2014
24/Avr

Certificat SSL

Un certificat SSL est un des éléments permettant au protocole SSL de fonctionner.

C’est quoi déjà le SSL ?

Le Secure Socket Layer (SSL) permet de sécuriser l’échange de données entre une machine distante (le serveur) et un ordinateur, une tablette ou tout autre dispositif dit « client ». On peut notamment l’utiliser pour sécuriser l’accès à un site web via le protocole https, ou chiffrer les données transmises par FTP (SSH).

Que peut-on sécuriser avec SSL ?

Une connexion sécurisée par SSL offre deux avantages :

  1. Elle garantit que le serveur est bien celui qu’il prétend être (authentification du propriétaire).
  2. Elle permet de chiffrer les données pendant leur transit, ce qui permet de se prémunir contre une interception des données « en clair » en cours de route.

Le premier point évite par exemple le phishing, une arnaque consistant à sous-tirer des informations confidentielles aux utilisateurs en se faisant passer pour un émetteur de confiance (par exemple votre banque). Le second permet de garder des données personnelles et/ou bancaires confidentielles lors d’un achat en ligne sur un site de e-commerce.

Comment savoir si une connexion est sécurisée ?

Dans le domaine de la navigation web

Tous les navigateurs web modernes comme Firefox, Internet Explorer, Safari ou encore Google Chrome prennent en charge nativement le SSL. Ils affichent dans la barre d’url les informations relatives à cette connexion sécurisée :

Certificat SSL

Validation de la connexion SSL avec Firefox.

Les sites web sécurisés par un certificat SSL sont accessibles au travers d’une url préfixée par httpS et non http.Attention cependant : le fait qu’un site web propose une connexion SSL valide ne doit pas faire oublier les règles élémentaires de prudence. Un marchand malhonnête peut tout à fait avoir un site sécurisé par SSL, et revendre vos coordonnées bancaires à des tiers ou ne pas fournir le produit attendu.

Dans le domaine du FTP

Pour activer un chiffrage de type SSL sur votre accès FTP (chaudement recommandé), la méthode la plus répandue consiste à utiliser un chiffrement explicite avec TLS lors de la connexion sur le port 21 de votre serveur (méthode disponible chez de nombreux hébergeurs).

Fonctionnement et rôle d’un certificat SSL

Sans rentrer dans les détails techniques, le fonctionnement d’une authentification à l’aide d’un certificat SSL est le suivant :

  1. Le serveur fournit au client (par exemple le navigateur) le certificat du site, qui contient les informations relatives à l’identification du site, ainsi qu’un code appelé clef publique, lisible en clair.
  2. Le navigateur s’assure auprès de l’émetteur du certificat SSL de la validité du certificat (on parle de tiers de confiance, l’émetteur étant un organisme reconnu comme tel par le navigateur web utilisé).
  3. Le client émet alors une clef aléatoire (appelée clef de session) qu’il utilisera pour crypter les données, et que seul le serveur pourra décoder avec sa clef privée (non lisible en clair, stockée sur le serveur).

Quand faut-il mettre en place SSL sur son site web ?

D’une manière générale, il est utile de proposer une connexion sécurisée sur :

  • Les pages permettant de se connecter au backoffice de son site web. Certes, des systèmes comme Worpress utilisent d’autres mécanismes d’identification qui permettent d’éviter que les données se baladent « en clair » (par exemple via les clefs SALT), mais deux précautions valent mieux qu’une.
  • Les pages où vos clients remplissent des formulaires comprenant des données personnelles. On peut même considérer que ça devrait être obligatoire, c’est d’ailleurs le sens des recommandations émises par Google pour le SEO (voir ci-dessous).
  • Les pages des systèmes (par exemple un Intranet) permettant d’échanger des documents professionnels ou confidentiels.
  • Les pages de paiement dans les sites e-commerce.

Installer SSL sur son site web

Les hébergeurs web proposent désormais des systèmes simplifiés pour mettre en place un certificat SSL sur son site web. Gandi offre par exemple la possibilité de mettre en place un certificat sur son offre d’entrée de gamme, Simple Hosting.Les coûts ont également beaucoup baissé. Ils dépendent en grande majorité de la longueur des clefs de cryptage, de la rapidité de la réponse du serveur de certification et des garanties offertes.Si vous avez un serveur dédié, vous devrez installer le certificat et la clef privée et configurer apache pour le faire fonctionner.

SSL, https et référencement naturel

Google a annoncé à l’été 2014 que désormais, les sites proposant le https seront « très légèrement » favorisés dans les résultats naturels. Il peut alors être tenant de mettre en place un certificat SSL à moindre coût pour améliorer son référencement. Il est néanmoins sain de se poser les questions suivantes avant de se lancer :

  • Ai-je la capacité technique de mettre en place le https sans allumer des warnings pour l’utilisateur (images et scripts non sécurisés déclenchant des alertes de sécurité, mauvaise configuration du certificat…)
  • Ai-je les moyens de m’offrir un certificat répondant aux spécifications de Google ? Le ROI en vaut-il la peine ?
  • Suis-je prêt à ralentir la vitesse de mon site (conséquence d’une mise en place « classique » du SSL sans optimisation ?)
  • Y a-t-il une autre bonne raison que le SEO pour mettre en place https sur mon site ?

Internet serait-il plus sûr avec le SSL ?

Incontestablement, la généralisation de SSL offrirait de nombreux avantages en terme de sécurité : identification des émetteurs, diminution drastique du vol de données… Cependant, cette généralisation rendrait le web beaucoup moins accessible aux amateurs compte tenu des coûts et de la technicité de la mise en place de SSL sur un site.

Pour aller plus loin, nous vous invitons à télécharger notre livre blanc: « les 11 commandements d’un site internet qui convertit vos visiteurs en clients » et à contacter notre agence web.

Gabriel Dabi-Schwebel

Posté par

Ingénieur de formation, j'ai accompagné notamment pour Alcatel, TF1, SFR et Lagardère Active le lanc

Gabriel Dabi-Schwebel

Contact Développement web :

Jérémie Dornbusch

jd@1min30.com
07 85 92 87 77





Commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

Apprenez de notre stratégie en vous inscrivant à notre newsletter