AccueilEspace TPE/PMEVotre site internetSécurité / Obligations légales7 questions-réponses sur les certificats SSL et leur niveau de sécurité

10 questions-réponses sur les certificats SSL et leur niveau de sécurité

En 2023, selon le baromètre de la Fevad, le secteur du e-commerce en France (produits et services) avoisine les 160 milliards d’euros, soit une hausse de plus de 10 % par rapport à 2022. Avec un tel essor, la sécurité des transactions et la confidentialité des informations client est, plus que jamais, une préoccupation majeure pour les consommateurs et les entreprises. Cette responsabilité revient aux propriétaires de sites web qui doivent se munir d’un certificat SSL afin de protéger les activités effectuées par leurs clients sur leurs pages internet. On vous explique.

  • Quelques définitions
  • 1. Comment fonctionne le protocole HTTPS ?
  • 2. Quel est le lien entre protocole HTTPS et certificat SSL ?
  • 3. Quelle est la différence entre certificat SSL et TLS ?
  • 4. Pourquoi utiliser un certificat SSL ?
  • 5. Quel certificat SSL choisir ?
  • 6. Peut-on utiliser un certificat SSL sur plusieurs serveurs ? 
  • 7. Comment obtenir un certificat SSL ?
  • 8. Que se passe-t-il après l’expiration d’un certificat SSL ?
  • 9. Comment savoir si un site possède un certificat SSL valide ?
  • 10. Comment vérifier que votre session en ligne est bien sécurisée ?
    • Progresser grâce aux experts du .fr

    Venez profiter de conseils d’experts partout en France et échanger avec d’autres entrepreneurs sur leurs retours d’expérience et les bonnes pratiques numériques

    Trouvez votre accompagnement gratuit


    Quelques définitions

    Qu’est-ce qu’un certificat de sécurité internet ?

    Un certificat de sécurité internet, ou certificat SSL (Secure Sockets Layer), est un fichier électronique qui authentifie l’identité d’un site web et établit une connexion chiffrée entre ce dernier et les navigateurs des utilisateurs. Il garantit que les données échangées restent confidentielles et sécurisées pour les protéger contre les cyberattaques, telles que le vol de données ou les intrusions. Les certificats sont émis par des autorités de certification, des entités de confiance qui valident l’identité des propriétaires de sites.

    Les certificats SSL remplissent plusieurs objectifs : assurer l’authenticité du site visité, chiffrer les informations transmises et renforcer la confiance des utilisateurs. Les avantages d’avoir un site vérifié incluent une meilleure sécurité pour les données utilisateurs, une meilleure position dans les résultats des moteurs de recherche et la protection des transactions financières.

    Qu’est-ce qu’un HTTPS ?

    HTTPS est un protocole web sécurisé qui utilise des certificats SSL. Il est aujourd’hui bien plus utilisé que sa version non sécurisée, c’est-à-dire dépourvue de certificat de sécurité internet : le HTTP. Le « S », pour Sécurité, et le picto cadenas, qui s’affiche à côté d’une adresse web HTTPS, indiquent donc qu’un site est digne de confiance.

    Au-delà du secteur de l’e-commerce, avec ses achats en ligne, c’est aujourd’hui l’ensemble des sites web qui sont concernés par cette généralisation du HTTPS. Les internautes qui souhaiteraient se rendre sur un site dépourvu de ce « S » seront mis en garde et très souvent découragés de poursuivre leur navigation.

    1. Comment fonctionne le protocole HTTPS ?

    HTTP est la règle qui régit le transfert de données de sites web sur Internet. N’importe quel élément d’une page web visitée, n’importe quel texte saisi dans un formulaire de contact, n’importe quel clic sur un lien, est régi par les règles HTTP.

    La version avec un « S », HTTPS, signifie simplement « Sécurisé ». Elle  apporte une couche de sécurité supplémentaire de 2 façons :

    • Authentification : HTTPS établit un lien entre un site web et son visiteur uniquement, afin que chaque partie sache avec certitude avec qui elle échange.
    • Chiffrement : HTTPS encode l’échange. Seuls le site web et le visiteur du site web peuvent décoder et lire ce qui se trouve dans une communication donnée.

    Le protocole HTTPS constitue donc un tunnel entre le serveur web et le navigateur de l’internaute. Quand bien même un escroc parviendrait à intercepter les données, elles seraient chiffrées et inexploitables. HTTPS garantit ainsi un échange de données parfaitement sécurisé et le certificat de sécurité internet est ce qui le permet.

