Certificats SSL

Dernière mise à jour 25 mars 2024

Si vous gérez un site de commerce électronique, si vous acceptez des cartes bancaires ou si vous transmettez des informations qui doivent être cryptées, vous aurez besoin d’un certificat SSL pour votre site WordPress. Un certificat SSL vous permettra d’activer le protocole HTTPS, qui garantit qu’aucune information n’est transmise en texte clair. En fait, nous recommandons à tous les sites d’utiliser le protocole HTTPS, car il offre de nombreux avantages en plus de la sécurité.

Chez Kinsta, vous avez deux options pour le SSL de votre site : un SSL Cloudflare gratuit ou un SSL personnalisé que vous achetez vous-même.

Option 1 – SSL Cloudflare gratuit

Tous les domaines vérifiés sur Kinsta sont automatiquement protégés par notre intégration Cloudflare, qui inclut des certificats SSL gratuits. Après avoir ajouté votre domaine, votre site est automatiquement sécurisé par ce certificat. Pour nos plans Managed WordPress Hosting, les certificats SSL gratuits offrent également la prise en charge des wildcards.

À moins que vous n’ayez une raison spécifique d’ajouter un SSL personnalisé, vous pouvez profiter de notre solution facile en un clic, et vous n’aurez pas à vous soucier de la configuration manuelle et de la mise à jour du certificat SSL sur Kinsta.

Renouveler un certificat SSL Cloudflare gratuit

Les renouvellements de certificats SSL wildcard nécessitent l’ajout d’un nouvel enregistrement TXT pour chaque domaine. L’enregistrement TXT est unique pour chaque domaine et change à chaque renouvellement.

Si vous utilisez notre certificat SSL Cloudflare gratuit et que vous utilisez les DNS de Kinsta pour votre site, le processus de renouvellement est automatiquement géré par Cloudflare. Si vous n’utilisez pas les DNS de Kinsta, vous devrez ajouter un enregistrement TXT à votre domaine pour le renouvellement.

Si vous n’avez pas encore ajouté un enregistrement CNAME pour le renouvellement SSL, vous recevrez un e-mail et une notification dans MyKinsta 30 jours avant l’expiration de votre SSL pour vous informer que votre certificat SSL expire bientôt. Cliquez sur le bouton Obtenir l’enregistrement TXT dans le message pour aller dans la liste des Domaines du site, où vous verrez un bouton Renouveler SSL à côté du domaine.
Bouton Renouveler SSL à côté du domaine dans la liste des Domaines MyKinsta.
Cliquez sur ce bouton pour afficher l’enregistrement CNAME que vous devrez ajouter au DNS de votre domaine.
Cliquez sur l’enregistrement TXT pour vérifier le domaine et renouveler votre SSL gratuit.
Connectez-vous au panneau de gestion de votre fournisseur DNS et ajoutez le nouvel enregistrement CNAME à votre domaine. Votre fournisseur DNS est l’endroit où les serveurs de noms de votre domaine sont dirigés. Il peut s’agir du bureau d’enregistrement de votre domaine, mais aussi d’un autre fournisseur de DNS. Si nécessaire, vous pouvez vous référer à la documentation de votre fournisseur pour plus d’informations sur l’ajout d’enregistrements DNS.
Selon votre fournisseur DNS, la propagation des enregistrements CNAME peut prendre jusqu’à 24 heures. Après une vérification de domaine réussie, vous recevrez un e-mail et une notification dans MyKinsta, vous informant que votre certificat SSL a été renouvelé.

Renouveler un certificat expiré

Si vous ne parvenez pas à ajouter l’enregistrement CNAME à votre domaine avant l’expiration de votre certificat SSL, vous recevrez un autree-mail et une notification vous informant que votre certificat a expiré et que vous devez le renouveler. Les étapes pour renouveler un certificat expiré sont les mêmes que pour l’ajout d’un enregistrement CNAME pour le renouvellement ci-dessus.

Dépannage de l’erreur Fixer le domaine

Au cours de la procédure de renouvellement SSL, si un bouton Corriger l’erreur de domaine apparaît à côté du domaine, cela signifie qu’il y a un conflit d’enregistrement CAA.

