Qu’est-ce qu’un protocole HTTPS ?

Le protocole HTTPS ou Hypertext Transfer Protocol Secure qui est une extension de HTTP, et qui fonctionne en collaboration avec un autre protocole appelĂ© SSL ou Secure Sockets Layer. En effet, toutes les informations Ă©changĂ©es via le protocole HTTP risquent d’ĂȘtre interceptĂ©es. Pour transporter les donnĂ©es de façon sĂ©curisĂ©e, on va donc utiliser le protocole HTTPS et SSL. C’est le protocole SSL qui s’occupe du transfert de donnĂ©es, Ă  proprement parler. L’évolution du SSL est le TLS ou Transport Layer Security, une façon encore plus sĂ»re d’encrypter vos donnĂ©es.

Un site est dit sĂ©curisĂ©, quand la connexion utilisĂ©e pour communiquer avec le serveur d’hĂ©bergement est cryptĂ©e. On peut le vĂ©rifier en regardant l’adresse du site, s’il commence par https:// (le s pour “secure”), alors il est sĂ©curisĂ©. Un site non sĂ©curisĂ© commencera par http://. 

Illustration qui montre le protocole HTTPS et SSL pour la sécurité d'un site web

Lorsque vous ĂȘtes sur un site HTTPS, un cadenas apparaĂźt Ă  gauche de l’adresse du site, dans votre navigateur, et au clic, la mention “SĂ©curisĂ©â€ est indiquĂ©e.

Illustration qui montre le protocole HTTPS et SSL pour la sécurité du site web de DIGITICS

Les avantages du certificat HTTPS pour la sĂ©curitĂ© d’un site web

Avec le protocole de sĂ©curitĂ© HTTPS / SSL, les informations sensibles qui transitent via le rĂ©seau internet (mots de passe, cartes bancaires, etc.) ne peuvent pas ĂȘtre volĂ©s par une personne s’étant introduite dans un des Ă©quipements utilisĂ©s par le rĂ©seau (connexion wifi, ligne tĂ©lĂ©phonique, fibre optique, routeur, 
). Le protocole HTTPS agit comme un bouclier anti-intrusions.

Le cadenas s’affichant dans la barre d’adresse du navigateur fait office de label de suretĂ©. Lorsque le site n’est pas en https, les navigateurs mettent les utilisateurs en garde avec des messages d’alerte qui rendent l’internaute mĂ©fiant.

En savoir plus sur la sécurité des sites internet

Comment mettre en place le protocole HTTPS

Etape 1 : Demander la signature de certificat (CSR) sur votre serveur.

Elle permet de rĂ©cupĂ©rer les donnĂ©es nĂ©cessaires (certificat de clĂ© publique) pour l’enregistrement du certificat SSL.

Etape 2 : Choisir et acheter le certificat SSL.

Il y a différents types de certificats SSL. Ils offrent différents niveaux de sécurité et de tarifs en fonction de vos besoins.

Etape 3 : Rediriger les pages de votre site.

Basculer de HTTP Ă  HTTPS Ă©quivaut Ă  une migration avec changement de nom de domaine. Dans le cas de DIGITICS, nous passerions de « http://digitics.fr Â» Ă  « https://digitics.fr Â». Vous allez devoir rediriger toutes les pages de votre site basculant en HTTPS, pour que la sĂ©curisation n’impacte pas nĂ©gativement votre rĂ©fĂ©rencement. Si vous ĂȘtes sur WordPress, vous pouvez rĂ©aliser les redirections 301 (redirections permanentes) depuis le fichier « .htaccess Â». 

