Certificat SSL et HTTPS
Certificat SSL et HTTPS : sécuriser son site web
Le protocole HTTPS (HyperText Transfer Protocol Secure) est devenu le standard absolu du web. En 2024, 95 % des pages chargées dans Chrome sont servies via HTTPS (Google Transparency Report). Un site encore en HTTP en 2024 est pénalisé sur plusieurs fronts : Google l’indique comme « non sécurisé » dans la barre d’adresse du navigateur, les moteurs de recherche le rétrogradent dans les résultats, et les utilisateurs le fuient : 85 % des internautes ne finaliseraient pas un achat sur un site sans cadenas vert (GlobalSign).
Fonctionnement du SSL/TLS
Un certificat SSL (Secure Sockets Layer) — aujourd’hui techniquement remplacé par TLS (Transport Layer Security) mais le terme SSL reste d’usage — est un fichier numérique qui remplit deux fonctions essentielles. D’abord, il chiffre les communications entre le navigateur de l’utilisateur et le serveur web : les données transmises (mots de passe, numéros de carte bancaire, formulaires) sont illisibles pour quiconque intercepterait le trafic. Ensuite, il authentifie l’identité du site : il certifie que vous communiquez bien avec le vrai site et non une copie frauduleuse (attaque man-in-the-middle).
La poignée de main TLS (TLS handshake) s’effectue en quelques millisecondes lors de chaque nouvelle connexion : le navigateur vérifie la validité du certificat auprès de l’autorité de certification, négocie l’algorithme de chiffrement et établit une clé de session unique pour cette connexion.
Les types de certificats SSL
- DV (Domain Validation) : le plus basique, valide uniquement que vous contrôlez le domaine. Délivré en quelques minutes, gratuit via Let’s Encrypt. Suffisant pour les blogs, sites vitrines et petits e-commerces. Le cadenas est visible mais aucune information sur l’organisation n’est certifiée.
- OV (Organization Validation) : l’autorité de certification vérifie l’existence légale de l’organisation. Délai de 1 à 3 jours, coût de 50 à 200 €/an. Recommandé pour les entreprises B2B, les associations et les sites institutionnels qui souhaitent afficher leur identité certifiée.
- EV (Extended Validation) : vérification la plus rigoureuse (existence légale, adresse physique, identité des responsables). Affichait historiquement le nom de l’entreprise en vert dans la barre d’adresse (abandonné par la plupart des navigateurs depuis 2019). Coût : 150 à 600 €/an. Encore utilisé par les banques, les grandes e-commerçants et les services gouvernementaux.
- Wildcard : couvre un domaine et tous ses sous-domaines (*.monsite.com). Économique si vous avez de nombreux sous-domaines (shop.monsite.com, blog.monsite.com, app.monsite.com).
- Multi-domaine (SAN) : un seul certificat couvre jusqu’à 100 domaines différents. Pratique pour les agences gérant plusieurs sites.
Let’s Encrypt : le SSL gratuit et automatisé
Let’s Encrypt est une autorité de certification gratuite, ouverte et automatisée, lancée en 2016 par l’Internet Security Research Group (ISRG). Elle délivre des certificats DV gratuits avec une validité de 90 jours, renouvelés automatiquement via le protocole ACME (généralement avec Certbot). Let’s Encrypt alimente plus de 360 millions de certificats actifs dans le monde. Tous les hébergeurs sérieux l’intègrent nativement : OVH, Hostinger, o2switch, Infomaniak, Cloudflare proposent une activation en un clic.
Impact du HTTPS sur le SEO
Google a officiellement confirmé HTTPS comme signal de classement depuis août 2014. Bien que son poids soit modéré (il sert de « tiebreaker » entre sites de qualité équivalente), passer en HTTP est aujourd’hui rédhibitoire : les navigateurs bloquent certains contenus mixtes (mixed content), les utilisateurs voient un avertissement « non sécurisé », et les taux de rebond explosent. La migration HTTP vers HTTPS requiert des redirections 301 permanentes sur toutes les URLs, la mise à jour des liens internes et des sitemaps, et la configuration d’une nouvelle propriété dans Google Search Console.