Depuis peu, les navigateurs habituels (Chrome, Firefox, Edge) vous indiquent le cas échéant, par une icône représentant un cadenas barré à gauche de votre URL, que le site sur lequel vous naviguez n’est pas protégé par un certificat SSL ou que certains éléments du site ne le sont pas. Dans ce cas, le protocole utilisé est le HTTP et non le HTTPS.
Ce « S » de HTTPS (HyperText Transfer Protocol Secure) vous indique que les communications entre le serveur les clients sont chiffrées, garantissant l’intégrité et la confidentialités des données (réception des données du serveur, envois de formulaires, etc.). Mais générer son propre certificat ne suffit pas : il doit être délivré par un tiers de confiance.
Quelles sont les conséquences de l’absence de certificat ?
Comme mentionné plus haut, en l’absence de certificat, les données échangées entre un serveur et ses clients ne sont pas protégées, mais ce ne sont pas les seuls problèmes :
- Un risque accru de cyber-attaque. Les échanges avec le serveur ne sont pas protégés, vous laissez donc la possibilité qu’ils soient interceptées.
- Depuis 2015, Google intègre dans son algorithme la présence ou non d’un certificat. En d’autres termes, un site sans certificat sera moins bien référencé qu’un site qui en présente un valide ;
- Une perte de confiance de vos visiteurs. Tous les navigateurs signalent l’absence de certificat et la médiatisation des attaques informatiques ont eu pour conséquence une prise de conscience de la part du grand public pour les problématiques de sécurité. Ainsi, un site sans certificat changera le comportement de l’utilisateur. Et s’il s’agit d’un site marchand, il est probable que le client n’aille pas au bout du tunnel d’achat. Saisiriez-vous votre code de carte bancaire sur un tel site ?
Comment sécuriser mon site ?
Pour qu’un certificat soit valable, il doit être délivré par un tiers de confiance. Les acteurs sur le marché sont nombreux et vous proposent tout une gamme de produits à des prix très différents.
Il existe 3 types de certificats actuellement commercialisés :
- les certificats à validation de domaine (DV). Ce sont les certificats les moins chers et les plus rapides à obtenir. En général, une simple demande de certificat validée par un mail de confirmation adressé au demandeur suffit. Certaines initiatives permettent d’obtenir des certificats gratuitement, c’est le cas de Let’s Encrypt ;
- les certificats à validation d’organisation (OV). Plus chers, l’obtention de ces certificats passe par la vérification du propriétaire du nom de domaine et de l’entreprise. Ce processus, plus long, nécessite d’être renouvelé régulièrement ;
- les certificats à validation étendue (EV). La procédure d’obtention est similaire à celle certificat OV, avec un niveau de vérification du demandeur supérieur.
Quel type de certificat choisir ?
Tout dépend du niveau de sécurité que vous souhaitez. Si un certificat gratuit type Let’s Encrypt n’assure qu’une protection minimale, il est préférable à l’absence de certificat. Ayez à l’esprit que le niveau de votre certificat doit être adapté à votre site, son contenu et son site (institutionnel, site vitrine, e-commerce).
Comment installer un certificat ?
Une fois votre choix fait et votre certificat obtenu, nous devrez installer votre certificat sur votre hébergement et le configurer.
DWM-IT peut vous proposer un accompagnement pour une mise en place du certificat de votre choix, mais aussi un travail approfondi sur votre code pour que la totalité des éléments de votre site soient couverts.