Etape 4 : Mettre Ă  jour les liens internes

Les liens internes dĂ©signent tous les liens entre les pages de votre site internet. Par exemple, la page A (l’accueil) pointe vers la page B (contact). Que faire si dans la page d’accueil vous pointez toujours vers la version « HTTP Â» de la page contact alors qu’elle est maintenant en HTTPS ? Deux solutions s’offrent Ă  vous :

  1. L’utilisation des URL relatives
    Dans ce cas, vous n’avez rien à faire.
    Les liens vers une URL relative prend la forme suivante :
    <a href= »/pageb »>Lien</a>.
    Le fait que la page B passe de HTTP Ă  HTTPS n’a aucun impact.
  2. L’utilisation des URL absolues
    Pour reprendre l’exemple le mĂȘme exemple, le code de vos pages n’indique pas <a href= »/pageb »>Lien</a> mais <a href= »http://www.digitics.fr/pageb »>Lien</a>.
    Il est Ă©vident que si la page B passe en HTTPS, le lien devient obsolĂšte. Ce qui signifie que vous devrez modifier manuellement tous les liens internes qui pointent vers les pages passĂ©es en HTTPS. C’est trĂšs chronophage. D’oĂč l’intĂ©rĂȘt, de privilĂ©gier les URL relatives pour les liens internes.

Etape 5 : Mettre Ă  jour les images et les autres liens

Dans le code source des pages du site, il y a encore des short-codes de ce type : <script src= »http://www.digitics.fr/js/file.js ». LĂ  encore, le fait de passer en HTTPS va poser problĂšme. Il faudra rĂ©Ă©crire ces scripts en ajoutant le « s Â» Ă  « http Â». Ou utiliser un protocole d’URL relatives supprimant le http devant le nom de domaine : <script src= »//www.digitics.fr/js/file.js ».

Pour aller plus vite, il est possible d’utiliser un outils de crawling comme Screaming Frog.  Il s’agit d’un logiciel qui a pour principale mission d’explorer le site web afin d’analyser le contenu des documents visitĂ©s et les stocker de maniĂšre organisĂ©e dans un index.
Pour vĂ©rifier s’il n’y a aucun liens brisĂ©s, vous pouvez utiliser Broken Link Check.

Etape 6 : Mettre Ă  jour le Google Search Console

Toutes les Ă©tapes prĂ©cĂ©dentes rĂ©alisĂ©es et aprĂšs avoir vĂ©rifiĂ© qu’il n’y a plus de lien HTTP, il faut maintenant prĂ©venir Google. En effet, pour Google, votre site en HTTP et en HTTPS ne sont pas du tout la mĂȘme chose. Il faut donc rĂ©indexer vos nouvelles URL pour ne pas perdre des positions en SEO.

Il faut ajouter votre site HTTPS dans Google Search Console. Encore une fois, passer votre site web de HTTP Ă  HTTPS Ă©quivaut Ă  une migration.

Etape 7 : Tester le site en HTTPS

Il faut encore tester votre site pour voir s’il n’y a pas de problĂšme. En cas de problĂšme, il est possible d’utiliser SSL Server Test pour dĂ©terminer d’oĂč viennent les anomalies.

Les différents types de certificat SSL

Le certificat DV ou Domaine Validation
Ce certificat SSL contrĂŽle le domaine. C’est le niveau de sĂ©curitĂ© le plus faible. Ils permettent seulement de crypter les Ă©changes de donnĂ©es, sans aucune authentification. Le certificat DV vous conviendra, si vous ne demandez pas de donnĂ©es privĂ©es Ă  vos internautes, et si votre site n’est pas la cible de certaines fraudes.

Le certificat OV ou Ă  Validation de l’Organisation
Ce certificat effectue un contrĂŽle de l’organisation. L’entreprise est alors vĂ©rifiĂ©e : on s’assure, par exemple, de l’enregistrement de cette derniĂšre au RCS (Registre des Commerces et des SociĂ©tĂ©s). Ils permettent, en plus du cryptage du certificat DV, de procĂ©der Ă  l’authentification des internautes et des serveurs. Ce certificat est adaptĂ© si vous transfĂ©rez des donnĂ©es non sensibles.

Le certificat EV ou Ă  Validation Etendue
Il s’agit d’un certificat permettant un contrĂŽle Ă©tendu de l’entreprise. Avec celui-ci, vous aurez le degrĂ© de sĂ©curitĂ© le plus fort. C’est le certificat le mieux adaptĂ© pour transfĂ©rer des donnĂ©es sensibles (tel que les informations de paiement).

Vous souhaitez sécuriser votre site ? Contactez DIGITICS !