Guide du blogueur sur le HTTPS et les certificats SSL

Même si vous êtes un profane du web, vous avez probablement déjà remarqué que certains sites commencent par http://. Tandis que d’autres commencent par https://, qui est un peu plus long. Cependant, peu de gens comprennent la signification de ces caractères supplémentaires. Savez-vous ce que cela signifie ?

Les URL qui commencent par « https » sont cryptées pour empêcher les pirates d’intercepter vos données. Au cas où vous ne le sauriez pas encore, le « s » est synonyme de sécurité.

Plus précisément, https signifie Hypertext Transfer Protocol Secure, et le site est crypté à l’aide de SSL (Secure Sockets Layer). Comme de plus en plus d’utilisateurs ont recours au e-commerce, la demande d’intégrité, de sécurité et de confidentialité est devenue primordiale. Les marques ont compris qu’elles devaient se convertir à un protocole plus sûr afin d’atteindre des consommateurs de plus en plus conscients.

Parce que le SSL promet un web plus sûr, Google et d’autres leaders du secteur ont commencé à encourager les sites à migrer. La disponibilité des certificats SSL est devenue un critère de classement il y a plus de trois ans.

Toutefois, avec la sortie de Chrome v62 ce mois-ci, Google affiche désormais les sites non HTTP contenant des champs de saisie de texte (tels que les barres de recherche et les formulaires de contact) avec une étiquette « NOT SECURE » dans la barre d’adresse. Aïe ! Mauvaise nouvelle pour les blogueurs qui ne font pas de e-commerce mais proposent un simple champ de commentaires ou un formulaire d’inscription par courriel. Un label similaire sera également appliqué aux sites disposant d’anciens certificats.

Qu’est-ce qu’un certificat SSL ?

Selon SSL.com, Secure Sockets Layer est « une technologie de sécurité standard qui établit un lien crypté entre un serveur web et un navigateur. Ce lien vital garantit que les données qui transitent entre le web et votre navigateur internet restent sécurisées et privées, inaccessibles aux pirates.

Aujourd’hui, des millions de sites web utilisent des certificats SSL pour protéger l’intégrité des données des clients et des transactions en ligne. Comment cela fonctionne-t-il ?

Lorsqu’un navigateur internet, tel que Chrome, Firefox ou Safari, se connecte au serveur d’un site web, un certificat SSL relie les deux, les rendant suffisamment sûrs pour que seuls le site web qui envoie les données et l’utilisateur qui les saisit puissent les voir.

Qu’en est-il d’un pirate qui veut mettre un programme d’écoute sur votre serveur ? Le hacker va juste brouiller les données et rien ne sera pris.

Un certificat SSL indique également à l’utilisateur des détails sur la fiabilité d’un site web. Lorsqu’un utilisateur visite une page et clique sur le symbole du cadenas ou le symbole de confiance dans son navigateur, il peut lire des détails sur l’identité de la personne, de la société ou de l’organisation qui possède ce site web.

Histoire de la cryptographie et du SSL

La cryptographie a d’abord été utilisée par des dirigeants tels que Jules César pour réorganiser l’ordre des lettres dans les messages envoyés à leurs généraux. Chaque lettre du message est remplacée par une autre lettre située à un certain nombre de lettres de l’alphabet, de sorte que le destinataire peut déchiffrer le message, mais qu’un espion ou un intercepteur hostile ne sait pas ce qu’il regarde.

Bien sûr, la cryptographie moderne est un peu plus sophistiquée. Les chiffres utilisés dans les ordinateurs peuvent manipuler de grands nombres binaires et des programmes permettant d’analyser instantanément les chiffres. Au milieu des années 1970, IBM a conçu un algorithme qui est devenu la norme fédérale de cryptage des données, et d’autres spécialistes des données ont également publié d’autres algorithmes importants qui ont permis une cryptographie plus sophistiquée.

SSL a été développé à l’origine en 1994 par Netscape, alors géant de la recherche, en réponse aux préoccupations croissantes en matière de cybersécurité. Toutefois, en raison de graves failles de sécurité dans la version 1.0, le protocole n’a pas été rendu public avant le lancement de la version 2.0 en 1995. Les versions précédentes ont été basées sur cette troisième version.

Techniquement, le protocole Secure Sockets Layer a été remplacé par le protocole Transport Layer Security dès 1999, mais les deux sont encore communément appelés SSL. Les différences entre les deux étaient légères, mais les conséquences sur la vie privée ont été importantes et se sont accrues avec chaque version ultérieure. En fait, de nombreuses mises à jour ont été effectuées au fil des ans pour y remédier, au fur et à mesure que les faiblesses étaient reconnues et que les pirates utilisaient des méthodes plus sophistiquées pour casser le cryptage.

