SSL signifie Secure Sockets Layer. C’est un protocole important pour sécuriser et authentifier les données sur Internet. En raison de mouvements tels que Encrypt All The Things et la campagne de Google en faveur d’une adoption plus large du SSL, le SSL a été un sujet populaire dans le monde du Web. Mais malgré cela, de nombreux webmasters ne savent toujours pas comment SSL fonctionne et pourquoi c’est important… ou même ce que SSL représente en premier lieu !

Bien que nous ayons déjà couvert ce que l’acronyme signifie, nous allons creuser un peu plus profondément dans cet article et vous dire ce qu’est le SSL, ainsi que comment il fonctionne pour faire du Web un meilleur endroit pour vous et les visiteurs de votre site Web.

Que signifie SSL ? Comment fonctionne le SSL

Pour rappel, SSL signifie Secure Sockets Layer (couche de sockets sécurisés). C’est un protocole utilisé pour crypter et authentifier les données envoyées entre une application (comme votre navigateur) et un serveur web. Ceci conduit à un site Web plus sûr pour vous et les visiteurs de votre site Web. SSL est étroitement lié à un autre acronyme – TLS. TLS, abréviation de Transport Layer Security, est le successeur et la version la plus récente du protocole SSL original.

De nos jours, SSL et TLS sont souvent désignés comme un groupe – par exemple SSL/TLS – ou de manière interchangeable. Par exemple, Let’s Encrypt (dont nous parlerons plus en détails par la suite) annonce des « Certificats SSL/TLS gratuits ». Mais vous trouverez également de nombreux sites Web qui discutent simplement des certificats SSL, même s’ils parlent en fait de TLS.

Un exemple de combinaison SSL et TLS
Un exemple de combinaison SSL et TLS

D’où vient donc le SSL et comment en sommes-nous arrivés là où nous en sommes aujourd’hui avec TLS ? SSL version 1.0 a été développé par Netscape au début des années 1990. Mais en raison de failles de sécurité, il n’a jamais été rendu public. La première version publique de SSL a été SSL 2.0 en février 1995. Bien qu’il s’agisse d’une amélioration par rapport à la version SSL 1.0 inédite, SSL 2.0 comportait également ses propres failles de sécurité, ce qui a conduit à une refonte complète et à la sortie ultérieure de la version 3.0 de SSL un an après.

La version 3.0 de SSL était la dernière version publique et a été éclipsée en 1999 lorsque TLS a été introduit en remplacement. À ce stade, SSL 3.0 est obsolète et n’est plus considéré comme sécurisé en raison de sa vulnérabilité à l’attaque POODLE. Quant à TLS, il est maintenant sur TLS 1.3, qui offre un certain nombre d’améliorations aux performances et à la sécurité. Kinsta supporte le HTTP/2 et le TLS 1.3 sur tous nos serveurs et notre CDN.

Pourquoi n’utilisons-nous pas tous des certificats TLS ?

Vous l’êtes probablement. Bien que la communauté Web les appelle généralement des certificats SSL par commodité, les certificats ne dépendent pas réellement du protocole spécifique dans leur nom. Au lieu de cela, le protocole utilisé est déterminé par votre serveur. Ce qui signifie que même si vous pensez avoir installé ce qu’on appelle un certificat SSL, vous utilisez probablement le protocole TLS le plus récent et le plus sécurisé.

Jusqu’à ce que la communauté Web adopte la terminologie TLS, cependant, vous continuerez probablement à voir de tels certificats le plus souvent appelés certificats SSL par souci de simplicité.

Comment sont connectés HTTPS et SSL ?

Les gens qui ont construit l’Internet adorent leurs acronymes – un autre terme que vous verrez communément discuté lorsque vous parlez de SSL/TLS est HTTPS. HTTP (sans le S) signifie Hypertext Transfer Protocol.

HTTP et son successeur HTTP/2 sont deux protocoles d’application qui sous-tendent la façon dont l’information est transférée sur Internet. Ils constituent essentiellement le fondement de la communication de données sur Internet. Lorsque vous ajoutez le S, il devient simplement Hypertext Transfer Protocol Secure (ou HTTP sur TLS ou HTTP sur SSL).

Essentiellement, SSL/TLS sécurise les informations qui sont envoyées et reçues via HTTP. Cela présente un certain nombre d’avantages…

Quels sont les avantages de l’utilisation de SSL/TLS ?

De nombreux webmasters opèrent dans l’hypothèse erronée que SSL/TLS n’offre des avantages qu’aux sites qui traitent des informations sensibles comme les cartes de crédit ou les coordonnées bancaires. Bien que SSL/TLS soit certainement essentiel pour ces sites, ses avantages ne se limitent pas à ces zones.

L’un des principaux avantages de SSL/TLS est le cryptage. Chaque fois que vous ou vos utilisateurs entrez des informations sur votre site, ces données passent par plusieurs points de contact avant d’atteindre leur destination finale. Sans SSL/TLS, ces données sont envoyées en texte clair et les acteurs malveillants peuvent écouter ou modifier ces données. SSL/TLS offre une protection point à point pour assurer la sécurité des données pendant le transport. Même une page de connexion WordPress devrait être cryptée ! Si un certificat SSL est présent mais n’est pas valide, vos visiteurs peuvent être confrontés à l’erreur « votre connexion n’est pas privée ».

Un autre avantage clé est l’authentification. Une connexion SSL/TLS en bon état de fonctionnement garantit que les données sont envoyées et reçues par le bon serveur, plutôt que par un « homme » malveillant. En d’autres termes, il aide à empêcher les acteurs malveillants de se faire passer pour un site à tort.

