Cet article vous a plu?
8
Cet article vous a plu?
8

Des sites Internet plus sûrs grâce au SSL et HTTPS

L’espionnage et l’usage abusif de données est un problème sérieux, aussi bien pour les autorités internationales que pour le consommateur final à titre privé.  C’est pour cette raison que le thème de la sécurité sur Internet prend une importance croissante. Ce n’est pas que dans la sphère privée que l’on utilise toujours plus de services Internet, mais aussi au niveau des entreprises. Le monde des affaires assiste en effet à une transformation digitale très rapide. Dans le but de sécuriser les transmissions et l’administration de données internes d’entreprises, de données clients et autres informations sensibles, l’utilisation des protocoles SSL et HTTPS est devenue un standard courant.  Mais quelle est la signification de ces acronymes et comment appliquer ces protocoles de sécurité à mon site Internet ?

Qu’est-ce que le SSL ?

La notion de SSL (acronyme de « Secure Socket Layers ») définit une technique de chiffrement et d’authentification des flux de données en réseau. Autrement dit, cela garantit une transmission de données sécurisée d’un site Web, entre un navigateur et le serveur Web. La mise en place de ces certificats SSL (appelé TLS dans sa version ultérieure pour « Transport Layer Security ») est avant tout indispensable pour les sites de e-commerce, où les données confidentielles et sensibles fluctuent.  Ces données sensibles, protégées par un chiffrement SSL, varient de par leur nature, comme le montrent les exemples ci-dessous :

  • données d’inscription : nom, adresse, email, numéro de téléphone
  • données d’identification : adresse email et mot de passe
  • informations de paiement : numéro de carte de crédit et autres coordonnées bancaires
  • formulaires de saisie
  • documents téléchargés par le client
Conseil

A propos de sites web, vous pouvez réserver votre nom de domaine gratuit dès maintenant chez 1&1 !

Avec le SSL, on s’assure que les communications ne tombent pas entre de mauvaises mains et qu’elles ne puissent ni être lues, ni être manipulées.

Qu’est-ce que HTTPS ?

HTTPS (« Hypertext Transport Protocol Secure ») est le protocole correspondant à la sécurisation des transmissions de données. Le sigle HTTP désigne sa version antérieure non sécurisée.  Sur les sites Web HTTP, les données peuvent théoriquement être lues et modifiées et un client en ligne ne peut s’assurer de savoir s’il transmet ses coordonnées bancaires à un commerçant ou à un hacker.  HTTPS et SSL chiffrent les données HTTP et assurent l’authentification des demandes. Les experts recommandent entre-temps la mise en place de TLS, soit la dernière version. On utilise pourtant encore couramment la désignation SSL pour parler de la version TLS.

Avantages de l’utilisation de SSL/TLS et de HTTPS :

  • Protection des données et sécurité pour clients et partenaires ;
  • Risque réduit de vol et d’usage abusif de données ;
  • Répercussions positives dans le référencement Google ;
  • Permet l’utilisation de HTTP/2 pour un site Web plus performant ;
  • Certificat facilement reconnaissable pour l’utilisateur et inspirant la confiance.
Conseil

Le cadenas vert qui apparaît à côté des URL HTTPS symbolise que le site prend la sécurité au sérieux. Ceci aide à augmenter le niveau de confiance de l'utilisateur.

Passer un site Web en SSL et HTTPS

Les pages les plus récentes peuvent bien entendu être créées directement sur la base de ces protocoles SSL/TLS. Même pour les pages déjà existantes, le passage à un protocole sécurisé comme HTTPS ne présente pas un trop grand investissement, en termes de temps et d’efforts. La première étape consiste à établir des certificats SSL pour leurs domaines respectifs.

