Depuis 2014, Google s’est donné pour mission de rendre le Web plus sûr. Et tout particulièrement généraliser l’utilisation du protocole HTTPS. Cette longue mission doit s’achever dans quelques semaines, en juillet 2018, lorsque le géant des moteurs de recherche commencera à imposer le HTTPS aux utilisateurs de Chrome.
Si votre site Web n’a pas de certificat SSL après juillet, vous risquez :
- D’être catégorisé comme site « non sécurisé » par l’un des navigateurs les plus populaire au monde, Google Chrome.
- Perdre votre classement et votre référencement dans les moteurs de recherche et donc perdre en trafic
- Être potentiellement piraté
- Perdre la confiance et de la crédibilité aux yeux des utilisateurs
Heureusement, vous avez encore un peu de temps. Dans cet article, nous allons vous expliquer la signification des protocoles SSL et HTTPS, comment ils fonctionnent, pourquoi vous devriez en faire une priorité et comment obtenir un certificat SSL avant juillet.
Comment savoir si mon site web est équipé d’un certificat ssl ou non ?
Un site Web dispose d’un certificat SSL si la barre d’adresse du navigateur affiche un cadenas vert et le mot « sécurisé ». Elle devrait aussi afficher « https » au lieu de « http ».
Vous ne savez pas si votre site est sécurisé ? Recherchez un cadenas vert devant votre URL.
Si un cadenas vert est suivi du nom de l’entreprise ou de l’organisation, également en vert, cela signifie que le site dispose d’un certificat à validation étendue (EV), qui est le niveau de validation le plus élevé qui soit. Avec ce certificat, les entreprises publiant un site Web devront présenter leur propre identité vérifiée aux visiteurs du site et seront ainsi considérées plus sûres, car une validation manuelle de l’identité est effectuée par le demandeur.
Que sont les protocoles https et ssl ?
Quand vous saisissez une URL dans votre navigateur précédée de http://, vous demandez à Internet de se connecter au site Web via un protocole HTTP. Abréviation anglaise de HyperText Transfer Protocol, le http est une série de normes utilisées pour transférer les données sur le Web. Ces données sont transmises non cryptées. C’est essentiellement du texte brut, du code.
Le HTTPS est la version sécurisée du protocole HTTP (le « S » signifie « Secure »). Quand vous entrez une URL précédée de https://, vous dites au navigateur de se connecter par protocole HTTPS et avec une connexion cryptée par SSL ou Secure Sockets Layer (également appelée TRL, mais nous développerons cela un peu plus loin).
Donc qu’est-ce que le SSL ? C’est fondamentalement la technologie alimentant le protocole HTTPS. On pourrait le définir comme la technologie de sécurité permettant d’établir un lien crypté entre un serveur Web et un navigateur. Ce lien garantit que toutes les données transmises entre le serveur Web et les navigateurs restent privées.
Le HTTPS est donc un protocole HTTP avec une couche de cryptage SSL. Les serveurs et les navigateurs communiquent toujours de la même manière entre eux, mais sur une connexion SSL sécurisée qui crypte et décrypte leurs requêtes et leurs réponses.
La couche SSL a deux objectifs :
- Elle vérifie que vous communiquez directement avec le serveur avec qui vous croyez parler
- Elle garantit que le serveur, et uniquement lui, peut lire ce que vous envoyez et seulement vous, pouvez lire ce qu’il vous renvoie
Qu’est-ce que le TLS ?
Si vous entendez l’acronyme TLS utilisé avec SSL, c’est parce qu’ils sont essentiellement similaires.
Le protocole TLS a été introduit en 1999 en tant que successeur du protocole SSL 3.0. Il a été conçu pour résoudre les problèmes d’insécurité du protocole SSL. Tandis que le SSL n’est techniquement plus en vigueur, la communauté des internautes parle toujours de certificats SSL pour illustrer les certificats TLS ou parle même de certificats SSL/TLS.
Comment fonctionne le protocole SSL ?
Nous faisons transiter un nombre important d’informations personnelles chaque jour sur le web, que ce soit en créant un nouveau compte, en s’inscrivant à une lettre d’information électronique ou tout simplement en renseignant un formulaire de contact.
Le problème avec le protocole HTTP est que les informations que vous soumettez en ligne ne sont pas cryptées. En d’autres termes, n’importe qui, y compris les hackers, pourrait les intercepter et s’en emparer.
La technologie SSL est plutôt complexe, mais pour l’utilisateur il n’y a aucune différence visible entre le protocole HTTP et le protocole HTTPS à l’exception du cadenas vert de la barre d’adresse du navigateur.
La magie a lieu ailleurs. Le protocole SSL fonctionne en cinq étapes clés pour établir une liaison SSL sécurisée entre votre serveur et le navigateur de l’utilisateur. Pour ce faire, le procédé utilise trois différents types de clés ! La clé publique, la clé privée et la clé de session. Ces clés communiquent entre elles pour établir la session sécurisée de l’utilisateur avec votre site Web.
- L’utilisateur visite votre site et leur navigateur demande à votre serveur de s’identifier.
- Votre serveur renvoie son identifiant (votre certificat SSL) qui inclut une clé publique.
- Leur navigateur vérifie le certificat par rapport à une liste des autorités de certificat de confiance, s’assurant qu’il est valide et à jour.
