Crypter un site Internet avec un certificat SSL: instructions et astuces
8 min

Cryptez votre site Internet!

Le cryptage est un must pour votre site Internet. Il ne s’agit pas seulement d’une question de confiance et de sécurité, c’est aussi important pour le référencement Google. Et les sites Internet qui ne sont pas signalés comme sûrs par le navigateur pourraient ne plus fonctionner à partir de l’automne. Astuces et conseils pour cette opération.

La bonne nouvelle pour commencer: selon Google, 90% des pages consultées par les utilisateurs du navigateur Chrome possèdent une connexion cryptée. Celle-ci est repérable grâce au petit cadenas situé à gauche de l’URL. Cela signifie que la connexion entre le navigateur et le site Internet est cryptée, de sorte que les tiers ne peuvent pas lire les données. Les pages sécurisées sont reconnaissables au fait que leur adresse commence par «https». Par exemple, l’adresse de l’article que vous lisez en ce moment est https://www.swisscom.ch/…

Pourquoi vous devriez crypter votre site Internet

Si votre site Internet n’est pas crypté, vous devriez agir de toute urgence. Vous pouvez le reconnaître au fait que le navigateur web – aussi bien Chrome, Firefox, Edge que Safari – signale l’adresse comme «non sécurisée». Dans l’URL, l’adresse commence par «http» (sans «S» pour «secure»).

Il y a de bonnes raisons d’opter pour une connexion sécurisée:

  • Depuis 2004 déjà, Google privilégie les sites Internet cryptés dans sa liste des résultats de recherche. Dans certaines circonstances, il se peut même que vous ne soyez plus du tout référencé en cas de présence non cryptée sur le web.
  • Depuis juillet 2018 et la version 68 de Chrome, tous les sites Internet non cryptés sont identifiés comme peu sûrs. Cela peut refroidir les internautes.
  • Les cybercriminels peuvent accéder aux connexions non cryptées, voler les données des formulaires de contact et même introduire clandestinement des logiciels malveillants qui infectent l’ordinateur de l’internaute insouciant.
  • A partir de septembre 2020, Google franchira un nouveau cap avec la version 85 de Chrome: Les images qui ne sont pas également chargées via une connexion cryptée ne seront plus affichées. Cela peut donc conduire au non-fonctionnement de votre site Internet. Le problème est appelé «Mixed Content» et est expliqué ci-dessous.

Mixed Content et sécurité sur Internet

La plupart des sites Internet sont composés de divers éléments: la page elle-même (le code HTML), les images, les vidéos, les instructions de formatage (CSS) et les programmes Javascript. Tous ces éléments sont intégrés via un lien. Par exemple, si vous présentez l’équipe de l’entreprise sur votre site Internet (c’est un conseil), il existe probablement une page avec l’adresse sécurisée suivante: https://www.nomdelentreprise.ch/team.html. On y trouve notamment les photos de l’équipe. Et c’est là que commencent les problèmes liés au Mixed Content (contenus mixtes): c’est le cas, par exemple, si votre photo est disponible à l’adresse http://photo.nomdelentreprise.ch/chef.jpg. Il s’agit d’une connexion non sécurisée. Car votre site Internet mélange du contenu provenant de connexions sécurisées (la page elle-même) avec du contenu provenant de connexions non sécurisées (l’image).

Si Chrome – et les autres navigateurs – n’affichent plus ces images, ce sera la catastrophe. Vous imaginez probablement très bien ce qui se passe si les internautes ne voient tout à coup plus aucune image sur vos pages de produits ou dans votre boutique en ligne.

La solution consiste à rendre tous les éléments de votre site Internet accessibles via une connexion sécurisée et cryptée. Ces mesures de la part de Google et d’autres fournisseurs de navigateurs ne sont pas prises pour vous mettre dans l’embarras. Elles représentant au contraire un moyen de rendre le web plus sûr. Vous et vos clients en profiterez également.

Voici comment crypter votre site Internet

Aujourd’hui, les nouveaux sites Internet devraient être cryptés dès le départ, c’est-à-dire uniquement accessibles via HTTPS. Les sites existants qui ne sont pas encore cryptés doivent être convertis. Dans les deux cas, il s’agit en premier lieu de faire l’acquisition d’un certificat SSL, une sorte de certificat numérique. La plupart des fournisseurs d’hébergements web proposent des certificats avec parfois une installation automatique et des mises à jour régulières. En effet, les certificats SSL ne sont valables que pour une durée limitée et doivent donc être renouvelés régulièrement.

De nombreux hébergeurs web ont automatisé ces étapes. Cela signifie que vous ne devez pas effectuer le changement manuellement. Au lieu de ça, vous commandez un certificat via l’espace de gestion de votre site Internet. Cette opération est déclenchée automatiquement. Pensez à utiliser la check-list ci-dessous pour plus de détails sur les étapes ultérieures et les exigences techniques.