    2. Quel est le lien entre protocole HTTPS et certificat SSL ?

    Pour utiliser un protocole HTTPS et chiffrer les données envoyées et reçues, un site web doit fournir un certificat qui porte la signature cryptographique d’une autorité de certification de confiance. Cette dernière se porte garante de l’identité du serveur web.

    Le certificat SSL (dont le nom le plus correct est en fait TLS – voir question 3) est le processus de vérification de l’identité d’un serveur web qui permet l’ouverture d’une « session » sécurisée à l’aide de la cryptographie à clé publique.

    Lors de la connexion à un site web : 

    • Le navigateur exige que le serveur web qui héberge le site s’identifie
    • Le serveur web montre son certificat SSL
    • Le navigateur vérifie ce certificat et confirme avec le serveur qu’il l’a bien vérifié
    • Le serveur transmet un accusé de réception numérique et lance une « session chiffrée » via une clé partagée entre les deux parties 
    • La clé partagée doit elle-même être signée de manière cryptographique

    Le certificat SSL a donc pour fonction principale la confirmation que la machine qui lance un échange d’informations chiffrées ne ment pas sur le fait qu’elle représente réellement un nom de domaine ou une organisation.

    3. Quelle est la différence entre certificat SSL et TLS ?

    TLS est le terme technique (et le protocole) correct à utiliser : toutes les versions de SSL sont maintenant officiellement dépréciées. Mais le terme « certificat SSL » est toujours un mot clé bien référencé dans les moteurs de recherche et ancré dans les esprits, c’est pourquoi il est plus populaire et rencontré très fréquemment. Donc, lorsque l’on se demande quelle est la différence entre certificat SSL et TLS et quel terme il faut utiliser, la réponse techniquement correcte est TLS, mais SSL reste approprié, culturellement parlant.

    4. Pourquoi utiliser un certificat SSL ?

    Initialement, les certificats SSL étaient majoritairement utilisés par les sites e-commerce et de traitement de données privées : si les visiteurs d’un site doivent s’inscrire pour accéder à une fonction, ou se connecter à leur compte avec leur propre nom d’utilisateur et un mot de passe, il doit alors être protégé par un certificat SSL. A fortiori, quand un site implémente un module de paiement, il est impératif d’utiliser un certificat de sécurité internet pour éviter que les informations confidentielles de paiement ne fuitent.

    Sans que l’utilisation d’un certificat SSL ne soit obligatoire, les moteurs de recherche ont su se montrer persuasifs quant à son adoption. Le protocole HTTPS est utilisé, depuis 2014, comme un critère de référencement (positionnement d’un site dans les pages de résultats) par Google. Le moteur Bing de Microsoft a emboîté le pas, en 2015. Qwant, le moteur de recherche français, applique aussi cette pratique. Ce qui fait du certificat SSL un élément indissociable du paysage numérique, aujourd’hui.

    Par ailleurs, l’URL des sites non HTTPS apparaît comme « non sécurisé », et se couple parfois d’un message d’alerte concernant la confidentialité des données. Mauvais démarrage pour gagner la confiance des visiteurs !

    Pour résumer, outre le fait d’améliorer votre classement Google et votre taux de conversion, ainsi que de renforcer la confiance de vos clients, un certificat SSL permet aussi de sécuriser :

    • Les identifiants de connexion
    • Les transactions financières, incluant les paiements par carte de crédit et les informations bancaires
    • Les informations personnelles identifiables, comme le nom, l’adresse, la date de naissance et le numéro de téléphone
    • Les documents juridiques et contrats
    • Les dossiers médicaux
    • Les informations confidentielles

    5. Quel certificat SSL choisir ?

    Il existe différents niveaux de certificats SSL, qui offrent des sécurisations et garanties financières différentes.

    Le certificat SSL entreprise ou à validation étendue (EV)

    Un certificat SSL entreprise offre le plus haut niveau de protection actuellement disponible. Il est validé de la même manière que les certificats pro, mais il inclut également la vérification de votre entreprise dans les documents d’enregistrement publics et une étape de vérification des appels téléphoniques. Ce type de certificat convient aux sites web qui traitent un grand nombre de données très sensibles, tels que les sites de e-commerce populaires.

    Le certificat à validation de l’organisation (OV SSL)

    Le certificat OV SSL offre un niveau de sécurité intermédiaire. Il authentifie à la fois l’identité du propriétaire du site web et chiffre les données échangées. Lors de la délivrance, l’autorité de certification vérifie l’existence juridique et physique de l’organisation. Ce certificat est bien adapté aux sites web traitant des informations sensibles, des entreprises ou des services publics, mais qui ne requièrent pas la validation plus stricte des certificats EV.

