Des sites Internet plus sûrs grâce au SSL et HTTPS

La notion de SSL (acronyme de « Secure Socket Layers ») définit une technique de chiffrement et d’authentification des flux de données en réseau. Autrement dit, cela garantit une transmission de données sécurisée d’un site Web, entre un navigateur et le serveur Web. La mise en place de ces certificats SSL ou de son développement TLS ( « Transport Layer Security ») est avant tout indispensable pour les sites de e-commerce et pour les banques en ligne, où de nombreuses données confidentielles et sensibles fluctuent.

Ces données sensibles, souvent protégées par un chiffrement SSL/TLS, peuvent être les suivantes :

• données d’inscription : nom, adresse, email, numéro de téléphone
• données d’identification : adresse Email et mot de passe
• informations de paiement : numéro de carte de crédit et autres coordonnées bancaires
• formulaires de saisie
• documents téléchargés par le client

Avec le SSL/TLS, on s’assure que les communications ne tombent pas entre de mauvaises mains et qu’elles ne puissent ni être lues, ni être manipulées.

Les pages les plus récentes peuvent bien entendu être créées directement sur la base de ces protocoles SSL/TLS. Même pour les sites déjà existants, le passage au SSL/TLS ne présente pas un investissement trop grand en termes de temps et d’effort. Pour les deux cas, la première étape est dans tous les cas la même : vous devez acquérir un certificat SSL.

Les certificats SSL sont une sorte de preuve d’identité d’un site Web. La place d’attribution officielle (CA pour Certificate Authority), grâce à laquelle on obtient le certificat, est une identité examinée au préalable qui garantit la justesse des indications. Les certificats SSL sont classés sur le serveur et chargés à chaque visite sur un site HTTPS. Il y a différents types de certificats qui se distinguent par l’étendue de leur identification :

• Certificat à validation de domaine (DV) – gratuit et payant

Il s’agit des certificats comportant le niveau d’authentification le plus bas. Dans ce cas, le CA vérifie seulement si le demandeur est en possession du domaine correspondant pour lequel il veut obtenir un certificat. Les informations d’une entreprise ne sont pas contrôlées lors de la vérification et c’est pourquoi il reste un risque dans la validation du domaine. De par le faible effort d’authentification, le certificat est toutefois rapidement établi par le CA et est de surcroît le moins cher des trois types de certificat SSL – parfois il est même totalement gratuit (Let’s Encrypt).

Les certificats à validation de domaine sont très adaptés pour les sites Web pour lesquels le lien de confiance concernant la sécurité des données de l’internaute n’est pas une priorité et pour les sites qui ne présentent aucun risque d’escroquerie ou d’hameçonnage (Phishing).

• Certificat à validation d’organisation (OV) - payant

Ce type de validation est plus détaillé et donc plus sûr. Mis à part la propriété du domaine, le CA vérifie des informations organisationnelles pertinentes supplémentaires comme par exemple l’appartenance au registre du commerce. Les informations vérifiées par le CA sont accessibles pour un visiteur quelconque, ce qui renforce la confiance envers un site Web. De par son processus de contrôle, le certificat SSL à validation d’organisation s’avère plus coûteux que le certificat SSL à validation de domaine. Cependant, le CA d’organisation présente un plus haut degré de sécurité.

Ce certificat est adapté aux sites Web sur lesquels on effectue des transferts de données qui ne sont pas sensibles.

• Certificat à validation étendue (EV) - payant

Il s’agit là du certificat proposant le niveau d’authentification le plus élevé et le plus volumineux. À la différence du certificat à validation d’organisation, les informations d’entreprises sont vérifiées sur des critères d’attribution plus sévères et détaillés. En outre, ce certificat est seulement attribué grâce à une autorisation du CA, (Certificate Authority). La vérification détaillée des entreprises accorde le plus haut niveau de sécurité et cela permet ainsi de renforcer la confiance et la crédibilité vis-à-vis d’un site Web. Par ailleurs, le certificat à validation étendue est la solution qui représente le coût le plus élevé.

Ce certificat est notamment adapté pour les sites Web qui collectent des coordonnées bancaires ou bien d’autres données sensibles.

Lors du passage d’un site à un certificat SSL, diverses erreurs peuvent survenir. Pourtant il est possible de les éviter de manière à ne pas subir de pénalités dans son référencement ou des problèmes de redirection de pages Web par exemple.

Les administrateurs qui souhaitent passer un site Web en SSL/TLS devraient :

• Eviter les certificats périmés : un certificat périmé voire non valide fera apparaître un message d’alerte disgracieux dans une fenêtre du navigateur de l’utilisateur. L’image véhiculée de confiance et de sécurité auprès de l’utilisateur serait donc dans ce cas complètement détruite.
• Mettre en place les bonnes redirections: afin d’éviter les duplicatas de contenus, l’administrateur doit mettre en place les bonnes redirections, et notamment via une redirection 301 avec .htaccess permettant de modifier la cible de certaines URLs de façon naturelle. De cette manière, on peut éviter que Google distingue la page http de la nouvelle page HTTPS et qu’il s‘attende à ce que les deux contenus soient différents, ce qui impacterait leur référencement.
• Adapter les comptes publicitaires en ligne (Google AdWords, Bing Ads et autres) : si l’on insère des contenus (images, notes, photos) non codés dans un site HTTPS, une fenêtre d’information disgracieuse apparaîtra et importunera l’utilisateur. Cela s’avère surtout problématique dans un circuit d’annonce publicitaire. Les publicités sont pourtant encore pour la plupart envoyées de manière non codée. Les comptes publicitaires correspondants doivent absolument être adaptés.
• Mettre en place des outils d’administration et Google Analytics : théoriquement, le site HTTP et sa variante HTTPS sont considérés comme deux sites Web différents. La variante HTTPS doit être enregistrée dans l’outil d’administration lors du passage au SSL/HTTPS.
• Actualiser le sitemap XML : le sitemap doit également être actualisé et être intégré dans l’outil d’administration.
• Vérifier les liens internes et externes : même si des redirections 301, ou .htaccess, permettent de cacher des liens défectueux, il convient de changer tous les liens internes après le passage au protocole HTTPS. Des modifications manuelles pourraient s’avérer nécessaires, même après avoir retravaillé les contenus dans votre CMS. Pour les liens externes les plus importants (notamment les pages authority, qui déterminent la qualité de contenu d’une page), on devrait essayer de les modifier pour les rediriger vers l’adresse HTTPS.

Si un site Web est chargé et qu’il est chiffré avec un certificat valide, cela apparaît directement dans l’URL en question :

https://www.exemple.fr

Le « s » du protocole HTTPS se traduit par secure et indique que la page marquée comme tel est codée par un certificat SSL/TLS. Une indication visuelle différente selon le type de certificat et de navigateur apparaît pour montrer si une page est sécurisée.