Avantages de SSL

Si les modifications apportées par Google à Chrome ont mis à mal les blogueurs qui n’ont pas encore opté pour le protocole https. Ce dernier présente de nombreux avantages supplémentaires. Bien sûr, dans le cas du e-commerce, une URL de https:// apporte des clients confiants. Et un client confiant peut augmenter vos ventes. Un site doté d’un certificat SSL valide est instantanément considéré comme plus digne de confiance, plus crédible et plus légitime.

Le protocole SSL protège non seulement la confidentialité des informations du visiteur, mais contribue également à garantir l’intégrité des données du propriétaire du site. Avec un certificat SSL valide, les blogueurs peuvent être assurés que les données saisies sur leur site n’ont pas été altérées ou corrompues en cours de route. Et comme les sites d’hameçonnage se multiplient, usurpant l’identité de pages légitimes dans le but de voler les informations des visiteurs, un site sécurisé peut prouver aux utilisateurs qu’ils sont bien au bon endroit.

SSL et SEO

Cependant, ces dernières années, le SSL a également eu un impact sur les classements de recherche, toujours importants. Google a pris en compte l’état de la sécurité dans son fameux algorithme de classement, une évolution saluée par les blogueurs qui ont déjà effectué la transition. Les sites web sécurisés apparaissent désormais plus haut dans les résultats de recherche que les sites web sans certificat SSL, tous les autres facteurs étant égaux.

En 2015, Google a annoncé qu’il accorderait un traitement préférentiel aux URL qui commencent par https ou http, dans les conditions suivantes.

• Ils ne contiennent pas de dépendances non sécurisées telles que des images, des éléments inclus, des éléments intégrés ou des vidéos non sécurisés.
• Ils ne sont pas bloqués par le fichier robots.txt.
• Aucune redirection vers ou à travers une page HTTP non sécurisée.
• Pas de liens rel= »canonical » vers des pages HTTP.
• Aucune balise meta noindex robots n’est incluse.
• Pas de lien externe sur l’hôte vers l’url HTTP.
• Le plan du site ne contient pas l’url HTTPS ou la version HTTP de l’url.
• Le serveur possède un certificat TLS valide.

Il est important de comprendre ces exigences pour les blogueurs qui souhaitent utiliser les certificats TLS. Si vous migrez votre site Web vers https, mais que votre page contient des liens vers d’autres sites qui ne disposent pas d’un certificat valide, Google ne classera pas cette page comme étant sécurisée. De même, les sites contenant des images, des vidéos ou d’autres graphiques associés à des URL qui n’ont pas été migrés vers TLS ne recevront pas de classement supplémentaire.

Types de certificats SSL

Les types de certificats SSL sont classés en fonction de leur niveau de validation et du nombre de domaines qu’ils protègent. Si certains blogueurs n’ont besoin de migrer qu’une seule page de destination vers le protocole https, la plupart des propriétaires de sites Web ont au moins plusieurs pages de destination et sous-domaines, sans parler d’une URL distincte pour chaque entrée de blog.

Les certificats SSL varient également en termes de durée de validité. Un certificat classique doit être renouvelé après un à deux ans, tandis qu’un certificat avancé peut être utilisé pendant une période plus longue.

Les différents types de certificats SSL sont les suivants

Validation du domaine

Le moins cher des certificats SSL payants, Domain Validation fait exactement ce qu’il dit sur la boîte : il valide les noms de domaine. Les propriétaires de sites Web doivent valider la propriété de leur domaine, soit par courriel, soit en ajoutant des enregistrements DNS. Il ne prend que quelques minutes à obtenir et est idéal si vous ne soutenez pas une grande organisation et n’avez pas besoin de sécurité supplémentaire.

 

Validation de l’organisation

Il s’agit de l’authentification minimale requise pour les portails CE. Elle permet de vérifier la propriété du domaine et est généralement activée en deux ou trois jours. Il est plus sûr qu’un certificat DV car il est validé par une autorité de certification.

Validation étendue

Recommandé pour les sites Web où des transactions ont lieu, ce certificat exige un processus d’authentification rigoureux et prend de 7 à 10 jours. Le certificat affiche les informations de l’organisation et une barre d’adresse HTTPS verte pour renforcer la confiance des consommateurs. C’est pourquoi les certificats EV sont les plus populaires auprès des sites bancaires, financiers et de e-commerce.

Certificats SSL à nom unique

Ce certificat ne peut protéger qu’un seul sous-domaine. Par conséquent, ce certificat SSL peut protéger l’url hypothétique exemple.domaine.com, mais pas l’url concurrente exemple2.domaine.com. De même, le domaine principal de domain.com ne sera pas protégé.

Certificats SSL Wildcard

Ce type de certificat SSL permet de réserver un nombre illimité de sous-domaines pour un seul domaine. Il est donc possible de protéger non seulement domain.com mais aussi example.domain.com, example2.domain.com, example3.domain.com etc.

