Du HTTP au HTTPS

Un site web http est un site « Non sécurisé », comme l’affiche clairement la barre d’adresse du navigateur. Pour se débarrasser de cette mention gênante et éviter ainsi de faire fuir les visiteurs, il convient de passer à sa variante sécurisée : le HTTPS. Un site sécurisé ou HTTPS sera par ailleurs précédé dans la barre du navigateur d’un cadenas gris fermé, attestant de la confidentialité des données échangées entre le serveur web et le navigateur. Pour résumer, le sigle HTTPS devant un nom de domaine est l’assurance d’une connexion sécurisée, impliquant une authentification des serveurs de connexion ainsi que le chiffrage et l’intégrité des données échangées. Ce dernier est nécessaire pour tout site demandant des données personnelles à ses visiteurs, allant des simples informations de contact à la transmission des coordonnées bancaires pour les achats en ligne, en passant par les authentifications par mot de passe.

D’un point de vue technique, pour passer son site du http au https, il faudra déposer une demande de certificat SSL/TLS auprès d’un organisme de certification. Parallèlement à la multiplication des cyberattaques et des fraudes sur le web, le marché des certificat SSL/TLS a lui aussi connu un véritable essor ces dernières années. On y trouve de nombreux fournisseurs, proposant eux-mêmes différents types de certificats, selon le niveau de sécurité recherché. Certains hébergeurs comme IONOS vont même proposer des certificats SSL/TLS gratuits, inclus avec le pack d’hébergement.

Obtenir son certificat SSL

Comme annoncé précédemment, il existe différents types de certificats SSL. On distinguera les trois grandes catégories suivantes :

• Certificats DV ou à validation de domaine
• Certificats OV ou à validation de l’organisation
• Certificats EV ou à validation étendue

D’une catégorie à l’autre, le nombre des vérifications effectuées augmente, depuis la simple vérification de la propriété du domaine pour un certificat DV à un contrôle étendu à l’existence légale de la société (certificat OV) et à l’identité de son gérant (certificat EV). Une fois le choix arrêté sur un certificat en particulier, il faudra configurer son serveur et vérifier que son dossier WHOIS (nom de la société, adresse, etc.) est à jour pour être transmis à l’autorité de certification. La demande de signature de certificat est à générer directement sur son serveur, éventuellement avec l’aide de l’hébergeur. Ensuite, il ne reste plus qu’à faire parvenir la demande à l’organisme de certification pour qu’il valide le domaine et, si le certificat demandé le nécessite, les différentes informations de l’entreprise. On notera ici que les certificats à validation de domaine sont souvent émis dans les minutes ou les heures suivant la demande, alors que ceux à validation étendue peuvent mettre une semaine à arriver.

Les avantages de la sécurité

Une fois le certificat SSL/TLS configuré sur son hôte web et ses propres serveurs, le protocole https sera activé et le site sécurisé. Ce gage de sécurité pour les visiteurs les incitera à rester sur le site, à prendre le temps de le consulter et pourquoi pas à y effectuer des achats s’il s’agit d’un site de e-commerce. Par ailleurs, renforcer la confiance des utilisateurs est loin d’être le seul objectif d’un tel certificat. Le critère de la sécurité est par exemple pris en compte par l’algorithme Google dans le référencement des sites. Un site présentant le sigle https bénéficiera d’un meilleur référencement naturel et aura ainsi plus de chances d’apparaitre dans les premiers résultats sur les moteurs de recherche. Parallèlement, activer le protocole SSL/TLS permet de protéger les internautes contre le pishing, qui consiste à récupérer les données sensibles des utilisateurs à des fins d’usurpation d’identité. Enfin, le fait de sécuriser son site va accélérer sensiblement l’affichage des pages, plus encore pour les terminaux mobiles. Quand on sait combien d’utilisateurs de nos jours font leur shopping depuis leur smartphone, le choix de la sécurité en sort une fois de plus gagnant.