7 questions-réponses sur les certificats SSL et leur niveau de sécurité
Le secteur du e-commerce (produits et services) dépasse 129 milliards d’euros en 2021, soit une hausse de 15,1% sur l’année. Avec cet essor, c’est toute la sécurité en ligne qui devient une préoccupation majeure : pour les consommateurs, mais également pour les navigateurs web et surtout pour les sites. Car c’est aux propriétaires de sites web qu’il incombe de veiller à ce que les sites web soient sécurisés.
Venez profiter de conseils d’experts partout en France et échanger avec d’autres entrepreneurs sur leurs retours d’expérience et les bonnes pratiques numériques
ARTICLE PARTENAIRE : GANDI
HTTPS est un protocole web sécurisé qui utilise des certificats SSL. Il est aujourd’hui bien plus utilisé que sa version non sécurisée : HTTP. Le « S », pour Sécurité, et le picto cadenas, qui s’affiche à côté d’une adresse web HTTPS, indiquent donc qu’un site est digne de confiance.
Au-delà du seul secteur de l’e-commerce, avec ses achats en ligne, c’est aujourd’hui l’ensemble des sites qui est concerné par cette généralisation du HTTPS. Un(e) internaute qui souhaiterait se rendre sur un site dépourvu de ce « S » dans son protocole sera mis(e) en garde et très souvent découragé(e) de poursuivre sa navigation.
1. Comment fonctionne le protocole HTTPS ?
2. Quel est le lien entre protocole HTTPS et certificat SSL ?
3. Quelle est la différence entre certificat SSL et TLS ?
4. Pourquoi utiliser un certificat SSL ?
5. Quel certificat SSL choisir ?
6. Comment obtenir un certificat SSL ?
7. Que se passe-t-il si un certificat SSL n’est pas activé ou renouvelé ?
1. Comment fonctionne le protocole HTTPS ?
HTTP est la règle qui régit le transfert de données de sites web sur Internet. N’importe quel élément d’une page web visitée, n’importe quel texte saisi dans un formulaire de contact, n’importe quel clic sur un lien, est régi par les règles HTTP.
HTTPS en est la version sécurisée, « S » signifiant simplement « sécurisé ». Cette version apporte une couche de sécurité supplémentaire de 2 façons :
- Authentification : HTTPS établit un lien entre un site web et son visiteur uniquement, afin que chaque partie sache avec certitude avec qui elle échange.
- Chiffrement : HTTPS encode l’échange. Seuls le site web et le visiteur du site web peuvent décoder et lire ce qui se trouve dans une communication donnée.
HTTPS constitue un tunnel entre le serveur web et le navigateur de l’internaute. Quand bien même un escroc intercepterait les données, elles seraient chiffrées et inexploitables.
HTTPS garantit un échange de données parfaitement sécurisé et le certificat SSL est la pièce maîtresse de ce processus.
2. Quel est le lien entre protocole HTTPS et certificat SSL ?
Pour utiliser un protocole HTTPS et chiffrer les données envoyées et reçues, un site web doit fournir un certificat qui porte la signature cryptographique d’une autorité de certification. Cette dernière se porte garante de l’identité du serveur web.
Le certificat SSL (dont le nom le plus correct en fait TLS – voir question 3) est le processus de vérification de l’identité d’un serveur web qui permet l’ouverture d’une « session » sécurisée à l’aide de la cryptographie à clé publique :
Lors de la connexion à un site web :
- Le navigateur exige que le serveur web qui héberge le site s’identifie
- Le serveur web montre son certificat SSL
- Le navigateur vérifie ce certificat et confirme avec le serveur qu’il l’a bien vérifié
- Le serveur transmet un accusé de réception numérique et lance une « session chiffrée » via une clé partagée entre les deux parties
- La clé partagée doit elle-même être signée de manière cryptographique
Le certificat SSL a donc pour fonction principale la confirmation que la machine qui lance un échange d’informations chiffrées ne ment pas sur le fait qu’elle représente réellement un nom de domaine ou une organisation.
