surtout utilisรฉs pour les sites qui ne transfรจrent pas de donnรฉes sensibles. Par exemple, les blogs ou sites internationaux sans systรจme de transaction bancaire.ย
Il existe, au-delร de ces catรฉgories, certains certificats trรจs utiles pour les entreprises. Les certificats pour domaines multiples (MDC) par exemple. Ceux-ci permettent de sรฉcuriser plusieurs domaines et/ou sous-domaines diffรฉrents sous un seul SSL.ย
Comment obtenir un certificat SSL ou TLS?
Ces certificats doivent รชtre obtenus auprรจs des Certificate Authorities ou CA (Autoritรฉ de Certification/AC en franรงais). Il en existe des centaines, toutes n’ayant pas la mรชme pertinence et crรฉdibilitรฉ. On vous conseille de choisir un AC reconnu ร la fois par les navigateurs et systรจmes dโexploitation. Ces derniers tiennent des listes ร jour des certificats dignes de confiance. Le prix de ce certificat variera en fonction du niveau de sรฉcuritรฉ souhaitรฉ et de lโAC. Cโest รฉgalement le cas pour le dรฉlai dโobtention de votre certificat.ย ย
Un certificat non reconnu donnera lieu ร des messages dโalerte profรฉrรฉs par le navigateur de votre visiteur. Cela aura tendance ร le dissuader de visiter votre site, et celui-ci se rendra sur un site concurrent. De nombreux AC proposent des certificats SSL gratuits, et ceux-ci peuvent รชtre inclus dans votre forfait dโhรฉbergement.ย Dโailleurs, les hรฉbergeurs permettent gรฉnรฉralement lโactivation de votre certificat de faรงon rapide et simple. Si toutefois vous gรฉrez vous-mรชme votre serveur, la procรฉdure se dรฉroule en 3 รฉtapes :ย
- Configurez votre serveur pour lโenvoi de votre dossier auprรจs de lโAC choisie. Vรฉrifiez que vos coordonnรฉes sont ร jour, notamment pour lโauthentification de votre organisation.ย
- Mettez en place votre Certificate Signing Request (CSR) sur votre serveur. Il sโagit de la demande de signature du certificat. Puis transmettez votre demande ร votre AC.ย
- Installez le certificat qui vous a รฉtรฉ fourni par votre Autoritรฉ de Certification.ย
Nous espรฉrons que cet article vous aura aidรฉ ร comprendre lโintรฉrรชt de la sรฉcurisation des donnรฉes. Le HTTPS et les certificats TLS sont des technologies indispensables au bon fonctionnement des รฉchanges sur Internet. Cependant, ce sont des protocoles vouรฉs ร รฉvoluer pour maintenir leur efficacitรฉ. Quelles seront les technologies de demain?