    Le certificat à validation de domaine (DV SSL)

    Il s’agit du certificat de validation standard, qui est utile pour sécuriser toutes les pages de connexion de votre site web, telles qu’une interface administrative ou un espace réservé aux membres, ou bien un service de messagerie web. C’est pourquoi il est souvent utilisé pour les blogs ou sites internationaux n’effectuant pas de collecte de données et/ou sans solution de paiement en ligne. Le certificat DV SSL utilise un type de vérification automatique, et vérifie aussi que le demandeur a des droits administratifs sur le nom de domaine, ce qui signifie qu’il peut modifier la configuration technique du nom de domaine.

    Le certificat SSL pro

    Un certificat de validation pro est valable pour les sites qui effectuent tout type de transactions financières, tels que les sites e-commerce ou une zone de connexion client, qui peut contenir des données sensibles. Il ajoute une garantie financière en cas de violation ou de problème de sécurité. Si vous souhaitez acheter ce type de certificat, il faut fournir des documents d’identification agissant comme condition de validation supplémentaire.

    La taille des certificats

    En fonction du nombre de noms de domaine et/ou sous-domaines à protéger, il est possible de jouer sur la taille du certificat au sein de chaque niveau de certificat SSL. Les « tailles » de certificat SSL correspondant au nombre d’adresses couvertes : 

    1. Certificat SSL Une Adresse

    Il ne couvrira qu’une simple adresse complète, comme « adresse-internet.fr ».

    1. Certificats SSL génériques 

    Un certificat Wildcard couvrira un nom de domaine et tous ses sous-domaines. Par exemple « shop.adresse-internet.fr », « blog.adresse-internet.fr » en complément de « adresse-internet.fr » 

    1. Certificats SSL pour domaines multiples (MDC)

    Un certificat Multi-Domaines permet de définir une liste d’adresses, même avec des noms de domaine différents, couvertes par un seul certificat. Ce genre de certificat de sécurité internet peut-être intéressant financièrement par rapport à l’acquisition d’un certificat à « une adresse » pour chacune des adresses concernées. Il existe aussi des certificats pour les communications unifiées (UCC), servant à sécuriser plusieurs noms de domaine ou sous-domaines d’un service de communication, qui sont considérés comme des certificats SSL pour domaines multiples.

    6. Peut-on utiliser un certificat SSL sur plusieurs serveurs ? 

    Il est en effet possible d’utiliser un certificat SSL sur plusieurs domaines ou serveurs, avec :

    1. Les certificats SSL pour plusieurs domaines

    Les certificats SSL multi-domaines (SAN ou UCC) permettent de sécuriser plusieurs noms de domaine ou sous-domaines avec un seul certificat. Cela simplifie la gestion et réduit les coûts. Ils sont particulièrement adaptés aux entreprises qui gèrent plusieurs sites web depuis un seul et unique serveur.

    1. Les certificats SSL sur plusieurs serveurs

    Les certificats dits « Wildcard » peuvent également être installés sur plusieurs serveurs, tant qu’ils protègent les sous-domaines d’un même domaine principal. Cependant, l’utilisation d’un certificat SSL unique sur plusieurs serveurs nécessite une configuration précise, comme la réplication des clés privées, ce qui représente des risques accrus si la gestion des clés n’est pas strictement sécurisée.

    7. Comment obtenir un certificat SSL ?

    Pour obtenir un certificat SSL, il y a 4 étapes, pendant lesquelles le propriétaire du site doit apporter la preuve de sa légitimité, c’est-à-dire prouver l’identité de son entreprise : 

    • Choisir le niveau et la taille du certificat SSL (voir question 6)
    • Créer la CSR (Certificate Signing Request, Demande de Signature de Certificat)
    • Créer la clé privée nécessaire à la mise en place du certificat de sécurité internet
    • Générer le fameux certificat qui devra être installé physiquement sur le serveur d’hébergement pour être interrogé par le navigateur du visiteur

    Même si ces étapes semblent compliquées « derrière le rideau », la réalité est plus simple et automatisée. La plupart des bureaux d’enregistrement ou des éditeurs de site internet intègre aujourd’hui la certification SSL dans leurs offres. Ils gèrent ainsi la création des certificats SSL, du début à la fin, si vous possédez votre nom de domaine ET votre hébergement de site chez eux, car ils sont en mesure de savoir si vous êtes bien le bon utilisateur en charge de ces produits. 

