installer certificat SSL pour https

Comment installer et paramétrer correctement le HTTPS sur son site Web ?

Afin d’optimiser la sécurité d’un site internet, il est fréquent de passer du protocole http au protocole HTTPS.

Dans cet article, nous verrons les bonnes pratiques techniques et les erreurs à éviter pour installer et configurer efficacement un certificat SSL sur son site Web,  ainsi que les impacts – sur le référencement naturel – du passage du http au HTTPS. 

Pour te permettre de démarrer du bon pied, nous commencerons par répondre aux questions les plus courantes sur le protocole HTTPS.

Note : il faut installer un certificat SSL sur son site internet pour activer le protocole sécurisé HTTPS. Je te détaille tout cela aussi dans l’article.

Qu’est-ce qu’un protocole HTTPS ?

HTTPS (acronyme pour Hypertext Transfer Protocol Secure) est un ensemble de règles régissant les échanges de données entre le navigateur d’un internaute lambda et le site internet auquel il est connecté.

Autrement dit, c’est le protocole qui correspond à la sécurisation des transmissions de données. Le http (acronyme pour Hypertext Transfer Protocol) désigne sa version antérieure non sécurisée.

En effet, le « S » situé à la fin de HTTPS signifie « sécurisé ». Il garantit que tous les échanges de données entre un navigateur et un site Web sont cryptés (codés ou chiffrés).  

Note : si ton site internet est un site e-commerce, il est fort à parier qu’il soit déjà en HTTPS, ce protocole étant INDISPENSABLE pour garantir la sécurité des données de paiement en ligne.

Par contre, si ton site internet est un blog ou un site vitrine, il est possible qu’il soit encore en http. C’est à toi de décider si tu procèdes à la migration ou non. 

Pourquoi migrer son site internet vers le HTTPS ? 

Pour 3 raisons principales :

Optimiser la sécurité de son site Web

Le protocole HTTPS protège ton site internet de toutes formes d’intrusions. 

En effet, chacune des ressources non protégées échangées entre ton site et le navigateur d’un internaute (images, scripts, HTML, cookies, etc.) peuvent être piratées et exploitées par des hackers, et ceux-ci peuvent agir à partir de n’importe quel endroit sur ton réseau internet (Wifi, Fournisseur d’accès internet…)

Le protocole HTTPS te protège aussi des intrusions de hackers qui tentent d’installer des logiciels malveillants ou d’intégrer des publicités sur ton site. Il garantit que tes communications Web ne tombent pas entre de mauvaises mains et qu’elles ne puissent ni être lues, ni être manipulées, aussi bien par les humains que par les machines.

Protéger les données de ses visiteurs, clients, partenaires 

C’est la raison principale qui pousse aujourd’hui le HTTPS à devenir si obligatoire : protéger les données des gens qui visitent et achètent via votre site !

Les requêtes http non protégées peuvent en effet potentiellement révéler des informations sur les comportements et les identités de tes utilisateurs. Le protocole HTTPS assure la confidentialité et la sécurité de ces derniers. Utile en ces temps de RGPD… 

Sur les sites http en revanche, les données personnelles des utilisateurs peuvent en théorie être lues et modifiées. Celles-ci sont classées en fonction de leurs natures, comme l’illustrent les exemples ci-après :

  • données d’inscription : noms, prénoms, adresse, e-mail, numéro de téléphone… ;
  • données d’identification : adresse e-mail, mot de passe… ;
  • données de paiement : numéro de carte de crédit et autres coordonnées bancaires ;
  • documents téléchargés par les internautes : curriculum vitae… ;
  • formulaires de saisie ;
  • etc. 

Il est important de relever que les certificats SSL sont facilement reconnaissables par les internautes et suscitent la confiance de ceux-ci.

Profiter des certificats enfin gratuits 

Pendant de nombreuses années, les certificats de sécurité SSL étaient payants. Mais ça, c’était avant !

Grâce à des autorités de certification gratuites, autorisées et ouvertes comme Let’s Encrypt, il est actuellement possible d’obtenir des certificats SSL gratuits et donc de passer du protocole http au protocole HTTPS sans débourser un seul sou.

Qu’est-ce qu’un certificat SSL ?

