Installer un certificat SSL

Installer un certificat SSL est une chose importante pour son site WEB. Il y a plusieurs raisons à cela mais c’est également une chose relativement simple mais qui peut s’avérer aussi très risqué.

C’est quoi un certificat SSL?

avec HTTPS

Un certificat SSL permet à votre site de fonctionner en HTTPS. C’est-à-dire de sécuriser les communications entre le navigateur et le serveur. Cela vous permet d’avoir le petit verrou à côté de votre nom de domaine.

HTTP seulement

Dans le cas contraire, vous aurez droit à la petite phrase « Non sécurisé » affiché par Google. Comme d’habitude, il s’agit là d’un message un peu trompeur. Cela signifie que votre site WEB est un site normal, c’est-à-dire que les données qui circulent ne sont pas cryptées. C’est comme cela que le Web fonctionne depuis le début.

Le certificat SSL a été très rapidement utilisé pour sécuriser le transfert de données sur le WEB. En particulier pour les achats en ligne. En effet, avec HTTP vos données (y compris votre mot de passe et votre numéro de carte bleue) circulent librement et une personne qui se trouve entre votre ordinateur et le site WEB peut lire vos données. C’est surtout le cas dans les lieux publics où les connexions Wifi ne sont pas suffisamment sécurisés.

Alors qu’un certificat permet le cryptage des données dès que celles-ci sortent de notre navigateur.

HTTPS et certificat, quelles différences?

HTTPS, c’est le protocole de communication et le certificat, c’est le cryptage mais dans l’ensemble, on mélange souvent les deux concepts. Comme lorsque vous parlez de Web et d’Internet: les deux concepts sont assez proches.

Pour être précis, le certificat est une « preuve » d’identité. Un peu comme un passeport biométrique. Sauf que dans le cas des sites WEB, il s’agit d’une authentification « généraliste ». C’est le site WEB qui s’authentifie et le navigateur discute avec un site qui a été « vérifié ». C’est-à-dire qui est bien celui qu’il prétend être. C’est un serveur d’authentification (qui fonctionne un peu comme les notaires en France) qui certifie que le site est bien celui qu’il prétend être. C’est donc une vérification à trois.

Dans les faites, le certificat est composé de 3 partie: une partie publique, une partie privée et un lien vers le « certificateur ». Cela peut paraître complexe, mais tout est mis en place de façon transparente, du moins pour l’utilisateur.

C’est le certificateur qui fournit la partie publique du certificat ainsi que la partie privée. Cette partie privée (une suite de caractères) est uniquement disponible sur le site WEB certifié et personne ne doit connaître cette partie privée (sinon, le certificateur doit invalider le certificat). Ces opérations se font chez l’hébergeur du site qui, en général, s’occupe de tout.

Une fois le certificat obtenu, il faut paramétrer le serveur pour que celui-ci puisse l’utiliser. La plupart du temps, cette opération est assurée par l’hébergeur du site (si ce n’est pas le cas, cela risque d’être problématique).

Pourquoi cette mode du certificat?

Depuis les affaires d’espionnages mis en lumière par Edward Snowden, les acteurs majeurs du Web se sont inquiétés des dérives d’espionnage qui pouvaient toucher leur business. Vers 2015, Google a annoncé que les sites qui seraient protégés par un certificat SSL auraient une meilleure visibilité sur leur moteur de recherche. C’est pourquoi, il est fortement recommander d’utiliser un certificat SSL pour son site WEB.

Il s’agit donc d’une vive réaction des principales sociétés du WEB. Leur sites possédant, la plupart du temps, un certificat SSL. Bien entendu, dans le cas où un visiteur ne fait que lire une information sur un site WEB, cette protection n’est pas indispensable et on pourrait la qualifier de superflue. Mais dès qu’une recherche est effectuée ou une adresse électronique entrée par un utilisateur, l’utilisation d’un certificat SSL commence à se justifier.

Ainsi, avoir un certificat pour tous les sites WEB était une bonne chose afin de gêner la surveillance de la NSA et freiner la fuite de mots de passe. Car si la NSA stocke tous les couples identifiants et mots de passe, ils étaient à même de pirater n’importe quel site et donc potentiellement de mettre en danger Internet dans son intégralité. La peur des grandes sociétés n’étant pas nécessairement l’usage de ces données par les services secrets mais surtout la possibilité que cette énorme base de données se fasse pirater…

De plus, il fallait rétablir la confiance avec leur clients qui sont toujours frileux à stocker leurs données dans le cloud.

Comment obtenir un certificat?

Un certificat s’obtient auprès d’un organisme de certification. Normalement, tous les organismes sérieux sont reconnus par les principaux navigateurs WEB (Chrome, Firefox, Safari, Internet Explorer) mais l peut aussi se trouver que le certificateur ne soit pas reconnu ou accepté par l’un deux. Il faut donc bien veiller à choisir un organisme reconnu.

L’organisme vous remettra un certificat en échange d’une rémunération. Les certificats, tous comme les noms de domaine sont payant. Leur prix varient selon leur qualité. En effet, vous pouvez avoir des certificats de différentes qualité selon vos besoins. De plus en plus, des certificats « basiques » sont délivrés.

Depuis 2015, la Linux Foundation a lancé une initiative permettant d’obtenir des certificats SSL gratuitement. Ce projet, dénommé Let’s Encrypt permet d’obtenir facilement des certificats SSL pour son site. 190 millions de sites WEB utilisent cette technologie. C’est la solution choisie par de nombreux hébergeurs (dont SllthyWeb qui fournit systématiquement un certificat SSL avec chacun de ses abonnements).

Durée de vie

La durée de vie d’un certificat SSL est un problème récurrent. En l’occurrence, les certificats SSL gratuits fournis par Let’s Encrypt ont une durée de vie de 3 mois. Il faut donc les renouveler fréquemment et mettre à jour le certificat sur le serveur. Généralement, tout hébergeur sérieux devrait prendre cela à sa charge. Si ce n’est pas le cas, mieux vaut s’interroger sur son sérieux.

En effet, si le certificat expire, le site Web ne fonctionnera plus. Impossible d’accéder au site en HTTPS. Ce qui peut aussi poser un problème pour accéder à la partie administrative du site. Il faut donc veiller à ce que le certificat fonctionne correctement et soit régulièrement renouvelé. À titre indicatif, les certificats ont rarement des durées de vie supérieures à 1 an.

Installation du certificat

L’installation peut dépendre de l’hébergeur. Si vous utilisez un panneau de contrôle, tel que cPanel, il faut consulter celui-ci pour faire la mise à jour. Si votre site WEB est hébergé par SlithyWeb, leur technologie met le site en HTTPS automatiquement ainsi que les liens nécessaires.

Une fois le certificat installé, votre site WEB sera automatiquement géré en HTTPS et sécurisé. Cela devrait améliorer le SEO de votre site.

Laisser un commentaire