- Une fois que le navigateur a vérifié que votre serveur est légitime, il renvoie sa propre clé publique et une clé de session unique.
- Votre serveur déchiffre alors la clé de session à l’aide de sa clé privée pour autoriser la session sécurisée.
Une fois la session ouverte, toutes les données transmises sont cryptées. Par le passé, on craignait que la surcharge supplémentaire de SSL puisse exiger des serveurs plus robustes, mais la pratique montre que ces inquiétudes n’avaient pas lieu d’être.
Comment le protocole SSL peut arrêter les hackers ?
Les connexions sécurisées sont une phase importante pour protéger les visiteurs de votre site d’un type de cyber attaque appelée injection de contenu. Un hacker injecte du contenu dans votre site légitime, ou crée un faux site Web ayant l’air sécurisé et légitime en apparence, mais conçu pour escroquer des victimes peu méfiantes par hameçonnage.
Certaines formes communes d’injection de contenu comprennent l’écoute électronique, la modification de données et les attaques de l’intercepteur. Les hackers procèdent parfois à des injections d’optimisation pour les moteurs de recherche (SEO).
Google met en place le protocole HTTPS, car il désire mettre un terme à ce genre d’attaques malveillantes.
Soulignons que le fait de disposer d’un certificat SSL n’est qu’une étape du processus de sécurisation de votre site Web. Le protocole SSL en lui-même ne rend pas votre site plus sûr, il permet simplement de sécuriser les échanges d’informations envoyées entre un site Web et un visiteur.
La sécurité d’un site Web se compose de nombreuses couches, y compris les mises à jour et maintenance de sécurité, qui doivent être implémentées dans le cadre d’un plan de sécurité de site complet et continu.
Pourquoi avez-vous besoin de protocoles SSL et HTTPS dès que possible ?
Comme je le mentionnais au début de cet article, il y a quatre raisons principales expliquant pourquoi vous avez besoin d’un certificat SSL. Regardons-les plus en détail :
-
Etre catégorisé comme site « non sécurisé » par le navigateur le plus populaire au monde
À partir de juillet, Chrome commencera à catégoriser tous les sites HTTP comme « non sécurisé ».
Quand Chrome 68 sera disponible en juillet, il affichera « non sécurisé » pour toutes les pages HTTP.
Chrome représente 58 % du marché, donc quand cette mise à jour sera déployée, plus de 50 % de votre trafic verra que votre site porte la catégorie « non sécurisé ».
-
Perdre votre classement dans les moteurs de recherche et perdre en trafic
Le protocole HTTPS est un signal du classement de recherche Google depuis environ 2014. Alors qu’il y a un certain débat autour du fait que le protocole HTTPS améliore les classements et le trafic des recherches, Google dit que les sites doivent être sécurisés, et ce que dit Google est parole d’évangile. Après tout, Google a 91 % de part de marché, et vous envoie donc plus de trafic que n’importe quel autre moteur de recherche.
-
Etre potentiellement piraté
Comme nous l’avons dit précédemment, avec des connexions HTTP non cryptées, les hackers ont plus de facilité d’effectuer des injections de contenu malveillantes, des mystifications de contenu, des écoutes informatiques, et des attaques de l’intercepteur.
Avec un protocole HTTPS sur votre site, vous pourrez mieux protéger les données utilisateurs. N’importe quelles informations échangées entre les utilisateurs et votre site, y compris les données soumises via un formulaire de contact, des paniers d’achats et des commandes seront cryptées.
-
Perdre la confiance et de la crédibilité aux yeux des utilisateurs
La meilleure raison pour se doter d’un certificat SSL n’est pas l’amélioration du référencement ou une meilleure protection contre les hackers, c’est de gagner la confiance des utilisateurs.
Selon les statistiques, les utilisateurs prêtent attention à la sécurité des sites Web qu’ils visitent et selon certains experts, cela augmente le trafic sur les pages HTTPS par rapport aux pages http.
Comment obtenir un certificat SSL ?
Obtenir un certificat SSL pour votre site se fait en plusieurs étapes variant en fonction de votre hébergeur Web et où vous achetez le certificat. Mais généralement, se doter d’un certificat vous demandera de :
- Choisir le type de certificat
- Générer une requête de signature de certificat
- Demander un certificat SSL
- Installer le certificat SSL
- Configurer WordPress pour qu’il reconnaisse le nouveau statut HTTPS de votre site
- Rediriger le trafic HTTP vers HTTPS
- Vérifier que l’ensemble du contenu de votre site utilise le protocole HTTPS
- Mettre à jour les balises, les déclencheurs et les variables de Google Tag Manager, ainsi que Google Analytics et Google Search Console pour le protocole HTTPS
- Le cas échéant, vérifier que votre codification CDN est compatible avec le protocole SSL
- Tester les plug-ins, les scripts, et outils tiers pour vérifier qu’ils sont mis à jour au protocole HTTPS
- Tester toutes les transactions e-commerce le cas échéant
Choisir un type de certificat dépendra du type de site que vous exécutez. Et la manière dont vous allez demander et installer un certificat dépendra entièrement de votre situation d’hébergement.
Vous êtes prêt à passer au https ? Parteja peut vous aider à configurer votre site avec un certificat ssl.
Contactez-nous pour en savoir plus !