Le SSL (acronyme pour Secure Socket Layers) correspond à une technique de chiffrement et d’authentification des flux de données en réseau.

En d’autres termes, c’est une technique de cryptage qui assure une transmission sécurisée des données d’un site Web entre un navigateur et le serveur Web. 

Comme évoqué précédemment, sur les sites des cybercommerçants, la mise en place d’un certificat SSL est INDISPENSABLE, compte tenu des données confidentielles et sensibles que les plateformes de ce type manipulent. 

Note : les certificats SSL sont appelés TLS (Transport Layer Security) dans leur version ultérieure. 

Le protocole HTTPS est-il un critère SEO ? 

Oui ! Mais c’est plutôt un coup de pouce qu’un coup de boost qui attend votre site en passant en HTTPS (comme le dit si bien le JDN : https://www.journaldunet.com/solutions/seo-referencement/1417302-le-https-est-il-un-accelerateur-de-seo/).

Depuis août 2014, le protocole HTTPS fait cela dit officiellement partie des 200 critères de positionnement pris en compte par l’algorithme de Google. 

Le moteur de recherche américain souhaite en effet encourager tous les propriétaires de sites internet à passer du protocole http au protocole HTTPS. 

Dans quel but ? Assurer la protection des données de tous les utilisateurs sur le Web. 

Les sites internet non HTTPS sont donc potentiellement pénalisables en référencement. 

D’ailleurs… 

En septembre 2016 – Google confirme son ambition de passer le Web en HTTPS avec le lancement de l’alerte « Non Sécurisée ».

Il marque ainsi l’ensemble des pages qui utilisent le protocole http et collectent les données personnelles des utilisateurs (adresses e-mails, noms, prénoms, mots de passe, etc.) à travers un formulaire comme non sécurisées. 

En Octobre 2017 – les internautes qui utilisent le navigateur Chrome en navigation privée voient, dès lors, apparaître un message du type « Le site que vous voulez visiter n’est pas sécurisé » lorsqu’ils naviguent sur un site http.

En 2018 – le géant de la Mountain View va encore plus loin en lançant l’alerte « Non Sécurisée Rouge ». Il marque ainsi l’ensemble des sites internet qui utilisent un protocole http comme non sécurisés. 

« Finalement, nous prévoyons de marquer toutes les pages HTTP comme non sécurisées, et de remplacer l’indicateur de sécurité HTTP par le triangle rouge que nous utilisons pour le HTTPS. » dixit Google. 

En somme : le protocole HTTPS est utilisé pour protéger l’intégrité des sites internet de toutes formes d’intrusions de la part des hackers et assurer la protection des données de navigation des internautes. 

Sur Google, les pages Web sécurisées affichent un petit cadenas de couleur verte en haut à droite dans la barre d’adresse. Tu le vois, ce verrou ? 

Et s’il n’est pas forcément un facteur permettant de MIEUX ranker, il est sans aucun doute un facteur de confiance pour les utilisateurs qui sont de plus en plus habitués à ce petit cadenas et sa signification, et sont donc plus enclins à quitter un site non sécurisé.

Ce qui à terme, pourrait impacter négativement ton référencement. Pas de boost, pas une pénalisation sur le moyen / long terme donc !

Les prérequis pour passer son site Web en HTTPS 

Avant de commencer la migration sécuritaire de ton site vers le HTTPS, je te conseille de disposer des éléments ci-après :

  • tes codes d’accès FTP et CPanel ;   
  • tes codes des comptes Google afin de valider ton travail à la fin de l’opération ; 
  • un logiciel d’accès à ton serveur : Fetch, FileZilla, etc. ; 
  • un logiciel Search and Replace DB (mais il en existe d’autres)

Avant tout, commence par faire une sauvegarde complète de ton site via CPanel. Ainsi, tu pourras revenir à cette version de base en cas de crash.

Comment passer son site http en HTTPS 

La version simplifiée

Si tu es chez un hébergeur comme SiteGround, un simple ticket au service client te permettra de faire basculer ton site en HTTPS, sans aucun coût. Cela prend littéralement quelques minutes et sans avoir à toucher à quoi que ce soit.

