Migrer son site vers https

Lorsque vous vous connectez à un site Internet, vous utilisez en général deux protocoles : HTTP (Hyper Text Transfer Protocol) ou HTTPS (Hyper Text Transfer Protocol Secured). Il y a encore quelques temps, la technologie HTTPS était utilisée principalement par les sites bancaires ou les gros sites E-commerce. Mais depuis quelques années, on assiste à une montée en force du protocole HTTPS sur le Web.

Pourquoi faut-il passer vers HTTPS ?

Migrer vers HTTPS ne se fait pas facilement. C’est une procédure très technique, qui ne s’exécute pas en cliquant sur un bouton. Et si la migration est mal faite, les répercussions seront tragiques : perte de trafic, affichage d’erreurs sur la page, voire site indisponible. Migrer vers HTTPS ne doit pas être pris à la légère.

Pourtant, c’est une opération indispensable pour tous les sites, et on regarde pourquoi.

Pour la sécurité

Être connecté à un site via le protocole HTTPS présente un avantage majeur : les échanges sont chiffrés entre le serveur et le navigateur. Cela veut dire que si un pirate essaie d’intercepter vos données, il ne verra que de la bouillie, tout sera chiffré (crypté).

Les algorithmes de chiffrement des certificats SSL sont très puissants, et il est très difficile, voire impossible, de les déchiffrer. Une connexion HTTPS signifie donc que les échanges entre votre ordinateur et le serveur qui héberge le site Internet sont privés et ne peuvent pas être lus par un tiers.

Pour le SEO

C’est Google qui a lancé les hostilités, dès 2014, quand il a annoncé donner un « boost » au niveau du référencement pour les sites en HTTPS. Évidemment, ce boost est très faible, mais la volonté politique était là : il faut sécuriser davantage les échanges sur Internet.

Sécuriser une recette de cuisine, bien entendu, ça n’a pas de sens. Mais, dès lors que vous vous connectez à votre compte client, que vous envoyez un message, ou que vous saisissez des données personnelles sur un site, c’est utile.

Toujours est-il que les affichages présentés par Google pour les sites non HTTPS sont de plus en plus anxiogènes : d’ici peu, ne pas être HTTPS, cela voudra dire « se priver de trafic » (les futures versions de Chrome afficheront un message lorsque le site n’est pas sécurisé).

Pour l’utilisateur

Les utilisateurs ont répondu de manière positive à cette montée du HTTPS sur le Web, tant et si bien que ce protocole est devenu un nouveau standard. La présence du fameux petit cadenas vert rassurer énormément les internautes. HTTPS est donc devenu un argument marketing en soi.

---

Combien coûte un certificat SSL ?

Passer vers HTTPS peut coûter cher, car cela nécessite l’intervention d’un administrateur système ou d’un webmaster pour effectuer la migration proprement. Mais une fois que cette migration est effectuée, elle est définitive et vous n’avez plus à vous en soucier.

Côté logiciel, les tarifs varient énormément : un certificat SSL standard coûte quelques euros, tandis qu’un certificat très haut de gamme peut coûter plus de 2000 € !

---

Est-ce que c’est long ?

Non, une migration vers HTTPS peut être réalisée en une après-midi si vous optez pour un certificat classique, dont la commande ne prend que quelques minutes. Il faudra prévoir de réaliser un backup complet du site (fichier base de données), et de procéder à une mise à jour de la configuration du serveur.

L’opération n’est pas très longue, mais elle peut être relativement complexe, en fonction de votre architecture réseau. Dans tous les cas, il vaut mieux la confier à un professionnel.

---

Quel type de certificat SSL dois-je prendre ?

Les autorités de certification et les revendeurs se sont littéralement goinfré pendant des années, en vendant des produits onéreux, qui n’apportent aucune valeur ajoutée par rapport un certificat classique qui coûtera une dizaine d’euros… Faisons le point sur les options qui s’offrent à vous.

Les DV

Les certificats dits Domain Validated, ou DV, font ce que doit faire un certificat SSL : chiffrer la connexion entre un serveur et un navigateur. Ils garantissent que les données transitant entre les deux machines n’ont pas été altérées durant leur transfert.