Cependant, les départements supplémentaires au-delà des sous-domaines ne sont pas inclus dans la protection du certificat. Cela signifie que test.example.domain.com, par exemple, ne sera pas protégé par un certificat joker.

Certificats SSL multi-domaines.

Un certificat SSL complet protège un domaine et toutes les variantes de ce sous-domaine. Il est fortement recommandé aux propriétaires de sites qui souhaitent protéger plusieurs domaines et sous-domaines.

Certificats de communications unifiées (UC)

Un certificat UCC peut être considéré comme un certificat SSL à tarif réduit de groupe ; il peut protéger jusqu’à 100 domaines avec un seul certificat, et est spécifiquement conçu pour protéger les environnements de communication Microsoft Exchange et Office.

Enregistrement d’un nouveau certificat SSL

Une fois que vous avez décidé du type de certificat SSL dont vous avez besoin pour migrer votre blog vers https, il est temps de l’acheter et de l’activer. Certaines sociétés d’hébergement, comme Hubspot et wordpress, proposent leurs propres programmes de migration, mais ssls.com, Media Temple, Namecheap, godaddy, Comodo et un certain nombre d’autres autorités de certification délivrent une protection SSL.

Si vous avez un budget limité et que vous disposez des connaissances techniques nécessaires, vous pouvez obtenir un certificat SSL gratuit auprès de Let’s Encrypt.

 

Une fois que vous avez obtenu un certificat SSL, l’étape suivante consiste à l’installer sur votre serveur. Le processus d’installation dépend de votre environnement d’hébergement et de la configuration de votre serveur. Veuillez vérifier auprès de votre hôte pour plus de détails.

Une fois que vous avez installé votre certificat SSL, mettez à jour tout le contenu de référence. N’oubliez pas que le classement SERP de Google exige que toutes les URL de vos pages soient conformes au protocole TLS. Le moyen le plus simple de mettre à jour vos liens internes et vos redirections est d’effectuer une recherche et un remplacement dans votre base de données et votre code HTML. Veillez à ce que toutes les URL des images, des scripts et des autres contenus soient également mises à jour.

Une fois que vous avez mis à jour vos liens, vos modèles, vos images, vos balises et vos plugins, parcourez votre site pour repérer les URL ou les balises qui vous auraient échappé. Surchangeland fournit un guide pratique détaillé qui répertorie tous les scripts que vous pourriez avoir besoin de mettre à jour.

Heureusement, Google a mis à jour ses Webmaster Tools pour prendre en charge les sites https et leurs analyses.

Renouvelez votre certificat existant

SSL n’est pas renouvelé automatiquement. Si vous recevez une notification indiquant que votre certificat existant doit expirer prochainement, nous vous recommandons de le renouveler à l’avance. Sinon, vous devrez peut-être racheter un nouveau certificat. La procédure exacte dépend de l’autorité de certification. Par exemple, chez Namecheap, vous pouvez renouveler votre certificat SSL en suivant les étapes suivantes

Conseils pour une transition en douceur vers https

Ce n’est plus un secret que le cryptage des informations des utilisateurs de sites web n’est pas le facteur de réussite le plus important. Toutefois, Google Chrome impose désormais aussi une pénalité visuelle aux sites web qui n’ont pas migré vers https://. Veuillez garder les points suivants à l’esprit lorsque vous activez un certificat SSL pour votre blog.

• Faites une sauvegarde complète de votre site web avant de commencer à installer le certificat SSL, au cas où.
• Utilisez un certificat avec une clé d’au moins 2048 bits.
• Si vos ressources se trouvent sur le même domaine sécurisé, identifiez-les par leurs URL relatives.
• N’utilisez pas le fichier robots.txt pour empêcher l’exploration des sites https.
• Dans la mesure du possible, veillez à ce que les moteurs de recherche puissent indexer vos pages.
• Modifiez tous les liens internes, y compris la mise à jour des liens vers les actifs ; n’oubliez pas les liens vers les références CSS, les images et les fichiers javascript.
• Veillez à inclure des liens canoniques dans votre section <head> afin que le trafic soit correctement redirigé vers les URL protégées.
• Ajoutez un lien supplémentaire à la configuration de votre site afin que le trafic qui tente de visiter la version originale de votre site soit automatiquement redirigé vers une URL https.
• Visitez SSL Labs pour tester votre certificat SSL. Entrez votre nom de domaine pour voir le score de votre site.
• N’oubliez pas de mettre à jour votre index de moteur de recherche et les paramètres de Google Analytics pour refléter les nouvelles URL https.

Êtes-vous prêt à migrer votre blog vers https ? Nous espérons que ce guide vous a été utile.