D’autres hébergeurs doivent le proposer aujourd’hui, mais comme je n’utilise quasiment que SiteGround, difficile pour moi de m’exprimer sur les autres. Demande à ton service client, tu sauras vite fait comment ça se passe.

Et sinon, la version plus technique ci-dessous devrait répondre à tes questions.

La version technique

Contrairement à ce qu’on pourrait penser, la migration des sites internet vers le protocole HTTPS n’est pas simple si on doit le faire tout seul, tant sur le plan technique que sur son impact sur le référencement naturel.  

Toutefois, malgré sa complicité, l’opération peut être correctement conduite par un informaticien amateur un peu patient.

Voici en 10 étapes la méthode à suivre à suivre pas à pas pour passer son site internet en HTPPS.  

Établir une demande de certificat CSR

La première étape du passage au protocole sécurisé HTTPS consiste à générer le certificat CSR.

En effet, pour créer et signer le fichier de certificat, le fournisseur SSL aura besoin du code CSR. Le fichier CSR contient les informations de la clé publique de ton serveur. Il est incontournable pour générer la clé privée.

Pour générer ton code CSR et ta clé RSA, remplis le formulaire ci-après : https://www.ssl.com/online-csr-and-key-generator/

Tu devras renseigner, au minimum, les champs suivants :  

  • Nom commun (nom de domaine) ;
  • Adresse e-mail ;
  • Organisation ;
  • Ville / Localité ;
  • État / Comté / Région ;
  • Pays. 

Si tu veux générer un certificat wildcard, pour le champ nom commun, entre ton nom de domaine comme suit : *.domain.com.

Tu peux également faire la demande de signature de certificat (CSR) directement dans l’onglet « Sécurité » SSL/TLS de CPanel :

  • va dans SSL/TLS/ demandes de signature de certificat (CSR) ;
  • renseigne le formulaire et appuie sur le bouton « Générer » ;
  • après quoi tu recevras la signature de certificat (CSR) ;
  • utilise-la pour acheter ton SSL. 

Choisir et acquérir un certificat SSL 

Tu as le choix entre différents types de certificats SSL : simples, multi-domaines, génériques. En fonction du niveau de sécurité, donc de confiance que tu souhaites proposer à tes utilisateurs, choisis celui qui convient le mieux.

L’autorité d’attribution officielle (CA pour Certificate Authority), grâce à laquelle on obtient le certificat, garantit la conformité des indications. 

Note : les certificats SSL se distinguent également par l’étendue de leur identification :

  • Certificat à validation de domaine (DV)

Il concerne les certificats dotés du niveau d’authentification le plus bas. Dans ce cas, l’autorité de certification s’assure uniquement que le demandeur est bel et bien propriétaire du domaine pour lequel il souhaite obtenir un certificat.

Au cours de cette vérification,  les informations sur l’entreprise ne sont pas contrôlées, d’où l’existence d’un risque dans la validation du domaine. 

Toutefois, du fait du faible effort d’authentification qu’ils requièrent, les certificats DV ont l’avantage d’être rapidement établis par l’autorité de contrôle et leurs prix sont tout doux, en comparaison avec les 2 autres types de certificats SSL.

Note : les certificats DV conviennent parfaitement aux sites internet pour lesquels le lien de confiance à propos de la sécurité des données des internautes n’est pas un enjeu.

Par contre, pour les sites où les données sensibles des utilisateurs fluctuent, il faudra nécessairement acquérir un certificat d’authentification de niveau 3. 

  • Certificat à validation d’organisation (OV)

Il s’agit des certificats qui proposent le degré d’authentification de niveau 2. Ici, en plus des vérifications relatives à la propriété du domine, l’autorité de certification contrôle les informations organisationnelles liées à l’entreprise demandeuse. Il s’agit notamment de l’appartenance (ou non) au registre du commerce. 

Compte tenu de son processus de contrôle plus poussé, le certificat OV requiert un peu plus de temps pour son établissement et coûte beaucoup plus cher que son précédent.  

Cela dit, il permet de booster le degré de confiance d’un site Web, puisque les informations vérifiées par l’autorité de contrôle sont accessibles à tous les visiteurs sur le Web. 

Note : les certificats OV sont adaptés pour les sites internet sur lesquels sont effectuées des transferts de données non sensibles.

