Le protocole HTTPS ou Hypertext Transfer Protocol Secure qui est une extension de HTTP, et qui fonctionne en collaboration avec un autre protocole appelé SSL ou Secure Sockets Layer. En effet, toutes les informations échangées via le protocole HTTP risquent d’être interceptées. Pour transporter les données de façon sécurisée, on va donc utiliser le protocole HTTPS et SSL. C’est le protocole SSL qui s’occupe du transfert de données, à proprement parler. L’évolution du SSL est le TLS ou Transport Layer Security, une façon encore plus sûre d’encrypter vos données.
Un site est dit sécurisé, quand la connexion utilisée pour communiquer avec le serveur d’hébergement est cryptée. On peut le vérifier en regardant l’adresse du site, s’il commence par https:// (le s pour “secure”), alors il est sécurisé. Un site non sécurisé commencera par http://.
Lorsque vous êtes sur un site HTTPS, un cadenas apparaît à gauche de l’adresse du site, dans votre navigateur, et au clic, la mention “Sécurisé” est indiquée.
Les avantages du certificat HTTPS pour la sécurité d’un site web
Avec le protocole de sécurité HTTPS / SSL, les informations sensibles qui transitent via le réseau internet (mots de passe, cartes bancaires, etc.) ne peuvent pas être volés par une personne s’étant introduite dans un des équipements utilisés par le réseau (connexion wifi, ligne téléphonique, fibre optique, routeur, …). Le protocole HTTPS agit comme un bouclier anti intrusions.
Le cadenas s’affichant dans la barre d’adresse du navigateur fait office de label de sureté. Lorsque le site n’est pas en HTTPS, les navigateurs mettent les utilisateurs en garde avec des messages d’alerte qui rendent l’internaute méfiant.
En savoir plus sur la sécurité des sites internetComment mettre en place le protocole HTTPS
Etape 1 : Demander la signature de certificat (CSR) sur votre serveur.
Elle permet de récupérer les données nécessaires (certificat de clé publique) pour l’enregistrement du certificat SSL.
Etape 2 : Choisir et acheter le certificat SSL.
Il y a différents types de certificats SSL. Ils offrent différents niveaux de sécurité et de tarifs en fonction de vos besoins.
Etape 3 : Rediriger les pages de votre site.
Basculer de HTTP à HTTPS équivaut à une migration avec changement de nom de domaine. Dans le cas de DIGITICS, nous passerions de « http://digitics.fr » à « https://digitics.fr ».
Vous allez devoir rediriger toutes les pages de votre site basculant en HTTPS, pour que la sécurisation n’impacte pas négativement votre référencement. Si vous êtes sur WordPress, vous pouvez réaliser les redirections 301 (redirections permanentes) depuis le fichier « .htaccess ».
Etape 4 : Mettre à jour les liens internes
Les liens internes désignent tous les liens entre les pages de votre site internet. Par exemple, la page A (l’accueil) pointe vers la page B (contact). Que faire si dans la page d’accueil vous pointez toujours vers la version « HTTP » de la page contact alors qu’elle est maintenant en HTTPS ? Deux solutions s’offrent à vous :
1. L’utilisation des URL relatives
Dans ce cas, vous n’avez rien à faire.
Les liens vers une URL relative prend la forme suivante :
Le fait que la page B passe de HTTP à HTTPS n’a aucun impact.
2. L’utilisation des URL absolues
Pour reprendre l’exemple le même exemple, le code de vos pages n’indique pas le code ci-dessus mais :
Il est évident que si la page B passe en HTTPS, le lien devient obsolète. Ce qui signifie que vous devrez modifier manuellement tous les liens internes qui pointent vers les pages passées en HTTPS. C’est très chronophage. D’où l’intérêt, de privilégier les URL relatives pour les liens internes.
Etape 5 : Mettre à jour les images et les autres liens
Dans le code source des pages du site, il y a encore des short codes de ce type : <script src= »http://www.digitics.fr/js/file.js ». Là encore, le fait de passer en HTTPS va poser problème. Il faudra réécrire ces scripts en ajoutant le « s » à « http ».
Ou utiliser un protocole d’URL relatives supprimant le http devant le nom de domaine : <script src= »//www.digitics.fr/js/file.js ».
Pour aller plus vite, il est possible d’utiliser un outils de crawling comme Screaming Frog. Il s’agit d’un logiciel qui a pour principale mission d’explorer le site web afin d’analyser le contenu des documents visités et les stocker de manière organisée dans un index.
Pour vérifier s’il n’y a aucun liens brisés, vous pouvez utiliser Broken Link Check.
Etape 6 : Mettre à jour le Google Search Console
Toutes les étapes précédentes réalisées et après avoir vérifié qu’il n’y a plus de lien HTTP, il faut maintenant prévenir Google. En effet, pour Google, votre site en HTTP et en HTTPS ne sont pas du tout la même chose. Il faut donc réindexer vos nouvelles URL pour ne pas perdre des positions en SEO.
Il faut ajouter votre site HTTPS dans Google Search Console. Encore une fois, passer votre site web de HTTP à HTTPS équivaut à une migration.
Etape 7 : Tester le site en HTTPS
Il faut encore tester votre site pour voir s’il n’y a pas de problème. En cas de problème, il est possible d’utiliser SSL Server Test pour déterminer d’où viennent les anomalies.
Les différents types de certificat SSL pour le certificat HTTPS
Le certificat DV ou Domaine Validation
Ce certificat SSL contrôle le domaine. C’est le niveau de sécurité le plus faible. Ils permettent seulement de crypter les échanges de données, sans aucune authentification. Le certificat DV vous conviendra, si vous ne demandez pas de données privées à vos internautes, et si votre site n’est pas la cible de certaines fraudes.
Le certificat OV ou à Validation de l’Organisation
Ce certificat effectue un contrôle de l’organisation. L’entreprise est alors vérifiée : on s’assure, par exemple, de l’enregistrement de cette dernière au RCS (Registre des Commerces et des Sociétés). Ils permettent, en plus du cryptage du certificat DV, de procéder à l’authentification des internautes et des serveurs. Ce certificat est adapté si vous transférez des données non sensibles.
Le certificat EV ou à Validation Etendue
Il s’agit d’un certificat permettant un contrôle étendu de l’entreprise. Avec celui-ci, vous aurez le degré de sécurité le plus fort. C’est le certificat le mieux adapté pour transférer des données sensibles (tel que les informations de paiement).