Acquérir un certificat SSL

Les certificats SSL sont une sorte de preuve d’identité d’un site Web. La place d’attribution officielle (CA pour Certificate Authority), grâce à laquelle on obtient le certificat, est une identité examinée au préalable qui garantit la justesse des indications.  Les certificats SSL sont classés sur le serveur et chargés à chaque visite sur un site doté du protocole HTTPS. Il y a différents types de certificats qui se distinguent par l’étendue de leur identification :

  • Certificat à validation de domaine (DV):

Il s’agit des certificats comportant le niveau d’authentification le plus bas. Dans ce cas, le CA vérifie seulement si le demandeur est en possession du domaine correspondant pour lequel il veut obtenir un certificat. Les informations d’une entreprise ne sont pas contrôlées lors de la vérification et c’est pourquoi il reste un risque dans la validation du domaine. De par le faible effort d’authentification, le certificat est toutefois rapidement établi par le CA et est de surcroît le moins cher des trois types de certificat SSL.

Les certificats à validation de domaine sont très adaptés pour les sites Web pour lesquels le lien de confiance concernant la sécurité des données de l’internaute n’est pas une priorité et pour les sites qui ne présentent aucun risque d’escroquerie ou d’hameçonnage (Phishing).

  • Certificat à validation d’organisation (OV):

Ce type de validation est plus détaillé et donc plus sûr. Mis à part la propriété du domaine, le CA vérifie des informations organisationnelles pertinentes supplémentaires comme par exemple l’appartenance au registre du commerce. Les informations vérifiées par le CA sont accessibles pour un visiteur quelconque, ce qui renforce la confiance envers un pour un site Web. De par son processus de contrôle, le certificat SSL à validation d’organisation s’avère plus coûteux que le certificat SSL à validation de domaine. Cependant, le CA d’organisation présente un plus haut degré de sécurité.
Ce certificat est adapté aux sites Web sur lesquels on effectue des transferts de données qui ne sont pas sensibles.

  • Certificat à validation étendue (EV):

Il s’agit là du certificat proposant le niveau d’authentification le plus élevé et le plus volumineux. A la différence du certificat à validation d’organisation, les informations d’entreprises sont vérifiées sur des critères d’attribution plus sévères et détaillés. En outre, ce certificat est seulement attribué grâce à une autorisation du CA, (Certificate Authority). La vérification détaillée des entreprises accorde le plus haut niveau de sécurité et cela permet ainsi de renforcer la confiance et la crédibilité vis-à-vis d’un site Web. Par ailleurs, le certificat à validation étendue est la solution qui représente le coût le plus élevé.  

Ce certificat est notamment adapté pour les sites Web qui collectent des coordonnées bancaires ou bien d’autres données sensibles.

Cliquez ici pour télécharger l’infographique sur les différents types de certificats SSL.

Installation et configuration

L’étape suivante consiste en l’installation du certificat SSL sur le serveur. De nombreux prestataires de service d’hébergement Web se chargent de sa mise en place. Dans le domaine de la relation client, on peut la plupart du temps directement recourir au certificat correspondant proposé par le fournisseur. Un client 1&1 peut sans problème ajouter un certificat SSL à son offre d’hébergement Web existante à partir du centre de contrôle. Le certificat est compris dans de nombreuses offres de ce type et l’installation varie selon le fournisseur. En règle générale, ces fournisseurs de service ou fournisseurs de certificats mettent à disposition des indications d’installation et des instructions appropriées. Une implémentation techniquement parfaite dépendra principalement des critères suivants :

  • choisir correctement le certificat,
  • codage adapté,
  • configuration du serveur appropriée.

Problèmes et erreurs lors de la réorganisation

Lors du passage d’un site à un certificat SSL, diverses erreurs peuvent survenir. Pourtant il est possible de les éviter de manière à ne pas subir de pénalités dans son référencement ou des problèmes de redirection de pages Web par exemple.

