Ne choisissez plus votre hébergeur au hasard !
Ne choisissez plus votre hébergeur au hasard !
Avez vous déjà entendu parler de certificat SSL ?
Vous avez peut-être déjà lu certains articles et avez été noyé dans des torrents d'informations techniques. Je vais vous expliquer simplement en quoi consiste un certificat SSL et quelle est son utilité.
Un certificat SSL répond fondamentalement à deux besoins :
Imaginez que vous soyez dans un hôtel, connecté au Wi-fi. Lorsque vous surfez sur internet, par exemple pour passer une commande sur un site web, les données que vous saisissez transitent par le réseau de l'hôtel.
Or, vous n'apprécieriez certainement pas qu'un membre du personnel, un technicien ou encore un hacker puisse accéder au numéro de carte bancaire que vous venez de saisir à l'écran. Comment ? Tout simplement en espionnant le réseau. Mais ne croyez pas qu'il soit nécessaire de s'appeler James Bond. C'est à la portée de tous.
C'est la raison pour laquelle il est nécessaire de chiffrer les communications. Chiffrer, ça veut dire les rendre inaccessibles à quiconque qui n'en est pas le destinataire. Seul votre destinataire, en l'occurence le serveur web du site sur lequel vous êtes, sera capable de déchiffrer la communication.
Il est possible, dans certaines situations, d'usurper l'identité d'un serveur web. Ainsi, un serveur web malveillant pourrait se prétendre être le serveur du site que vous consultez. Et comme il en est la parfaite copie, vous ne vous doutez de rien et lui envoyez vos précieuses informations bancaires.
Chiffrer les communications n'est donc pas suffisant. Il faut s'assurer que le serveur web avec lequel le visiteur communique est le bon serveur, qu'il est bien le serveur web qu'il prétend être.
C'est là que le certificat SSL entre en jeu. C'est un petit fichier situé sur le serveur web du site que vous consultez. Grâce à ce certificat, le navigateur va pouvoir authentifier le site. Comment ? Parce que ce certificat comporte une signature et que l'autorité qui a signé est elle même désignée comme autorité de confiance par le navigateur (Firefox, Chrome, Opera, etc.). Parfois, l'autorité de certification n'est pas reconnue par le navigateur, mais elle-même dispose d'un certificat qui a été signé par une autre autorité qui, elle, est reconnue.
C'est un peu comme si vous deviez faire affaire avec une personne inconnue, mais que parmi vos relations, vous trouviez un ami de confiance, ou éventuellement l'ami d'un ami, qui vous garantit que cette personne est fiable. C'est ce que l'on appelle la chaîne de certification.
Une fois le serveur web authentifié, les communications peuvent commencer. Souvenez vous, on parle de certificat SSL. SSL c'est justement un protocole de chiffrement. Le certificat contient de nombreuses données dont l'émetteur, la date, sa durée de vie, le nom du site internet, mais il contient également une clé permettant de chiffrer les données. Les plus curieux d'entre vous pourront se renseigner sur la cryptographie asymétrique et tout comprendre des mécanismes mis en oeuvre. Pour les autres, retenez simplement qu'aucun intermédiaire espionnant le réseau n'est en mesure de capter les données qui transitent entre le navigateur et le serveur web.
Lorsque le navigateur communique ainsi de façon sécurisée avec un serveur web, un petit cadenas vert s'affiche généralement à côté de la barre d'adresses. Et dans cette barre d'adresses, le site a une adresse URL qui commence par https://.
Un site peut fonctionner sans certificat SSL. Dans ce cas, vous ne proposez pas à vos visiteurs la possibilité de communiquer de façon sûre avec votre site. S'il s'agit d'un blog personnel, rien de dramatique. Mais s'il s'agit d'un site sur lequel sont susceptibles de circuler des informations nominatives, il vaudrait mieux le sécuriser et rassurer vos visiteurs. Votre site web donnera ainsi une image beaucoup plus professionnelle, soucieuse de la sécurité des données de ses clients.
De plus, sachez que Google tient compte de ce critère dans son algorithme de référencement. En d'autres termes, avoir un site non sécurisé vous pénalise dans le classement du moteur de recherche. Bien sûr, il ne s'agit que l'un des très nombreux critères de Google, mais c'est dommage de ne pas en tenir compte.
Il y a de nombreuses autorités de certification comme GlobalSign, Thawte, ou encore GeoTrust qui proposent des certificats SSL que vous pouvez commander directement, ou par l'intermédiaire de revendeurs comme SSL247.
Cependant, sachez que la plupart des hébergeurs jouent également les revendeurs de certificats SSL. Il peut être plus pratique et rapide de commander un certificat SSL auprès de votre hébergeur, surtout si vous avez besoin de support pour l'installer sur votre serveur dédié. Sur un hébergement mutualisé, c'est en principe l'hébergeur qui se charge de la configuration du serveur.
Let's Encrypt est une belle initiative ayant vu le jour il y a quelques années. Son objectif : offrir des certificats SSL gratuits. Les certificats Let's Encrypt ne jouissent pas de la même reconnaissance que les certificats payants, mais l'écart ne cesse de se réduire au fil des années. Autre inconvénient : leur durée de vie très courte (3 mois) qui vous oblige à les renouveler très souvent.
L'utilisation d'un certificat signé par Let's Encrypt est donc aujourd'hui est une solution parfaitement viable pour un site internet classique. Aussi Let's Encrypt est la solution préférée des hébergeurs mutualisés qui ont inclus un certificat SSL dans leur offre d'hébergement. Autrefois, il s'agissait d'une option payante.
Il s'agit des certificats les plus répandus. Solution simple et économique : l'autorité de certification s'assure, avant de signer le certificat, que le demandeur a bien les privilèges requis sur le nom de domaine concerné. Les certificats Let's Encrypt sont des certificats DV.
Un certificat DV peut sécuriser une ou plusieurs adresses. On parle de certificat Wildcard lorsque le certificat valide l'ensemble des sous-domaines d'un nom de domaine.
Pour délivrer un certificat OV, l'autorité de certification vérifie, en plus, l'identité de l'entreprise qui en fait la demande. Les visiteurs de votre site pourront ainsi voir l’identité de votre entreprise attachée au certificat.
Ces certificats sont beaucoup plus chers, et leur intérêt est loin d'être flagrant. Qui s'amuse à vérifier le nom de l'entreprise en cliquant sur le petit cadenas ?
Ce sont les certificats les plus prestigieux. La barre d'adresses du navigateur se colorie en vert sur IE, et le nom de l'autorité de certification est mentionnée dans cette même barre d'adresses.
Comme son nom l'indique, la vérification par l'autorité de certification est étendue. Il y aura plus de conditions à remplir par le demandeur.
Les certificats EV sont justifiés pour des sites e-commerce car ils renforcent au maximum la confiance du client.
A propos de l'auteur
Mathieu a dirigé pendant 15 ans un hébergeur internet. Aujourd'hui consultant indépendant, il met à profit son expérience pour conseiller et accompagner les clients dans leur choix d'hébergement web.
Un commentaire, une question ?
N'hésitez pas à laisser un commentaire ou à poser une question. Je réponds gratuitement à toutes les questions sous 48h et je publie la réponse en même temps que votre commentaire. Vous recevez une notification par mail dès que la réponse est disponible.