Mon site est non sécurisé, que faire ?

Votre navigateur indiquant de manière inquiétante que vous êtes sur un site "non sécurisé" ? Pas de panique ! Vous ne vous êtes pas fait pirater mais la tendance vers un web plus sûr pousse les acteurs de l'Internet à promouvoir les sites dotés d'un certificat SSL. Le temps pour vous de parler le HTTPS couramment ?

Make web safer again

Ce n'est pas un slogan politique à la mode mais la marque de la tendance générale visant à aller vers un web plus sûr. Dans un article du mois de septembre 2016 intitulé "Moving towards a more secure web", Google annonçait une mise à jour prochaine de son navigateur Chrome qui indiquerait toutes les pages collectant des données et ne disposant pas d'un certificat SSL (et n'utilisant donc pas le protocole HTTPS) comme "non sécurisé". Le but étant de permettre aux utilisateurs de naviguer en toute sécurité. La mise à jour a depuis eu lieu, tout comme sur Mozilla Firefox, et vous pouvez maintenant apercevoir ce type de messages :

Message d'alerte de connexion non sécurisée sous FireFox

Message d'alerte de connexion non sécurisée sous Google Chrome

Dans l'absolu, ce message indique donc un état de fait qui n'est pas nouveau pour votre site. Celui-ci ne dispose pas d'un certificat SSL et n'est pas accessible en HTTPS (ce qui a certainement toujours été le cas). C'est juste que votre navigateur vous y sensibilise à présent et fait passer le mot à vos visiteurs. "Et alors ?" me direz vous. Même si rien n'a changé dans l'accès à votre site, vos visiteurs risquent de s'interroger et rendre votre site "sécurisé" peut être un moyen de réassurance supplémentaire, surtout si vous vendez en ligne. Avant d'aller plus loin, voyons un peu ce que l'on entend par "site sécurisé".

Le protocole HTTPS : un site sécurisé avec un certificat SSL

Accéder à une page web se fait au moyen d'un protocole HTTP (HyperText Transfer Protocol). C'est en gros la manière dont votre ordinateur va dire au serveur hébergeant le site que vous visitez "Donne-moi la page /index du site www.i2n.mc". Ce protocole existe depuis fort longtemps tout comme son équivalent sécurisé, le protocole HTTPS.

La mécanique du protocole HTTPS est identique à celle du HTTP à la seule différence que la communication entre votre ordinateur et le serveur du site visité est cryptée. Les données ne transitent donc pas "en clair", ce qui évite tout risque d'écoute des données transmises par un pirate. Le risque en HTTP est qu'un hacker pourrait intercepter par exemple un mot de passe envoyé pour se connecter à votre place à votre compte.

Afin de sécuriser la connexion entre l'ordinateur de vos visiteurs et votre serveur, votre site Internet doit disposer d'un certificat SSL. Il s'agit d'un fichier disposant d'une clé de cryptage, d'une période de validité et de données d'identification de votre site. En présence d'un tel certificat sur votre site, un tunnel sécurisé est établi et votre site peut dialoguer avec ses visiteurs en toute tranquilité. En plus d'établir cette connexion, cela prouvera également au navigateur du visiteur que votre site est bien authentique.

Certificat SSL & autorité de certification

Afin de garantir son authenticité (et la véracité des informations qu'il contient), le certificat doit être émis par une autorité de certification qui sera votre référent pour prouver l'identité de votre site. En effet, il est possible de signer soi-même un certificat mais dans ce cas votre navigateur vous alertera sur le fait que le certificat est non authentique (car il n'a pas pu demander à un tiers, l'autorité de certification, si vous étiez digne de confiance).

Pour obtenir un certificat authentique, il vous faudra donc l'acquérir auprès d'une autorité de certification digne de confiance. Un certificat SSL ayant une durée de validité, cette acquisition devra être renouvellée à la fin de la période définie (habituellement l'acquisition d'un certificat se fait pour une ou plusieurs années). Votre certificat en poche, il suffira alors de l'intégrer à votre site pour le rendre accessible en HTTPS. Notre équipe parlant le SSL couramment se fera un plaisir de vous aider !

Différents types de certificats

Un certificat SSL est nécessaire pour chiffrer une connexion au moyen du protocole HTTPS et, même s'il existe plusieurs types de certificats, tous ont la même fonction de chiffrage de la connexion. Cependant, les différentes familles de certificats SSL se distinguent par des modes de validation de votre identité plus ou moins complexes et des garanties offertes à vos visiteurs plus ou moins grandes. On distingue 3 types de certificats :

  1. Les certificats "domain validation" (DV)
  2. Les certificats "organization validation" (OV)
  3. Les certificats "extended validation" (EV)

La principale différence est le niveau de vérification nécessaire pour le souscrire. Dans le cas d'un certificat SSL DV, le fournisseur du certificat vous demandera simplement de rajouter un enregistrement à votre zone DNS (en gros de faire une modification sur votre nom de domaine) pour valider que vous en êtes bien propriétaire. Dans le cas d'un certificat SSL OV, des documents justificatifs de l'identité de votre entreprise seront à transmettre à l'autorité de certification.

Enfin, dans le cas d'un certificat SSL EV, les mêmes documents que pour le certificat OV seront à transmettre accompagnés de justificatifs de l'identité du responsable de votre organisation. Leur délai d'obtention varie également de quelques heures pour le certificat DV à plusieurs jours ouvrés pour le certificat EV. Le certificat EV vous permettra également de présenter à vos visiteurs le nom de votre entreprise à côté du cadenas vert dans la barre d'adresse de votre navigateur :

Quel certificat SSL pour quel site Internet ?

Le choix du type de certificat SSL va être dicté par le niveau de garantie et de réassurance que vous souhaitez apporter à vos visiteurs. En effet, tous apporteront l'affichage du cadenas vert ou jaune dans le navigateur de l'internaute mais leur mode de validation légitimera plus ou moins votre identité auprès du visiteur. Ainsi :

  1. Les certificats "domain validation" (DV) conviennent aux petits sites à faible traffic ainsi qu'à des applications à usage interne (intranet, extranet par exemple)
  2. Les certificats "organization validation" (OV) conviennent à tous types de sites web (ils présentent le nom de votre organisation dans le détail du certificat)
  3. Les certificats "extended validation" (EV) sont recommandés pour les sites à fort traffic, institutionnels et pour les e-commerçants du fait de l'ajout du nom de votre organisation dans la barre d'adresse

Dois-je passer mon site en HTTPS ?

La réponse est clairement oui. Même si cela revêt peu d'intérêt pour un site vitrine classique, tous les services en ligne utilisent maintenant ce protocole et les internautes commencent à y être sensibles. Autant dire que la récente mise à jour des navigateurs Chrome et Firefox va accentuer cette tendance en faisant passer des sites non dotés d'un certificat SSL pour "moins sûrs". 

Ceci étant dit, il n'est pas non plus obligatoire de se ruer dans les minutes qui suivent la lecture de cette article chez votre agence web préférée à Monaco mais c'est une réalité qu'il faut prendre en compte et qu'il faudra activer sur vos sites, surtout pour les e-commerçants. Dans tous les cas, notre équipe se tient à votre disposition pour vous accompagner dans cette transition !