Les exploitants de sites Web qui souhaitent passer un site Web en SSL et HTTPS devraient :

  • Eviter les certificats périmés : un certificat périmé voire non valide fera apparaître un message d’alerte disgracieux dans une fenêtre du navigateur de l’utilisateur. L’image véhiculée de confiance et de sécurité auprès de l’utilisateur serait donc dans ce cas complètement détruite.
  • Mettre en place les bonnes redirections: afin d’éviter les duplicatas de contenus, l’administrateur doit mettre en place les bonnes redirections, et notamment via une redirection 301 avec .htaccess permettant de modifier la cible de certaines URLs de façon naturelle. De cette manière, on peut éviter que Google distingue la page http de la nouvelle page HTTPS et qu’il s‘attende à ce que les deux contenus soient différents, ce qui impacterait leur référencement. 
  • Adapter les comptes publicitaires en ligne (Google AdWords, Bing Ads et autres) : si l’on insère des contenus (images, notes, photos) non codés dans un site HTTPS, une fenêtre d’information disgracieuse apparaîtra et importunera l’utilisateur. Cela s’avère surtout problématique dans un circuit d’annonce publicitaire. Les publicités sont pourtant encore pour la plupart envoyées de manière non codée. Les comptes publicitaires correspondants doivent absolument être adaptés. 
  • Mettre en place des outils d’administration et Google Analytics : théoriquement, le site HTTP et sa variante HTTPS sont considérés comme deux sites Web différents. La variante HTTPS doit être enregistrée dans l’outil d’administration lors du passage au SSL/HTTPS.
  • Actualiser le sitemap XML : le sitemap doit également être actualisé et être intégré dans l’outil d’administration.
  • Vérifier les liens internes et externes : même si des redirections 301, ou .htaccess, permettent de cacher des liens défectueux, il convient de changer tous les liens internes après le passage au protocole HTTPS. Des modifications manuelles pourraient s’avérer nécessaires, même après avoir retravaillé les contenus dans votre CMS. Pour les liens externes les plus importants (notamment les pages authority, qui déterminent la qualité de contenu d’une page), on devrait essayer de les modifier pour les rediriger vers l’adresse HTTPS.

Téléchargez votre checklist gratuite


Téléchargez une version abrégée, ainsi qu’une liste détaillée des points importants à considérer lors d’une conversion de site web à https.

Checklist transfert SSL (version courte)

Checklist transfert SSL (version longue)

Comment peut-on vérifier la validité d’un certificat?

Si un site Web est chargé et qu’il est chiffré avec un certificat SSL valide, cela apparaît directement dans l’URL en question :

Si un site n’est pas sécurisé, comme l’exemple ci-dessous, cela est indiqué par un cadenas barré.

Le « s » du protocole HTTPS se traduit par secure et indique que la mage marquée comme tel est codée par un certificat SSL. Une indication visuelle différente selon le type de certificat apparaît pour montrer si une page est sécurisée :

Avec la vérification SSL gratuite de 1&1 , il suffit d’un clic pour vous assurer que votre certificat SSL actuel est correctement installé et que votre site Web est protégé des attaques

Check SSL ici

Confiance accrue pour le Web grâce aux sites sécurisés

Outre les avantages du cryptage SSL mentionnés ci-dessus, la confiance accrue des utilisateurs pour le Web, et notamment grâce aux sites d’entreprises sécurisés, va par extension faire augmenter la confiance pour les entreprises elles-mêmes. C’est là un argument essentiel de l’importance de la sécurité Web dans le monde des affaires.

Transcription de l‘interview Part 1 []

La confiance est aujourd’hui le sujet de prédilection des acteurs du Web, tant dans le domaine du B2B (business to business) que dans le B2C (business to consumer). L’industrie du SSL et du TLS émet désormais l’hypothèse que tout doit être crypté et que les gens oublient souvent la seconde fonction de SSL qui n’est pas tant de chiffrer, mais d’authentifier.

Il faut se rendre à l’évidence. Les internautes ne sont pas tous à l’aise sur la Toile et se posent souvent les questions suivantes : « suis-je sur un site vraiment sérieux ? Est-ce que cette boutique en ligne est sécurisée ? Suis-je en sécurité ici au regard de mes données personnelles ? ». La confiance est devenue la préoccupation première des utilisateurs du Web. Quand nous quittons le travail et que nous nous déconnectons à la fin de la journée, nous devenons des consommateurs.

