Website mit SSL verschlüsseln und Zertifikat erwerben
9 min

Cryptez votre site Internet!

Le cryptage est un must pour votre site Internet. Il ne s’agit pas que d’une question de confiance et de sécurité, mais c’est aussi important pour le classement Google. Découvrez ici nos conseils pratiques.

Vous le connaissez certainement: le petit cadenas vert qui s’affiche à côté de l’adresse web (URL) dans le navigateur et qui indique que le site en question est sûr. Concrètement, cela signifie que le trafic de données entre le navigateur et le serveur web est crypté et donc à l’abri de l’écoute illicite. Le vol de données est alors quasiment impossible. Sans cryptage, les cybercriminels pourraient assez facilement intercepter des informations telles que des adresses ou des numéros de cartes de crédit et les utiliser de manière abusive.

Le web doit être sûr

Toujours avec SSL chez Swisscom

Avec l’hébergement web de Swisscom, vous êtes protégé: le certificat SSL est inclus dans les trois variantes S, M et L. Pour le pack L, vous pouvez même choisir entre un certificat OV ou EV.

Informations complémentaires

Un site Internet crypté augmente donc la sécurité. Plus il y a d’adresses cryptées, plus l’échange de données sur Internet sera sûr. Et cela va aussi dans le sens du moteur de recherche Google. Le géant du web aimerait en effet qu’un maximum de sites Internet soient accessibles de manière cryptée uniquement car un Internet sûr est également plus attrayant comme plateforme publicitaire. Google a imaginé toute une série de mesures incitant les exploitants de sites Internet à crypter leur présence sur Internet:

  • Google privilégie les sites Internet cryptés dans la liste des résultats de recherche depuis déjà 2004. La position dans les résultats de recherche est ainsi jusqu’à 5% meilleure.
  • Depuis le début de l’année 2017, le navigateur Google Chrome signale les sites Internet non cryptés comportant des champs pour la saisie de mots de passe comme n’étant pas sûrs et déconseille de saisir des données sensibles sur ces sites.
  • Avec le lancement de la version 62 de Chrome en octobre 2017, Google a fait encore un pas de plus: désormais tous les sites Internet non cryptés comportant n’importe quels champs de saisie sont signalés comme non sécurisés.

En particulier, des sites Internet d’entreprises de toutes sortes sont concernés par cette mesure. En effet, la plupart des sites commerciaux comportent un formulaire de contact. Et un site peu sûr ne fait pas vraiment bonne impression auprès des clients: la confiance en pâtit, les utilisateurs sont déstabilisés et il y a de grandes chances pour qu’ils se tournent vers la concurrence. C’est pourquoi, nous vous recommandons de crypter votre site Internet sans tarder.

Comment procéder?

L’objectif n’est pas encore atteint

Les efforts de Google en faveur d’un web plus sûr ont déjà porté leurs fruits. Selon son propre «rapport sur la transparence», les utilisateurs de Chrome accèdent de plus en plus à des sites garantissant une transmission cryptée. En fonction de la plate-forme système, le taux est passé de près de 30% d’utilisateurs en 2015 à 75% en juillet 2017. Les sites de grandes entreprises et d’organes officiels, ainsi que ceux des réseaux sociaux comme Facebook, y contribuent naturellement pour une très large part. En effet, cela fait longtemps qu’ils ont tous crypté leur site.

Les chiffres des «SSL by Default Statistics» de builtwith.com montrent cependant une image toute différente: si l’on considère l’ensemble du web, c’est-à-dire près de 375 millions de sites Internet, seuls environ 370 000 sont cryptés, soit tout juste 0,1%… Et si l’on analyse les sites Internet des PME suisses, on ne tombe que rarement sur le petit cadenas vert. Il y a donc encore beaucoup à faire.

Les nouveaux sites Internet devraient être cryptés dès le départ, c’est-à-dire être créés avec les systèmes SSL et HTTPS. Les sites existants qui ne sont pas encore cryptés doivent être convertis. La check-list est alors bien utile. Dans les deux cas, il s’agit en premier lieu de faire l’acquisition d’un certificat SSL. La plupart des fournisseurs d’hébergements web proposent des certificats avec parfois une installation automatique et des mises à jour régulières. En effet, les certificats SSL ne sont valables que pour une durée limitée et doivent donc être renouvelés régulièrement. Vous trouverez les configurations qui s’y rapportent en vous connectant à l’espace de gestion de votre site Internet.

Chez de nombreux hébergeurs web, les certificats DV simples sont gratuits. Les certificats OV et EV sont quant à eux payants. Leur prix varie selon le type et se situe entre CHF 100.– à environ CHF 900.– par an. La confiance accrue des utilisateurs justifie pleinement cet investissement, et ce d’autant plus si le site propose des transactions commerciales, telles qu’une boutique en ligne par exemple.

De nos jours, le cryptage SSL est une obligation pour tous les sites Internet d’entreprise. Il ne s’agit en aucun cas d’une tracasserie, mais c’est un réel avantage, aussi bien en termes de classement Google qu’en termes de confiance accrue de la part des utilisateurs. Un certificat DV suffit amplement pour un site Internet simple. De nombreuses entreprises suisses de renom, qui misent déjà sur le cryptage SSL, s’en contentent d’ailleurs. Les exploitants de boutiques en ligne et de sites web de grande envergure, sur lesquels les internautes doivent saisir des données confidentielles, doivent quant à eux acquérir au minimum un certificat OV.

