Si vous collectez des informations sensibles sur votre site Web (y compris votre adresse e-mail et votre mot de passe), vous devez être en sécurité. L'un des meilleurs moyens de vous protéger est d'activer un certificat HTTPS, également appelé SSL (Secure Sockets Layers), afin que toutes les informations entrant et sortant de votre serveur soient automatiquement cryptées. Un certificat HTTPS empêche les pirates de pirater les informations confidentielles de vos utilisateurs lorsqu'elles sont stockées sur Internet. Ils se sentiront en sécurité lorsqu'ils verront un certificat HTTPS lors de l'accès à votre site, sachant qu'il est protégé par un certificat de sécurité.
Avantages d'un certificat
La meilleure chose à propos d'un certificat SSL, tout comme HTTPS, est qu'il est facile à configurer, et une fois cela fait, vous devrez demander aux gens d'utiliser un certificat HTTPS au lieu de HTTP. Si vous essayez d'accéder à votre site en plaçant https:// devant vos URL en ce moment, vous obtiendrez une erreur de certificat HTTPS. C'est parce que vous n'avez pas installé de certificat SSL HTTPS. Mais ne vous inquiétez pas, nous allons le configurer tout de suite !
Vos visiteurs se sentiront plus en sécurité sur votre site s'ils voient un certificat HTTPS lorsqu'ils accèdent à votre site- sachant qu'il est protégé par un certificat de sécurité.
Qu'est-ce que HTTPS ?
HTTP ou HTTPS est affiché au début de chaque URL de site Web dans un navigateur Web. HTTP signifie Hypertext Transfer Protocol et le S dans HTTPS signifie Secure. En général, cela décrit le protocole par lequel les données sont envoyées entre votre navigateur et le site Web que vous consultez.
Un certificat HTTPS garantit que toutes les communications entre votre navigateur et le site Web que vous consultez sont cryptées. Cela signifie que c'est sûr. Seuls les ordinateurs de réception et d'envoi peuvent voir les informations pendant le transfert des données (d'autres peuvent y accéder, mais ne peuvent pas les lire). Sur les sites sécurisés, le navigateur Web affiche une icône de verrouillage dans la zone d'URL pour vous avertir.
HTTPS devrait figurer sur tout site Web qui collecte des mots de passe, des paiements, des informations médicales ou d'autres données sensibles. Et si vous pouviez obtenir un certificat SSL gratuit et valide pour votre domaine ?
Comment fonctionne la protection des sites ?
Pour activer le certificat de sécurité HTTPS, vous devez installer SSL (Secure Socket Layer). Il contient la clé publique requise pour démarrer la session en toute sécurité. Lorsqu'une connexion HTTPS à une page Web est demandée, le site envoie un certificat SSL à votre navigateur. Ils initient ensuite une "prise de contact SSL", qui consiste à partager des "secrets" pour établir une connexion sécurisée entre votre navigateur et le site Web.
SSL standard et étendu
Si le site utilise un certificat SSL standard, vous verrez une icône de cadenas dans la zone URL de votre navigateur. Si un certificat Extended Validation (EV) est utilisé, la barre d'adresse ou l'URL sera verte. Les normes SSL EV sont supérieures aux normes SSL. EV SSL fournit la preuve de l'identité du propriétaire du domaine. L'obtention d'une certification SSL EV nécessite également que les candidats passent par un processus d'évaluation rigoureux pour vérifier leur authenticité et leur propriété.
Que se passe-t-il si vous utilisez HTTPS sans certificat ?
Même si votre site Web n'accepte pas ou ne partage pas de données sensibles, il existe plusieurs raisons pour lesquelles vous pourriez souhaiter avoir un site Web sécurisé et utiliser un certificat SSL gratuit et valide pour votre domaine.
Performances. SSL peut améliorer le temps de chargement d'une page.
Optimisation des moteurs de recherche (SEO). L'objectif de Google est de garantir la sécurité d'Internet pour tous, pas seulement pour ceux qui utilisent Google Chrome, Gmail et Drive, par exemple. La société a déclaré que la sécurité sera un facteur dans la façon dont elle classera les sites dans les résultats de recherche. Jusqu'à présent, cela ne suffit pas. Cependant, si vous avez un site Web sécurisé et que vos concurrents ne l'ont pas, votre site peut être mieux classé, ce qui peut être nécessaire pour augmenter sa popularité à partir de la page de résultats de recherche.
Si votre site n'est pas sécurisé et collecte des mots de passe ou des cartes de crédit, les utilisateurs de Chrome 56 (sorti en janvier 2017) verront un avertissement indiquantque le site n'est pas sûr. Les visiteurs peu familiarisés avec la technologie (la plupart des utilisateurs de sites Web) peuvent être alarmés de voir une boîte "Erreur de certificat HTTPS" et quitter votre site simplement parce qu'ils ne comprennent pas ce que cela signifie. D'un autre côté, si votre site est sécurisé, cela peut rendre les visiteurs plus à l'aise, les rendant plus susceptibles de remplir un formulaire d'inscription ou de laisser un commentaire sur votre site. Google a un plan à long terme pour afficher tous les sites HTTP comme non sécurisés dans Chrome.