  • Certificat à validation étendue (EV)

Comme tu t’en doutes, là, il est question du certificat qui propose le niveau d’authentification le plus élevé. À la différence du certificat OV, ici, les informations organisationnelles fournies par les entreprises soumissionnaires sont contrôlées sur la base de critères d’attribution beaucoup plus strictes et détaillés. 

Bien entendu, l’acquisition des certificats EV est plus onéreuse, aussi bien qu’en termes de temps que d’argent. Mais la vérification détaillée des entreprises permet d’obtenir le plus haut niveau de sécurité et donc de renforcer le degré de confiance et de crédibilité que suscite un site Web. 

C’est l’idéal pour les sites internet qui manipulent les données sensibles comme les coordonnées bancaires. 

En conclusion : le certificat SSL protège ton site internet et t’aide à gagner la confiance de tes visiteurs.

Configurer son serveur Web pour utiliser son certificat 

Une fois ton certificat SSL choisis et acheté, configure ton serveur Web pour pouvoir l’utiliser. Suivant la configuration logicielle de celui-ci (Apache, IIS, Nginx, etc.), je t’invite à consulter des tutos qui décrivent cette opération pas à pas. 

Ceci dit, de nombreux prestataires de service d’hébergement Web prennent déjà en charge la mise en place des certificats SSL. D’autres ajoutent même la certification dans leurs offres d’hébergement. Rapproche-toi donc du service client concerné pour savoir si une telle option est proposée.  

Note tout de même qu’il te sera demandé d’indiquer le type de serveur lors de l’acquisition d’un nouveau certificat SSL.

Installer et configurer son certificat SSL  

La prochaine étape consiste à installer et à configurer le certificat SSL sur son serveur Web. Généralement, les autorités de certification fournissent des indications et des instructions spécifiques à cette implémentation. 

Si tu fais l’acquisition de ton certificat sécurisé auprès de ton hébergeur Web, le plus probable est qu’il le mette en place et l’active pour toi en quelques heures et parfois en moins de 30 minutes.

Quoi qu’il en soit, d’un point de vue technique, pour une installation correctement faite, grosso modo, tiens tenir compte des critères suivants :  

  • choisis convenablement ton certificat ; 
  • utilise un codage adapté ; 
  • applique une configuration serveur appropriée.

Prends la clé privée (Private Key) fournie par ton fournisseur SSL et installe-la dans la section « Installer et gérer SSL pour ton site (HTTPS) ».

Indépendamment de ton choix, ton certificat est maintenant actif.

Vérifier la validité de son certificat SSL 

Une fois ton site Web passé en HTTPS, assure-toi que ton certificat SSL soit correctement configuré et que ton domaine soit protégé des attaques. Pour ce faire, utilise des outils en ligne tels que ssllabs.com ou  SSL Server Test.  Ou même le notre, disponible gratuitement ici 🙂 . 

Par ailleurs, si ton site internet est chiffré avec un certificat SSL valide, sous Google, un petit cadenas vert apparaitra directement dans son URL. Par contre, si ton site internet n’est pas sécurisé, un petit cadenas barré pourrait apparaitre dans son URL. 

Tu peux en outre le vérifier en tapant ton URL avec un « S » devant le http habituel dans un navigateur et observer qu’il s’affiche bien.

Appliquer une redirection des pages http vers les pages HTTPS 

Évidemment, les nouvelles pages seront directement créées sur la base du protocole HTTPS. Pour les pages déjà existantes, il faudra appliquer une redirection du trafic visiteurs vers les pages HTTPS. 

Le passage d’un site internet http à un site internet HTTPS équivaut en effet à effectuer une migration. Afin d’en limiter les impacts sur ton référencement naturel en particulier, il est recommandé de définir de bonnes redirections 301 (redirections permanentes).

Pour ce faire, inutile d’identifier et de rediriger chaque adresse de page d’articles et d’autres types de contenu comme les vidéos. Ce qu’il faut faire c’est ajouter le code de redirection dans le .htaccess de ton site.

Ce code permettra d’orienter l’ensemble des URL http vers leurs correspondantes HTTPS.