Nous allons sur des sites de banque en ligne, nous consultons nos emails, nous échangeons sur les réseaux sociaux. En tant qu’internaute, les sites doivent respecter un certain nombre d’indicateurs de sécurité. Ce n’est pas une surprise si on prend en compte l’actualité internationale. Il y a une cassure et nous devons tous les jours faire des compromis. Toute organisation devrait ainsi se demander : « suis-je la prochaine victime ? Quand serais-je visée ? ».  

Ce phénomène est assez triste quand on y songe. La situation est telle qu’on devient las de ces sites. En même temps, nous devenons avides de tout signe rassurant, tant en ce qui concerne notre vie privée que la sécurité de nos données bancaires. Ainsi, il est conseillé aux entrepreneurs du Web d’adopter ces symboles de confiance dont le but est de rassurer les internautes. Tels sont les aspects qui rendent le cryptage de données légitime, notamment dans le monde des affaires.

Dans ce contexte, nous vous donnons trois recommandations d’actions concrètes pour permettre à votre entreprise de répondre à l’attente de sécurité croissante des internautes au sujet de votre site Web.

Transcription de l‘interview Part 2 []

J’aimerais émettre trois recommandations :

La première est d’utiliser des sceaux de confiance. Il s’agit de ces petits indicateurs visibles sur la barre URL des sites Internet, à côté des boutons d’achat voire à la fin des expériences utilisateurs avec des phrases telles que « ce processus est authentifié, ne comporte aucun virus et respecte les normes de protection des données personnelles. »

La seconde est l’adoption du certificat SSL (EV SSL), soit le niveau de sécurité SSL le plus élevé.

Outre les sceaux de confiance et le certificat SSL, il existe un troisième facteur appelé Always On SSL. Ce programme permet de crypter un site en entier. Comme je l’ai évoqué au début de l’interview, il faut mettre davantage l’accent sur la sécurité et la confiance que sur le cryptage. L’authentification fonctionne également avec les deux premières recommandations évoquées.

  • Intégrez un sceau de confiance à votre site Web

Le sceau de confiance est rapidement devenu un indicateur courant de la fiabilité d’un site Web. Ces différents cachets garantissent par exemple la sécurité des données, du flux de paiements ou encore une protection contre les programmes malveillants.

  • Intégrez un certificat SSL avec un haut niveau de sécurité

Les certificats à haut niveau de sécurité mettent directement en avant leur présence dans la barre de recherche des navigateurs grâce à une indication visuelle de leur chiffrement sécurisé sur une page. Cela permet d’augmenter la confiance des internautes (cf. certificats et symboles ci-dessus).

  • « Always on SSL »

Le certificat SSL devrait être appliqué à toutes les sous-pages d’un domaine, et non pas seulement sur une page d’identification de membre ou celle d’un panier d’achats. Ainsi, l’utilisateur se sentira en confiance du début jusqu’à la fin de sa visite.

HTTPS dans le contexte du référencement Web

Les répercussions du passage à une page Web sécurisée (HTTPS) sur le référencement Web a suscité de nombreux débats ces dernières années. Google avait en effet annoncé l’effet positif que ce certificat pouvait entraîner sur le référencement d’un site sur son moteur de recherche. Google voudrait ainsi rendre le Web plus sûr et inciter les exploitants de sites Internet à sécuriser tous leurs sites Internet sans exception. Les pages non sécurisées sont pour cela marquées par une croix rouge sur le navigateur Google Chrome. Jusqu’ici, les pages HTTP étaient représentées normalement (de manière standard, sur un fond blanc) tandis que les pages HTTPS sont représentées par un cadenas vert. Il est donc opportun de passer toutes les pages Web vers le protocole HTTPS.

Indépendamment des critères de référencement en ligne, les pages HTTPS sont un gage de qualité et de sérieux. Les internautes sont toujours plus sensibilisés sur le sujet de la sécurité sur Internet et ils peuvent donc dorénavant distinguer les pages sécurisées de celles qui ne le sont pas.

Sécurité