Chez de nombreux hébergeurs, les certificats simples pour une seule adresse (www.nomdelentreprise.ch) ne coûtent rien ou sont inclus dès le départ, comme c’est le cas avec la solution HomepageTool de Swisscom.

Check-list pour réussir le cryptage de votre site Internet

Attention, cela devient technique! Mais rassurez-vous: votre webmaster saura parfaitement de quoi il s’agit dans la check-list ci-après:

  1. Backup: sauvegardez le site actuel, y compris les images et bases de données. Si quelque chose ne fonctionne pas comme prévu, vous pourrez toujours revenir à l’état antérieur.
  2. Installez et activez le certificat SSL. Rendez-vous pour ce faire dans l’espace de gestion de votre site Internet chez votre hébergeur web. Testez ensuite si votre site Internet est accessible via https://.
  3. Basculez vos adresses HTTP actuelles sur leurs pendants HTTPS. Un «301-Redirect» côté serveur est alors la méthode la plus simple. Votre hébergeur web s’en charge volontiers pour vous – veillez aux options «Rediriger automatiquement toutes les requêtes vers HTTPS://» ou «forcer SSL».
  4. Modifier les liens internes: les liens vers les pages ou les contenus de votre site Internet doivent être modifiés de «http://…» en «https://…». Pour les sites Internet statiques (documents HTML), cette manipulation se fait tout simplement dans un éditeur de texte à l’aide de la fonction chercher/remplacer. Si vous utilisez un système de gestion de contenu (CMS), il convient de vérifier si les liens ont été modifiés automatiquement vers la variante cryptée. Dans le cas contraire, vous devez faire le changement vous-même.
  5. Modifier les liens externes: informez du changement tous vos partenaires qui ont mis votre site Internet en lien. Même si les requêtes non cryptées sont automatiquement redirigées, il est préférable que tous les liens renvoient directement au site crypté.
  6. Vérifiez le code source de vos sites Internet: si le header contient des éléments tels que des tags canoniques ou des tags HREFLANG, Open Graph ou encore Base URL, ceux-ci doivent être modifiés pour les adresses cryptées.
  7. Attention: pour les moteurs de recherche, le changement de cryptage est équivalent à un déménagement de domaine. C’est pourquoi, il convient d’actualiser votre sitemap avec les nouvelles adresses HTTPS. Soumettez également le nouveau document XML auprès des moteurs de recherche, via la Search Console de Google par exemple. La nouvelle sitemap accèdera ainsi plus rapidement à l’index de recherche.
  8. Vous avez intégré des contenus externes, tels qu’images, annonces publicitaires, webfonts, formulaires ou bibliothèques JavaScript? Alors ces éléments doivent aussi être adaptés à la connexion cryptée afin d’éviter des problèmes liés aux contenus mixtes. Renseignez-vous auprès du fournisseur de ce type de contenus pour savoir s’ils sont aussi accessibles en mode crypté. Si ce n’est pas le cas, nous vous recommandons de vous poser la question si vous pouvez héberger ces contenus sur votre hébergement web directement.

Glossaire: brève explication des termes importants

HTTP, HTTPS (HyperText Transfer Protocol)

Le HTTP, littéralement «protocole de transfert hypertexte», est, dans une certaine mesure, la langue dans laquelle le navigateur web communique avec votre site Internet. Le «S» de HTTPS signifie «secure», autrement dit sans danger. Cela signifie que la connexion est cryptée et ne peut pas être consultée par des tiers, tels que des cybercriminels.

SSL (Secure Socket Layer), TLS (Transport Layer Security)

Il s’agit de méthodes de cryptage des données dans une connexion HTTPS. TLS est le successeur de SSL. Toutefois, dans l’usage linguistique, le mot a été conservé. On parle souvent d’une «connexion cryptée SSL».

Certificat (certificat SSL)

Un certificat n’est rien d’autre qu’une carte d’identité numérique. Cela confirme au navigateur l’identité de l’adresse consultée, c’est-à-dire le site Internet. Un tel certificat est une condition préalable pour que le navigateur accepte une connexion cryptée comme étant fiable et donc sûre. Ces certificats sont délivrés par des autorités émettrices reconnues, appelées «Certificate Authority» (CA). La CA la plus connue est probablement «Let’s Encrypt», qui propose des certificats gratuits. La plupart des hébergeurs offrent la possibilité d’obtenir facilement un tel certificat. Cela vaut aussi pour l’hébergement web de Swisscom.

Cryptage

Dans une connexion cryptée, le contenu est codé à l’aide de méthodes cryptographiques, de telle sorte qu’il est incompréhensible pour les personnes extérieures. Seuls ceux qui ont la bonne clé peuvent à nouveau déchiffrer le contenu. Les méthodes de cryptage telles que TLS forment la base des connexions sécurisées sur Internet.

Version actualisée d’un article de novembre 2017.

Lisez maintenant