  • Méthode 1 : à coller au top de ton fichier .htaccess

# Redirection vers HTTPS

RewriteEngine On

RewriteCond % {HTTPS} off

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R, L]

  • Méthode 2 : à coller au top de ton fichier .htaccess

# Redirection vers HTTPS

RewriteCond %{SERVER_PORT} ^$80 [OR]

RewriteCond %{HTTPS} =off

RewriteRule ^(.*)$ https://nom-de-ton-domaine-web.com/$1 [R=301, L]

Au cas où il n’utilise pas les 3w, redirige  vers la bonne version.

Toujours dans le .htaccess, écris : 

# Rediriger vers la version sans www

RewriteEngine on

RewriteCond % {HTTP_HOST} ^www\. nom-de-ton-site-web\.com [NC]

RewriteRule ^(.*)$ https://nom-de-ton-domaine-web.com/$1 [L,R=301]

Mettre son compte Google webmaster à jour 

Il convient de déclarer son nouveau site internet à Google. 

Comment faire ça ? 

  • Dans ton compte Google Webmaster tool, appuie sur l’engrenage situé en haut à droite de la Google Search Console. 
  • Clique sur « Changement d’adresse » et laisse-toi guider. 
  • Intègre les 2 versions de ton site internet (avec www et sans 3w). 
  • Sélectionne ta version préférée (avec www ou sans 3w). 
  • Choisis ton pays cible. 
  • Poste ton nouveau sitemap.xml. 

Au niveau de Google Analytics, mentionne également que ton site à migrer vers le HTTPS : 

  • Menu Admin ;
  • Propriété ; 
  • Paramètre de la propriété et sélectionne https:// pour le champ URL par défaut.

Pense également à modifier tes adresses URL en HTTPS sur l’ensemble de tes campagnes Marketing et réseaux sociaux (Facebook, Adsense, Adwords, e-mailing, affiliation, YouTube…).

Mettre ses liens et sa base de données à jour 

Je l’admets : ce travail peut être long et harassant. Toutefois, pour installer et configurer le HTTPS correctement sur son site Web, c’est une étape incontournable.

Il est question ici de passer en HTTPS tous les liens « importants » pointant vers ton nouveau site internet, même si les redirections 301 ont été définies et fonctionnent bien. 

Tu peux, pour ce faire, utiliser des logiciels gratuits comme Broken Link check pour analyser tes liens cassés. Cette étape est cruciale si tu veux profiter du jus générer par tes liens retour et maintenir la qualité de ton positionnement organique.

N’hésite pas à demander aux webmasters des sites internet partenaires de procéder à la modification pour garder des liens directs A vers B. 

Pour mettre à jour toutes les URL Http de ton portail Web en HTTPS, tu peux utiliser le logiciel utilitaire Search and Replace DB.

Cet outil convivial viendra chercher tous les fichiers de ta base de données pour les remplacer par de nouvelles avec le « S » de sécurisé.

  • Télécharge le script et décompresse-le sur ton ordinateur.
  • Ensuite, via le logiciel client FTP FileZilla, installe-le sur le serveur à la racine de ton site. 
  • Pour lancer le logiciel, tape la requête suivante dans la barre d’adresse de ton navigateur : http://nom-de-ton-domaine-web.com/Search-Replace-DB-master
  • Veille à taper l’URL sans le « S » de HTTPS et sans barre oblique « / » à la fin.
  • Normalement, dans le navigateur, le logiciel te propose plusieurs champs.
  • Renseigne les 2 champs (URL racine sans le « S » et URL racine avec le « S »). 
  • Pour vérifier que cela fonctionne correctement, clique d’abord sur le bouton sur « dry run ».
  • Seulement si le test est positif, clique sur « live run ». 
  • Le « S » sera ajouté sur toute ta base de données en quelques secondes. 
  • Appuie enfin sur l’option « delete me » pour supprimer le script du serveur.

Vérifier le caractère HTTPS des modules utilisés sur son site 

Rassure-toi que les différentes extensions associées à ton CMS soient elles aussi en HTTPS ou remplace-les par d’autres plugins. Si tu ne le faisais pas, tout le travail ainsi réalisé ne servirait à rien.