A cette fin, le certificat SSL doit être signé par une Autorité de Certification, qui se porte garante du propriétaire du certificat.
3. Quelle est la différence entre certificat SSL et TLS ?
TLS est le terme technique (et le protocole) correct à utiliser : toutes les versions de SSL sont maintenant officiellement dépréciées. Mais le terme « certificat SSL » est toujours un mot clé bien référencé dans les moteurs de recherche et ancré dans les esprits, c’est pourquoi il est plus populaire et rencontré très fréquemment.
Donc, lorsque l’on se demande quelle est la différence entre certificat SSL et TLS et quel terme il faut utiliser, la réponse techniquement correcte est TLS, mais SSL reste approprié, culturellement parlant.
4. Pourquoi utiliser un certificat SSL ?
Initialement, les certificats SSL étaient majoritairement utilisés par les sites e-commerce et de traitement de données privées. En effet, si les visiteurs doivent s’inscrire sur un site ou se connecter à leur compte avec leur propre nom d’utilisateur et mot de passe, le site doit être protégé par un certificat SSL. A fortiori lorsqu’il met à disposition un module de paiement, il est impératif d’utiliser un certificat SSL pour éviter que les informations confidentielles de paiement ne fuitent.
Sans que l’utilisation d’un certificat SSL ne soit obligatoire, les moteurs de recherche ont su se montrer persuasifs quant à son adoption. Le protocole HTTPS est, depuis 2014, considéré comme un critère de référencement (positionnement d’un site dans les pages de résultats) par Google, faisant du certificat SSL un élément indissociable du paysage numérique.
L’URL des sites non HTTPS apparaît comme « non sécurisé », et se couple parfois d’un message d’alerte concernant la confidentialité des données. Mauvais démarrage pour gagner la confiance des visiteurs !
5. Quel certificat SSL choisir ?
Il existe différents niveaux de certificats SSL, qui offrent des sécurisations et garanties financières différentes.
Le certificat SSL standard
Un certificat de validation standard est utile pour sécuriser toutes les pages de connexion de votre site web, telles qu’une interface administrative sur votre site ou un espace réservé aux membres, ou encore un service de messagerie web.
Il utilise un type de vérification automatique. Ce niveau de vérification a pour but de vérifier que le demandeur d’un certificat SSL a également des droits administratifs sur le nom de domaine, ce qui signifie qu’il peut modifier la configuration technique du nom de domaine.
Le certificat SSL pro
Un certificat de validation pro est valable pour les sites qui effectuent tout type de transactions financières, tels que les sites de e-commerce ou une zone de connexion client, qui peut contenir des données sensibles.
Le certificat pro ajoute une garantie financière en cas de violation ou de problème de sécurité.
Si vous souhaitez acheter ce type de certificat, vous devez fournir des documents d’identification agissant comme condition de validation supplémentaire.
Le certificat SSL entreprise ou Validation étendue (EV)
Un certificat SSL entreprise offre le plus haut niveau de protection actuellement disponible. Il est validé de la même manière que les certificats pro, mais il inclut également la vérification de votre entreprise dans les documents d’enregistrement publics et une étape de vérification des appels téléphoniques. Ce type de certificat convient aux sites web qui traitent un grand nombre de données très sensibles, tels que les sites de e-commerce populaires,
En fonction du nombre de noms de domaine et/ou sous-domaines à protéger, il sera également possible de jouer sur la taille du certificat au sein de chaque niveau de certificat SSL. Les « tailles » de certificat SSL correspondant au nombre d’adresses couvertes par un seul certificat SSL :
- Un certificat SSL Une Adresse ne couvrira qu’une simple adresse complète, comme « super-entreprise.fr »
- Un certificat Wildcard couvrira un nom de domaine et tous ses sous-domaines. Par exemple « shop.super-entreprise.fr », « blog.super-entreprise.fr » en complément de « super-entreprise.fr »
- Un certificat Multi-Domaines permet de définir une liste d’adresses, même avec des noms de domaine différents, couvertes par un seul certificat. Ce genre de certificat peut-être intéressant financièrement par rapport à l’acquisition de plusieurs certificats « Une Adresse » pour chacune des adresses concernées.