    En tant qu’autorités de certification, ils peuvent aussi gérer pour vous leur renouvellement annuel, obligatoire depuis 2020 dans le cadre de la réglementation internationale. Il ne vous reste donc plus qu’à vérifier que votre site s’affiche bien en HTTPS. Sans quoi, il vous faudra simplement activer le certificat SSL dans votre console de gestion de site.

    8. Que se passe-t-il après l’expiration d’un certificat SSL ?

    Les certificats SSL ont une durée limitée, allant souvent de 12 à 27 mois, pour garantir que les informations de sécurité et les protocoles cryptographiques restent à jour. Cela réduit le risque d’attaques liées à des vulnérabilités anciennes. Une mauvaise gestion des certificats, notamment pour les TPE/PME, peut entraîner une perte de confiance des clients, nuire à l’image de l’entreprise et compromettre la sécurité des données.

    Après l’expiration d’un certificat SSL, le site devient vulnérable et les connexions sécurisées sont interrompues. Les navigateurs affichent alors des avertissements, sous la forme d’un message d’erreur intimidant, qui indique que le site web n’est pas fiable, avant de pouvoir accéder au site. Ce qui tend à faire fuir les visiteurs, entre autres conséquences.

    Perte de trafic

    Ce genre de messages va décourager une large partie de vos visiteurs d’aller plus loin. Seules les personnes les plus déterminées poursuivront vers votre site, en dépit des notifications alarmantes affichées par le navigateur.

    Perte de SEO

    Cette perte de trafic, donc de popularité, va nécessairement affecter votre référencement SEO dans les pages de résultats des moteurs de recherche.

    Perte de chiffre d’affaires

    Il est peu probable qu’un utilisateur se risque à saisir les informations de sa carte de crédit sur un site web non sécurisé. Une mauvaise gestion de vos certificats SSL causera donc une perte, au moins partielle, de chiffre d’affaires. Même après avoir résolu le problème, votre trafic, votre référencement et vos ventes mettront du temps à rebondir.

    9. Comment savoir si un site possède un certificat SSL valide ?

    Pour vérifier si un site possède un certificat SSL valide, suivez ces étapes simples :

    • Regarder la barre d’adresse : La première vérification consiste à observer l’URL. Un site sécurisé commence par « https », le « s » indiquant ici une connexion sécurisée, contrairement à « http ».
    • Regarder l’icône du cadenas : Un cadenas vert ou gris à côté de l’URL signifie que le certificat de sécurité internet du site est valide.
    • Signaux d’alerte : Faites attention aux avertissements tels qu’un cadenas rouge, un triangle d’avertissement ou des messages du navigateur signalant un problème de sécurité. Cela indique souvent un certificat expiré ou invalide.

    10. Comment vérifier que votre session en ligne est bien sécurisée ?

    Pour s’assurer que votre session en ligne est sécurisée, voici quelques étapes à suivre :

    Certificats EV ou OV : Privilégiez les sites disposant de certificats SSL à validation étendue (EV) ou organisationnelle (OV) pour envoyer vos informations sensibles. Ces certificats garantissent une vérification approfondie de l’identité du site.

    Déclaration de confidentialité : Consultez la politique de confidentialité du site pour comprendre comment vos données sont collectées et utilisées.

    Signes de confiance : Recherchez des éléments de sécurité comme le cadenas ou des labels de confiance (Trusted Shops, Norton Secured, AFNOR Certification).

    Attention au phishing : Méfiez-vous des courriels ou liens suspects qui peuvent rediriger vers des sites frauduleux. Vérifiez toujours l’authenticité de l’envoyeur du message, avant de fournir des informations confidentielles.

    En conclusion, un certificat de sécurité internet est le moyen utilisé par votre site web pour montrer aux navigateurs que vous êtes bien celui que vous prétendez être. La gestion d’un certificat SSL n’est pas compliquée. Le fait de pouvoir le faire à partir d’une seule et même interface est une facilité à ne pas négliger. Lorsque vous gérez vos certificats SSL en même temps que vos noms de domaine et votre hébergement, vous disposez de la visibilité nécessaire pour résoudre rapidement tout problème lié à vos certificats SSL et les renouveler, les régénérer ou les révoquer si nécessaire.

    Vous vous assurez ainsi :

    • Des transferts de données sécurisés
    • Une expérience utilisateur de qualité
    • Un meilleur référencement naturel (SEO)

    Article rédigé par les experts du .fr

    Partager

    S’inscrire
    à la newsletter