Et ça, ce n’est pas ce que tu souhaites. N’est-ce-pas ? Oui. Ça demande un temps considérable. Mais à vaincre sans péril, on triomphe sans gloire. Bref. Tu as compris. 

 Penser à gérer le renouvellement de son certificat SSL 

En règle générale, la période de validité d’une certification SSL s’étend sur 1 an. Aussi, il est important de penser à la gestion du renouvellement de son certificat SSL afin d’éviter des soucis de connexion au moment du renouvellement effectif.

Ça y est, c’est bon. D’ores et déjà, tu sais comment installer et paramétrer le protocole HTTPS correctement sur ton site Web. Mais qu’en est-il de ces certificats SSL gratuits ? 

Installer un certificat SSL gratuit sur son site Web 

Comme souligné plus haut, grâce à des autorités de certification gratuites, automatisées et ouvertes comme Let’s Encrypt, il est possible de passer du http au HTTPS gratuitement. 

Ça vaut la peine de souligner que Let’s Encrypt est soutenue par des mastodontes comme Google, Mozilla Firefox, Facebook. 

Seules contraintes imposées par cette certification gratuite :

  • la nécessité de la renouveler tous les 3 mois au lieu de tous les ans comme ordinairement ;
  • tous les domaines et sous-domaines doivent être intégrés manuellement sur le tableau de bord ;
  • les sous-domaines sont limités à 100 ;
  • limitations sur les domaines avec caractères spéciaux ;
  • les certificats Let’s Encrypt sont exclusivement validés par le domaine (ils n’ont pas de garantie). 

Quelles sont les erreurs à éviter lors de l’installation et de la configuration du protocole HTTPS ?

Diverses erreurs peuvent advenir au cours du passage d’un site Web http en HTTPS. En effet, pour les éviter au mieux, la bonne astuce consiste à les anticiper. 

Voici donc les 5 erreurs les plus courantes à prévenir lors de cette opération. 

Installer un certificat arrivé à expiration 

Installer un  certificat périmé sur son site internet est le meilleur moyen de saborder son degré de sécurité et de confiance auprès de son public cible. Car cet impair fera apparaître un message d’alerte négatif dans la fenêtre du navigateur de l’utilisateur.

Implémenter des mauvaises redirections

Pour éviter les problèmes de duplications de contenus et les erreurs 404, il est primordial de mettre en place de bonnes redirections permanentes (301).

Question d’expliquer aux robots d’indexation des moteurs de recherche que les pages qui étaient jusqu’à lors accessibles en http le sont maintenant en HTTPS. Si non tes pages Web se feront une concurrence malsaine, étant donné qu’elles ont un contenu identique. 

Oublier d’enregistrer  le site HTTPS dans ses outils d’administration et Google Analytics 

Important : le site http et son pendant HTTPS sont considérés comme deux sites internet différents. Pour cela, le nouveau site HTTPS doit être enregistré dans l’outil d’administration lors du passage au SSL.

Omettre d’actualiser son sitemap XML

Pense à mettre ton sitemap XML à jour et à l’intégrer dans l’outil d’administration.

Oublier de modifier ses liens internes et externes

Comme nous l’avons vu, il vaut mieux changer tous les liens internes et les liens externes (importants) de son site après le passage au protocole HTTPS. 

En évitant de faire les erreurs suscitées, tu t’évites de subir des pénalités au niveau de ton référencement ou d’avoir des problèmes de redirection de pages Web.

Pour conclure sur l’installation et la configuration du protocole HTTPS

En plus de fournir l’information la plus qualitative et la plus complète aux cybernautes, Google et les autres moteurs de recherche militent en faveur de la sécurisation du Web… 

…Afin de proposer des conditions de navigation sécures aux internautes sur l’ensemble des sites internet.

…Afin de garantir la protection de leurs données personnelles.

…Afin, en un mot, de rendre le Web plus sûr. 

Si tu souhaites profiter des avantages du HTTPS et améliorer ton positionnement dans les SERPs, il est urgent que tu passes ton site internet à ce protocole. 

Dans ce contexte où les attentes de sécurité des internautes se font de plus entendre, appliquer un cryptage SSL sur l’ensemble de ses pages Web est le meilleur moyen de garantir la pérennité de son business en ligne.