Check-list: pour réussir le cryptage de votre site Internet

Attention, cela devient technique! Mais rassurez-vous: votre webmaster saura parfaitement de quoi il s’agit pour les points ci-après:

  1. Backup: sauvegardez le site actuel, y compris les images et bases de données. Si quelque chose ne fonctionne pas comme prévu, vous pourrez toujours revenir à l’état antérieur.
  2. Installez et activez le certificat SSL. Rendez-vous pour ce faire dans l’espace de gestion de votre site Internet chez votre hébergeur web. Testez ensuite si votre site Internet est accessible via https://.
  3. Basculez vos adresses HTTP actuelles sur leurs pendants HTTPS. Un «301-Redirect» côté serveur est alors la méthode la plus simple. Votre hébergeur web s’en charge volontiers pour vous – veillez aux options «Rediriger automatiquement toutes les requêtes vers HTTPS://» ou «forcer SSL».
  4. Modifier les liens internes: les liens vers les pages ou les contenus de votre site Internet doivent être modifiés de «http://…» en «https://…». Pour les sites Internet statiques (documents HTML), cette manipulation se fait tout simplement dans un éditeur de texte à l’aide de la fonction chercher/remplacer. Si vous utilisez un système de gestion de contenu (CMS), il convient de vérifier si les liens ont été modifiés automatiquement vers la variante cryptée. Dans le cas contraire, vous devez faire le changement vous-même.
  5. Modifier les liens externes: informez du changement tous vos partenaires qui ont mis votre site Internet en lien. Même si les requêtes non cryptées sont automatiquement redirigées, il est préférable que tous les liens renvoient directement au site crypté.
  6. Vérifiez le code source de vos sites Internet: si le header contient des éléments tels que des tags canoniques ou des tags HREFLANG, Open Graph ou encore Base URL, ceux-ci doivent être modifiés pour les adresses cryptées.
  7. Attention: pour les moteurs de recherche, le changement de cryptage est équivalent à un déménagement de domaine. C’est pourquoi, il convient d’actualiser votre sitemap avec les nouvelles adresses HTTPS. Soumettez également le nouveau document XML auprès des moteurs de recherche, via la Search Console de Google par exemple. La nouvelle sitemap accèdera ainsi plus rapidement à l’index de recherche.
  8. Vous avez intégré des contenus externes, tels qu’images, annonces publicitaires, webfonts, formulaires ou bibliothèques JavaScript? Alors ces éléments doivent aussi être adaptés à la connexion cryptée afin que le navigateur n’affiche pas de message dissuasif en raison de «contenus mixtes». Renseignez-vous auprès du fournisseur de ce type de contenus pour savoir s’ils sont aussi accessibles en mode crypté. Si ce n’est pas le cas, nous vous recommandons de vous poser la question si vous pouvez héberger ces contenus sur votre serveur directement.

SSL, HTTPS et certificats: les aspects techniques du cryptage

Lors de la transmission de données cryptées, les protocoles réseau et web SSL (Secure Sockets Layer) et HTTPS (Hypertext Transfer Protocol Secure) entrent en jeu. Ou plus exactement: TLS (Transport Layer Security) et HTTPS, car au sens strict, SSL est le prédécesseur désuet de TLS. On parle cependant encore toujours de «cryptage SSL» et de «certificats SSL».

Les sites cryptés SSL/TLS sont chargés avec le protocole HTTPS, alors que le protocole classique HTTP ne permet qu’une transmission non sécurisée des données. Un détail bon à savoir: les sites HTTPS sont chargés bien plus rapidement que les sites identiques chargés avec HTTP. Faites le test sur https://www.httpvshttps.com.

Un certificat SSL doit être installé sur le serveur web pour que le cryptage fonctionne. Il doit être édité par un organe digne de confiance, ou plus précisément par une autorité de certification (AC). Symantec, Comodo et Geotrust sont des organes de certification connus. Les certificats SSL sont disponibles en trois variantes:

  • Un certificat à validation de domaine (DV) indique que le trafic de données est crypté et que le domaine affiché (par exemple notreentreprise.com) correspond au site recherché. Les sites sécurisés DV sont accompagnés du célèbre petit cadenas vert. Les certificats DV sont quasiment disponibles immédiatement.
  • Avec un certificat à validation d’organisation (OV), l’AC vérifie en plus si le domaine appartient véritablement à l’entreprise affichée et non pas à un autre propriétaire. La procédure de validation peut durer entre 2 à 3 jours. Avec un certificat OV, les clients ont l’assurance de se retrouver bel et bien chez l’entreprise légitime recherchée – ce qui représente un avantage de taille pour les boutiques en ligne notamment.
  • Pour un certificat à validation étendue (EV), le propriétaire du domaine est soumis à des contrôles plus approfondis. Et cela peut prendre jusqu’à une semaine. Avec un certificat EV, en plus du cadenas, le nom de l’entreprise s’affiche également en vert dans la plupart des navigateurs courants. Les certificats EV sont l’idéal pour les sites qui requièrent des données sensibles ou qui transmettent des informations médicales, par exemple.

Pour ce qui est de la sécurité, les trois variantes sont identiques. Avec un certificat DV simple, le trafic de données est crypté avec les mêmes méthodes sûres que pour les autres certificats. Notre conseil: sélectionnez dans tous les cas un fournisseur professionnel et veillez à une longueur de clé suffisante: les certificats avec un cryptage 256 bits ne sont plus actuels, il faut au moins 2048 bits.

De plus, les certificats OV et EV garantissent la validation du domaine (OV) et l’authenticité de l’entreprise (EV) et instaurent ainsi la confiance auprès des internautes. Selon la variante choisie, les certificats SSL sont disponibles, sur demande, pour plusieurs domaines (Multi-Domain) ou pour un nombre illimité de sous-domaines (Wildcard, par exemple pour www.notreentreprise.ch, blog.notreentreprise.ch et portailclient.notreentreprise.ch).

 

Image de titre: Keystone

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Read now