Le HTTPS, qu’est-ce que c’est et pourquoi s’en préoccuper ?

Le 02/02/2022

Dans Création de site

Savez-vous ce qu’est le protocole HTTPS ? Sinon, il est temps de vous mettre à la page, le navigateur Google Chrome a prévu un changement qui risque fort de vous forcer à le mettre en place.

Qu’est-ce que le protocole HTTPS ?

Le HTTPS (pour HyperText Transfer Protocol Secure) est un protocole de communication qui permet de sécuriser les échanges de données entre un serveur et un client. Il est notamment utilisé pour le commerce en ligne afin de protéger les informations sensibles des utilisateurs, comme le numéro de leur carte de crédit.

Le HTTP est un protocole de communication client-serveur créé pour le web. Ce n’est qu’un protocole, pas un logiciel, ce qui fait qu’il peut exister de nombreux clients HTTP (tous les navigateurs internet par exemple) et de nombreux serveurs différents (Apache HTTP Server, Nginx...). Tous les clients et serveurs peuvent communiquer de manière indifférenciée tant qu’ils implémentent le protocole HTTP.

Le HTTPS, donc, est l’utilisation du HTTP couplé avec une couche de sécurité (par exemple un certificat SSL) qui permet non seulement de chiffrer toutes les données échangées entre le client et le serveur, mais aussi de confirmer l’identité de votre site web.

Pourquoi obtenir un certificat HTTPS ?

L’intérêt principal du HTTPS est de garantir la sécurité de vos utilisateurs ainsi que des données que vous échangez. En effet, cette sécurité empêche les attaques du type "Man In The Middle" (traduction : un homme au milieu), ou une entité tierce qui se place entre votre visiteur et votre site pour récupérer une copie des informations que vous envoient vos visiteurs (numéro de carte de crédit, mais aussi tout simplement les identifiants). Cette protection est donc essentielle pour les sites e-commerces, mais de manière générale pour tout site proposant une inscription.

Cette raison ne vous suffit pas ? J’en ai une autre pour vous : Google est un fervent défenseur du HTTPS, et pour promouvoir l’idée (et nous pousser à tous prendre un certificat HTTPS), propose de changer un petit détail sur les navigateurs : plutôt que de marquer les sites en HTTPS comme sécurisé (avec un petit cadenas vert), ils proposent de marquer tous les sites sans certificat HTTPS avec un cadenas marqué d’une croix rouge (source).

Certificat http

Cette mesure est déjà en place dans les navigateurs chromés depuis fin 2015, et il est possible d’avoir un aperçu du futur en l’activant depuis la page de configuration de Google Chrome. 

Au moment où nous écrivons cet article, Google Chrome a atteint 49% de parts de marché en France, cette proposition indiquerait clairement votre site comme non sécurisé pour près de 50% de vos visiteurs.

Comment mettre en place un certificat HTTPS sur votre site ?

Heureusement, mettre en place un certificat HTTPS n’est pas si compliqué ou hors de prix. La plupart des certificats simples coûtent moins de 50 euros par an, et il en existe même des gratuits !

L’installation sur un serveur dédié ou un VPS demandera quelques dizaines de minutes, et les hébergements mutualisés ont, pour la plupart, cette fonction intégrée (à condition d’acheter le certificat chez le même prestataire, sinon bon courage !).

Attention tout de même si vous possédez un VPS ou un serveur dédié, cette opération requiert néanmoins les droits administrateurs, donc contactez votre prestataire si vous ne gérez pas votre serveur vous-même.

Si vous êtes vous-même votre propre administrateur, je vous propose de découvrir cette sélection de prestataires où vous pourrez trouver un certificat SSL. Pour l’installation, la plupart des services proposent une documentation spécifique, mais cela se résume souvent à télécharger le certificat privé, générer une clé publique et ajouter quelques lignes dans votre serveur HTTP.

Où acheter un certificat HTTPS ?

Let’s encrypt – certificats SSL gratuits

Let's Encrypt est le dernier-né des fournisseurs de certificats HTTPS, et son arrivée risque de chambouler beaucoup de choses. Organisme à but non lucratif, Let’s Encrypt fournit des certificats de qualité entièrement gratuits.

La récupération (ainsi que le renouvellement) passe par un outil en ligne de commande très simple à installer et utiliser, qui gère aussi la configuration de votre Apache ou Nginx. Clairement le choix que je vous recommande pour les certificats gratuits.

SSLMate

SSL Mate est un fournisseur de certificats SSL fonctionnant grâce à des appels en ligne de commande. Simple à utiliser et scripter pour automatiser les renouvellements, très abordable ($15 pour le certificat basique) c’est la solution que je privilégie pour les certificats payants.

Gandi, OVH et consors

La plupart des hébergeurs fournissent des certificats HTTPS, à des prix très divers (entre 30 et 50 € généralement). Notez au passage que de plus en plus d'offres apparaissent sur le marché comprenant un certificat SSL et un nom de domaine, ce qui est particulièrement intéressant si vous n’avez pas encore votre nom de domaine !