On parle également de certificat « 1 facteur », car un seul facteur est vérifié à la commande (le contrôle du nom de domaine que vous allez sécuriser).

Les OV

Les certificats dits Organisation validated, ou OV, font exactement la même chose que les certificats Domain validated, mais rajoutent une information supplémentaire : l’identité du propriétaire du certificat en question. La délivrance de ces certificats est plus longue que pour un DV, car l’autorité de certification étudie l’existence de la société qui passe la commande, le contrôle du nom de domaine etc., avant de livrer le fichier. On parlera ici d’un certificat « trois facteurs » (trois points de vérification à l’audit).

Il est ainsi possible de connaître le nom et la localité de l’entreprise qui a commandé le certificat, en accédant à sa fiche technique sur le navigateur. Il faut cependant savoir que celle-ci est relativement « enfouie », et que son accès est compliqué, voire impossible à connaître pour un néophyte.

Il est évident qu’un très faible nombre d’utilisateurs ira consulter ce type d’information. Et vu le prix de ce type de certificat (les premiers prix sont à environ 80 €), l’investissement ne vaut pas la peine d’être réalisé…

Les EV

Les certificats EV, également appelé Extended Validation, nécessitent un audit plus complexe et plus long que pour les autres certificats. Ici, plus de 20 points sont vérifiés lors de l’audit.

Autant dire que tout le monde ne peut pas commander ce type de fichier. L’intérêt par rapport aux autres types de certificat, c’est l’affichage d’une barre verte sur le navigateur. Malheureusement pour les autorités de certification, les dernières études ont montré que les utilisateurs ne font pas bien la différence entre l’affichage du cadenas vert classique, et la grosse barre verte liée à l’utilisation d’un certificat EV.

Certaines recherches en sécurité ont également montré qu’un certificat EV ne protégeait pas du tout du phishing, et qu’il était relativement facile d’obtenir un certificat EV émis à la va-vite comme on peut le voir dans cet article…

Du coup, chrome a annoncé modifier l’affichage du cadenas dès le mois de Septembre 2018 : c’est tout le secteur du SSL qui va se retrouver impacté.

---

Que sécurise un certificat SSL ?

En fonction de votre architecture réseau, du nombre de serveurs que vous gérez, et des noms de domaine que vous devez sécuriser, vous pourrez choisir entre plusieurs types de certificat.

Les certificats classiques

Un certificat classique sécurise un domaine. Par exemple : www.gdm-pixel.fr

Les certificats Multi-SAN

Un certificat Multi-SAN peut sécuriser plusieurs noms de domaine. Par exemple :

• www.gdm-pixel.fr
• gdm-pixel.fr
• fifou.me
• machin.com

À noter qu’on trouve sur le marché des certificats multi-San spécialisés pour certains produits informatiques, comme par exemple les messageries Exchange de Microsoft.

Les certificats Wildcard

Les certificats Wildcard permettent de sécuriser une infinité de sous domaine, comme par exemple :

• truc.gdm-pixel.fr
• machin.gdm-pixel.fr
• exemple.gdm-pixel.fr
• toto.gdm-pixel.fr

---

Quelle autorité de certification ?

Côté autorité de certification, le marché est en constante évolution. Pour choisir ou produits, on peut simplement faire le tri entre :

• Le nombre de domaines à sécuriser
• Le prix du certificat
• La reconnaissance navigateur
• Le type de site à sécuriser

En effet, certain navigateur ne reconnaîtront pas les certificats émis par des autorités de certification inconnue. Il vaut mieux donc s’en tenir au gros du secteur (Comodo, Thawte, Symantec etc.).

Vous pouvez également vous tourner vers un revendeur, comme Namecheap, qui proposera des produits d’excellente qualité, à bas prix (souvent moins cher que l’autorité de certification en direct).

---

Et Let’s encrypt ?

Let’s Encrypt propose des certificats gratuits, dont la durée de vie est limitée à 3 mois. Accessible via le Control panel de certains hébergeurs, la mise en place d’un certificat Let’s Encrypt peut être très simple. Vous pouvez également installer un certificat Let’s Encrypt sur un serveur dédié. Le seul bémol, c’est la durée de vie du certificat qui est assez brève et qui nécessite plus de suivi qu’un certificat classique.