Un enregistrement CAA est un enregistrement DNS facultatif qui vous permet de spécifier les autorités de certification (CA) autorisées à émettre des certificats SSL pour votre domaine. Si un domaine n’a pas d’enregistrement CAA, n’importe quelle autorité de certification peut générer un certificat SSL pour lui sur demande. Si un domaine possède un enregistrement CAA, seules les autorités de certification spécifiées dans l’enregistrement CA peuvent générer un certificat SSL pour le domaine.

Pour résoudre cette erreur, cliquez sur le bouton Corriger l’erreur de domaine et mettez à jour l’enregistrement CAA comme indiqué dans la fenêtre modale/popup. Alternativement, si vous n’avez pas besoin d’un enregistrement CAA sur votre domaine, vous pouvez supprimer l’enregistrement CAA.

Option 2 – Certificat SSL personnalisé

Pour les utilisateurs qui préfèrent opter pour un SSL personnalisé, Kinsta prend également en charge les certificats SSL personnalisés.

Étape 1 – Obtenir un certificat SSL personnalisé

Il y a trois façons d’obtenir votre certificat SSL personnalisé :

Si vous avez un certificat SSL personnalisé et que vous avez accès au certificat et à la clé, vous pouvez transférer le certificat SSL de votre ancien serveur.
Si vous disposez d’un certificat SSL personnalisé mais que vous n’avez pas accès au certificat et à la clé, vous pouvez faire régénérer le certificat SSL par votre fournisseur SSL.
Si vous n’avez pas encore de certificat SSL personnalisé mais que vous souhaitez en installer un sur votre site, vous pouvez en acheter un nouveau auprès du fournisseur de votre choix, tel que Comodo, DigiCert, GeoTrust, Thawte ou Trustwave.

Transférer un certificat SSL depuis un autre serveur

Pour transférer un certificat SSL que vous avez installé sur un autre serveur, vous devez obtenir une copie de votre certificat SSL et de sa clé privée. Cette clé privée est créée lorsque vous générez votre CSR et est installée sur le serveur.

Si votre site provient d’un hébergeur qui utilise cPanel, ces clés peuvent généralement être extraites directement de cPanel ou du gestionnaire de fichiers. Si votre ancien hébergeur n’utilise pas cPanel, son équipe d’assistance peut vous aider à obtenir une copie de votre certificat SSL.

Régénérer un certificat SSL personnalisé

Si vous avez égaré la clé privée de votre certificat ou si vous n’y avez pas accès, vous devez générer une nouvelle CSR et une nouvelle clé privée (comme expliqué ci-dessous pour l’achat d’un nouveau certificat). Contactez ensuite votre fournisseur SSL pour que le certificat SSL soit régénéré avec la nouvelle CSR.

Téléchargez uniquement votre CSR auprès de votre fournisseur SSL pour générer votre certificat SSL (fichier .cert). Une fois que vous avez reçu votre certificat SSL de votre fournisseur (généralement un fichier .crt ou .cer et un fichier .ca-bundle), vous pouvez l’installer dans MyKinsta.

Acheter un nouveau certificat SSL

Lorsque vous achetez votre nouveau certificat SSL, il vous sera demandé d’indiquer le type de serveur. Notre type de serveur web est Nginx. Si cette option n’est pas disponible, « Apache » ou « Autre » fonctionneront également.

Le fournisseur SSL aura besoin d’une CSR (Certificate Signing Request) pour créer/signer le fichier de certificat. Pour générer une CSR et une clé RSA (ensemble connu sous le nom de paire de clés), veuillez remplir ce formulaire : Générateur de CSR et de clés en ligne.

Nous vous recommandons de remplir tous les champs, mais vous devez au minimum remplir les champs suivants, comme indiqué dans l’exemple ci-dessous :

Nom commun (nom de domaine)
Adresse e-mail
Organisation
Ville / Localité
État / Comté / Région
Pays d’origine

Note : Pour le champ du nom commun, si vous générez un certificat de type wildcard, vous devrez saisir votre nom de domaine comme *.domain.com.

Le formulaire génère le fichier de clé privée et la CSR. Enregistrez ces deux fichiers, car le certificat sera inutilisable sans eux.

Téléversez uniquement votre CSR auprès de votre fournisseur SSL pour générer votre certificat SSL (fichier .cert). Une fois que vous avez reçu votre certificat SSL de votre fournisseur (généralement un fichier .crt ou .cer et un fichier .ca-bundle), vous pouvez l’installer dans MyKinsta.