Le troisième avantage principal de SSL/TLS est l’intégrité des données. Les connexions SSL/TLS assurent qu’il n’y a aucune perte ou altération de données pendant le transport en incluant un code d’authentification de message, ou MAC. Ceci garantit que les données qui sont envoyées sont reçues sans aucune modification ou altération malveillante.

Au-delà du cryptage, de l’authenticité et de l’intégrité, il y a aussi d’autres avantages moins techniques comme :

Comment savoir si un site Web utilise SSL/HTTPS ?

La façon la plus simple de voir si un site Web utilise SSL/TLS est de regarder votre navigateur. La plupart des navigateurs marquent les connexions sécurisées avec un cadenas vert et/ou un message. Par exemple, dans Google Chrome, vous pouvez rechercher un cadenas vert et le message Secure :

Comment Google Chrome traite HTTPS
Comment Google Chrome traite HTTPS

Dans Firefox, vous ne verrez qu’un cadenas vert :

Comment Firefox traite HTTPS
Comment Firefox traite HTTPS

Dans Microsoft Edge, vous ne voyez pas une couleur, mais plutôt un simple cadenas gris et blanc.

Comment Edge traite le HTTPS
Comment Edge traite le HTTPS

Google va-t-il pénaliser les sites qui n’utilisent pas le protocole SSL ?

Récemment, Google a déployé un ensemble de plus en plus sévère de pénalités/avertissements dans Google Chrome pour les sites qui ne parviennent pas à installer des certificats SSL. Ces pénalités ont commencé en janvier 2017 avec l’introduction d’un avertissement “non sécurisé” sur les pages demandant des détails de carte de crédit ou des mots de passe sans certificat SSL :

Avertissement Chrome page non sécurisée Janvier 2017
Avertissement Chrome page non sécurisée Janvier 2017

Ce changement a été le premier coup de pouce dans l’effort de Google pour augmenter l’utilisation de SSL et HTTPS. Mais récemment, ils ont fait avancer les choses encore plus.

Augmentation des avertissements non sécurisés en octobre 2017

En octobre 2017, Google a lancé des notifications encore plus agressives. A partir de Chrome 62 (sorti le 17 octobre 2017), Google a ajouté l’avertissement “Non sécurisé” à :

  • Toutes les pages HTTP où les utilisateurs saisissent n’importe quel type de données, y compris quelque chose d’aussi simple qu’une boîte de recherche. L’avertissement n’apparaîtra pas lors du chargement de la page initiale, mais à chaque fois qu’un utilisateur commence à entrer des données dans un champ.
  • Toutes les pages HTTP en mode Chrome Incognito
Avertissement Chrome page non sécurisée Octobre 2017
Avertissement Chrome page non sécurisée Octobre 2017

Google ne fera que devenir plus agressif

Le plan à long terme de Google est de marquer toutes les pages HTTP comme non sécurisées. Cela signifie que même si vous ne demandez pas aux utilisateurs de remplir n’importe quel type de champs du formulaire, vous serez éventuellement pris par l’avertissement quoi qu’il arrive. Pour cette raison, il est important que vous commenciez à planifier le passage à SSL/TLS et HTTPS dès maintenant.

En 2020, Chrome a commencé à afficher des notifications d’avertissement ERR_SSL_OBSOLETE_VERSION lorsque des sites utilisent TLS 1.0 ou TLS 1.1 (anciennes versions).

Comment installer un certificat SSL sur votre site

De nombreux hébergeurs facilitent l’installation d’un certificat SSL/TLS gratuit. Ici, chez Kinsta, tous les domaines vérifiés sont automatiquement protégés par notre intégration Cloudflare, qui comprend des certificats SSL gratuits avec prise en charge de wildcard. D’autres hébergeurs peuvent utiliser un service appelé Let’s Encrypt, qui offre des certificats SSL/TLS gratuits. Vous pouvez ici consulter la liste complète des hébergeurs qui supportent Let’s Encrypt.

Si votre hébergeur ne propose pas de certificats SSL gratuits, ou si vous souhaitez un autre type de certificat SSL, vous pouvez également acheter votre propre certificat auprès d’un fournisseur tiers.

Vous pouvez lire ce guide pour savoir comment ajouter un certificat SSL à votre site chez Kinsta. Vous pouvez le faire d’un simple clic !

Que faire après l’installation d’un certificat SSL ?

Oui – il y a des actions techniques et non techniques que vous devez effectuer après l’installation d’un certificat SSL. D’abord, sur le plan technique, il est important que vous redirigiez tout le trafic HTTP vers HTTPS. Vous devez également vous assurer que vous ne chargez aucune ressource via HTTP. Habituellement, il s’agit de vos propres images ou du contenu externe que vous insérez, comme des scripts ou des services publicitaires externes. Cela vous aide à éviter l’avertissement Mixed content.

Au-delà de ces deux détails techniques, vous devrez probablement effectuer les tâches suivantes, selon les outils que vous utilisez :

  • Ajouter la version HTTPS de votre site dans Google Webmaster Tools
  • Vous assurer que les scripts de suivi comme Google Analytics ou d’autres sont configurés pour fonctionner avec HTTPS.
  • Assurez-vous que vous ne recevez pas de messages d’erreur liés à la connexion SSL.

Dans l’ensemble, SSL/TLS est un protocole important pour créer un site Web sûr et sécurisé. Et maintenant que vous connaissez le fonctionnement de SSL, si vous n’avez pas encore fait le changement, nous vous encourageons à envisager d’installer un certificat SSL/TLS et de déplacer votre site vers HTTPS.

Nous avons un guide de migration HTTP vers HTTPS très détaillé, assurez-vous de le lire et de suivre les étapes !