Où puis-je obtenir un certificat HTTPS gratuit ?
Vous recevez un certificat SSL d'une autorité de certification. Ces certificats sont valables 90 jours, mais un renouvellement de 60 jours est recommandé. Quelques sources gratuites fiables:
- Cloudflare: gratuit pour les sites Web et les blogs personnels.
- FreeSSL: gratuit pour les organisations à but non lucratif et les startups pour le moment; ne peut pas être un client Symantec, Thawte, GeoTrust ou RapidSSL.
- StartSSL: les certificats sont valables de 1 à 3 ans.
- GoDaddy: Certificats pour projets open source, valables 1 an.
Le type et la période de validité du certificat dépendent de la source. La plupart des autorités proposent des certificats SSL standard gratuitement et facturent les certificats SSL EV si elles les fournissent. Cloudflare propose des plans gratuits et payants et diverses options supplémentaires.
Ce qu'il faut prendre en compte lors de la réceptionCertificat SSL ?
Google recommande ici un certificat avec une clé de 2 048 bits. Si vous disposez déjà d'un certificat 1024 bits plus faible, il est recommandé de le mettre à jour.
Vous devrez décider si vous avez besoin d'un, de plusieurs domaines ou d'un certificat générique:
- Un certificat sera utilisé pour un domaine (par exemple, www.example.com).
- Le certificat multi-domaine sera utilisé pour plusieurs domaines connus (par exemple, www.example.com, cdn.example.com, example.co.uk).
- Le certificat Wildcard sera utilisé pour un domaine sécurisé avec de nombreux sous-domaines dynamiques (par exemple, a.example.com, b.example.com).
Comment installer un certificat SSL ?
Votre hébergeur peut installer un certificat gratuitement ou moyennant des frais. Certains hébergeurs ont en fait la possibilité d'installer Let's Encrypt dans leur cPanel personnel, ce qui facilite les choses. Demandez à votre hébergeur actuel ou trouvez-en un qui offre un support direct pour Let's Encrypt. Si l'hébergeur ne fournit pas ce service, votre société de maintenance de site Web ou votre développeur peut installer le certificat pour vous. Vous devez être préparé au fait que vous devrez renouveler le certificat très souvent. Vérifiez le délai avec le certificat.
Que faut-il faire d'autre ?
Après avoir obtenu et installé un certificat SSL, vous devez appliquer SSL sur le site. Encore une fois, vous pouvez demander à votre hébergeur, à votre société de services ou àdéveloppeur pour effectuer cette action. Cependant, si vous préférez le faire vous-même et que votre site est propulsé par WordPress, vous pouvez le faire en téléchargeant, installant et en utilisant le plugin. Avec cette dernière option, assurez-vous de vérifier la compatibilité avec votre version de WordPress.
Deux plugins d'application SSL populaires: SSLWP simple, plugin SSLSSL renforcé. Assurez-vous de sauvegarder votre site et soyez très prudent lorsque vous le faites. Si vous configurez mal quelque chose, cela peut avoir des conséquences désastreuses: les visiteurs ne pourront pas voir votre site, les images ne s'afficheront pas, les scripts ne se chargeront pas, ce qui affectera le fonctionnement de certains éléments de votre site, tels que la typographie et les couleurs. ne s'affiche pas correctement. way.
Vous devez rediriger les utilisateurs et les moteurs de recherche vers des pages HTTPS à l'aide de redirections 301 dans le fichier.htaccess du dossier racine du serveur. Le fichier.htaccess est un fichier invisible, alors assurez-vous que votre programme FTP est configuré pour afficher les fichiers cachés. Dans FileZilla, par exemple, accédez à Server> Forcer l'affichage des fichiers cachés. FileZillaAvant, avant d'ajouter des redirections, il serait judicieux de sauvegarder votre fichier.htaccess. Sur le serveur, renommez temporairement le fichier en supprimant le point (ce qui le rend invisible en premier lieu), téléchargez le fichier (qui sera désormais visible sur votre ordinateur à la suite de la suppression du point), puis rajoutez le point à ce qu'il y a sur le serveur.
Modifier les paramètresGoogle Analytics
Après avoir terminé ces étapes, vous devez modifier votre URL préférée dans votre compte Google Analytics pour afficher la version HTTPS de votre domaine. Sinon, vos statistiques de trafic seront désactivées car la version HTTP de l'URL est traitée comme un site complètement différent de la version HTTPS du certificat. Google Search Console traite également HTTP et HTTPS comme des domaines distincts, alors ajoutez-y un compte de domaine HTTPS. N'oubliez pas que lorsque vous passez du certificat HTTP au certificat HTTPS, si votre site dispose de boutons d'accès spéciaux, le compteur sera réinitialisé.