Étape 2 – Installer un certificat SSL personnalisé

Naviguez vers WordPress Sites > Nom du site > Domaines. Cliquez sur le menu kebab (trois points) pour le domaine auquel vous souhaitez ajouter un certificat SSL personnalisé et sélectionnez Ajouter un certificat SSL personnalisé dans le menu déroulant.

Confirmer les domaines couverts par le SSL

Ensuite, vous verrez une fenêtre modale de confirmation indiquant les domaines couverts par le certificat SSL personnalisé. Cliquez sur le bouton Suivant pour passer à l’étape suivante.

Ajouter le SSL et la clé privée

Vous pourrez alors ajouter votre clé privée (.key) et votre certificat (fichier .cert, .cer., ou .crt).

La plupart des fournisseurs SSL vous enverront par e-mail un fichier .crt ou .cer et un fichier .ca-bundle. Vous pouvez utiliser un éditeur de texte comme Notepad++ ou TextMate pour ouvrir les fichiers de certificat et de paquet, et copier le contenu de chaque fichier.

Collez d’abord le contenu de votre fichier de certificat dans le champ .cert file contents, puis le contenu du fichier .ca-bundle dans le même champ.

Collez vos fichiers .key et .cert dans MyKinsta.

Cliquez sur le bouton Ajouter un certificat pour finaliser le processus de configuration.

Vérifier votre certificat SSL

Après avoir installé votre certificat SSL, nous vous recommandons d’effectuer un contrôle SSL pour vérifier que tout est correctement configuré. Si le certificat SSL n’est pas valide, vos visiteurs risquent d’être confrontés à l’erreur « Votre connexion n’est pas privée ».

Renouveler un certificat SSL personnalisé

Un certificat SSL n’est pas éternel, il doit donc être renouvelé avant d’expirer. Si vous ne savez pas si votre site utilise notre certificat SSL Cloudflare gratuit ou un certificat SSL personnalisé, vous pouvez vérifier l’identité de l’émetteur de plusieurs façons. Si le nom de l’émetteur est autre que Cloudflare, votre site utilise un certificat SSL personnalisé.

Pour vérifier le nom de l’émetteur, affichez le certificat dans votre navigateur et recherchez l’organisation dans la section Nom de l’émetteur, ou utilisez un outil tel que SSLShopper’s SSL Checker et affichez les informations relatives à l’émetteur.

Vérifiez le nom de l'émetteur SSL avec le vérificateur SSL de SSLShopper. — Vérifiez le nom de l’émetteur SSL avec le vérificateur SSL de SSLShopper.

Si vous disposez d’un certificat SSL personnalisé, vous devrez le renouveler auprès du fournisseur SSL auprès duquel il a été acheté. Une fois que votre SSL est renouvelé, et que vous recevez les fichiers mis à jour de votre fournisseur SSL, vous devez installer le certificat SSL mis à jour dans MyKinsta.

Rediriger HTTP vers HTTPS dans MyKinsta

Nous avons rendu la redirection de tout votre trafic HTTP vers HTTPS aussi facile que possible dans MyKinsta.

Connectez-vous à MyKinsta, sélectionnez votre site et cliquez sur Outils.
Sous Forcer HTTPS, cliquez sur le bouton Activer.
Activez Forcer HTTPS dans MyKinsta.
Dans la fenêtre modale qui apparaît, vous pouvez choisir de forcer le HTTPS sur tous les domaines actifs ou de forcer le HTTPS et de rediriger tout le trafic vers votre domaine principal. Cliquez sur Forcer HTTPS pour confirmer la modification.
Choisissez comment vous souhaitez gérer les visites HTTP et confirmez l’activation de l’option Forcer le HTTPS.
Info
Si vous utilisez des proxies tiers ou si vous avez configuré des règles HTTPS personnalisées dans Nginx, le fait de forcer HTTPS de cette manière peut entraîner des erreurs ou des problèmes d’affichage du site. Si vous remarquez des problèmes, désactivez le forçage du HTTPS et ouvrez une nouvelle discussion avec notre équipe de support.
Cette étape est optionnelle puisque forcer le HTTPS gère la redirection vers le HTTPS, mais si vous voulez vous assurer que toutes les URL de votre base de données utilisent le HTTPS, vous pouvez utiliser l’outil Rechercher et remplacer dans MyKinsta pour les mettre à jour.
Enfin, une autre étape optionnelle consiste à vérifier le statut HTTP de votre URL et la chaîne de redirection avec notre vérificateur gratuit d’état HTTP et de redirection.