6. Comment obtenir un certificat SSL ?
Pour l’obtention d’un certificat SSL, il y a 4 étapes, qui ont pour but de voir le propriétaire du site apporter la preuve de sa légitimité :
- Choisir le niveau et la taille du certificat SSL (voir question 5)
- Créer la CSR (Certificate Signing Request, Demande de Signature de Certificat)
- Créer la clé privée nécessaire à la mise en place du certificat SSL
- Générer le fameux certificat qui devra être installé physiquement sur le serveur d’hébergement pour être interrogé par le navigateur du visiteur.
Voici ce qui se passe « derrière le rideau ». Mais la réalité est bien plus automatisée et simplifiée. La plupart des bureaux d’enregistrement, comme Gandi, ou les éditeurs de site internet intègrent aujourd’hui la certification SSL dans leurs offres. Ils gèrent ainsi la création de vos certificats SSL, du début à la fin, si vous possédez votre nom de domaine ET votre hébergement de site chez eux, car ils sont en mesure de savoir que vous êtes bien le bon utilisateur en charge de ces produits. En tant qu’Autorités de Certification ils peuvent aussi gérer pour vous leur renouvellement annuel, obligatoire depuis le 1er septembre 2020 dans le cadre de la réglementation internationale. Il ne vous reste plus qu’à vérifier que votre site s’affiche bien en HTTPS. Sans quoi, il vous faudra simplement activer le certificat SSL dans votre console de gestion de site.
7. Que se passe-t-il si un certificat SSL n’est pas activé ou renouvelé ?
Une mauvaise gestion de certificat SSL vous fera perdre la confiance de vos visiteurs.
Lorsqu’un certificat SSL expire ou n’est plus valide, les utilisateurs qui se dirigent vers une adresse web verront un message d’erreur intimidant indiquant que le site web n’est pas fiable, avant de pouvoir accéder au site.
Perte de trafic
Ce genre de messages découragera une partie de vos visiteurs d’aller plus loin.
Seules les personnes les plus déterminées poursuivront vers votre site en dépit des notifications intimidantes affichées par le navigateur.
Perte de SEO
Une perte de trafic, donc de popularité, peut affecter votre référencement SEO dans les pages de résultats des moteurs de recherche.
Perte de chiffre d’affaires
Il est peu probable qu’un utilisateur se risque à saisir les informations de sa carte de crédit sur un site web qui n’est pas correctement sécurisé. Une mauvaise gestion de vos certificats SSL pourrait donc vous faire perdre une partie de votre chiffre d’affaires.
Même après avoir résolu le problème, votre trafic, votre référencement et vos ventes peuvent mettre du temps à rebondir.
Conclusion
Un certificat SSL est le moyen utilisé par votre site web pour montrer aux navigateurs que vous êtes bien celui que vous prétendez être.
La gestion d’un certificat SSL n’est pas compliquée. Le fait de pouvoir le faire à partir d’une seule et même interface est une facilité à ne pas négliger. Lorsque vous gérez vos certificats SSL en même temps que vos noms de domaine et votre hébergement, vous disposez de la visibilité nécessaire pour résoudre rapidement tout problème lié à vos certificats SSL et les renouveler, les régénérer ou les révoquer si nécessaire.
Vous vous assurez ainsi :
- Des transferts de données sécurisés
- Une expérience utilisateur de qualité
- Un meilleur référencement naturel (SEO).
Depuis 2005, Gandi est un des premiers bureaux d’enregistrement accrédité par l’ICANN pour l’extension .fr. L’entreprise est partenaire de l’Autorité de Certification Sectigo et peut fournir tout niveau de certificat SSL.
Lorsque vous enregistrez votre nom de domaine en .fr pour votre site, le certificat SSL standard est inclus : https://www.gandi.net/fr/domain/tld/fr
