Qu’est ce qu’un certificat https ?
Le certificat https permet de sécuriser les communications « http » entre le terminal (ordinateur, smartphone, tablette) d’un internaute et votre serveur web.
Le http, HyperText Transfert Protocol, est un protocole d’échange créé pour la navigation sur internet en 1990.
Avec le https, ce protocole se voit suffixé de la lettre S pour « Secured ». Il a été créé en 1994.
Cette sécurisation fait référence à l’usage d’un algorithme de cryptographie à clé publique pour crypter les échanges entre le serveur web et le navigateur du client. Il convient de rappeler qu’avec le protocole non sécurisé, http, les données sont échangées « en clair » – données sensibles comprises.
Visuellement votre navigateur affiche dans la barre d’adresse des informations permettant d’identifier le certificat existant ou de révéler son absence.
Apple utilise ici le certificat le plus aboutit : le certificat EV pour Extended Validation. Visuellement le nom de l’organisation apparaît à côté du cadenas. C’est le cas de la majorité des sites de grandes marques, mais aussi des sites de paiement en ligne des banques. Ce certificat est une bonne sécurité pour limiter les risques « d’hameçonnage » (phishing en Anglais). Cette technique est utilisée par les pirates pour usurper l’identité d’un site officiel : souvent reçu dans un email, un lien vous emmène vers un site ressemblant trait pour trait au site officiel. Il ne pourra cependant pas revendiquer comme ici l’appartenance à Apple.
Le site d’acti utilise un certificat https DV (pour Domain Validation). Ce choix est adapté à notre site qui n’utilise pas de solution de paiement en ligne et qui ne conserve pas de données personnelles sensibles telles que des mots de passe. Nous aurions pu sélectionner le certificat OV (pour Organisation Validation). La certification OV est fortement recommandée pour les sites d’e-commerce et les sites sensibles. Visuellement vous ne constatez pas de différence (le cadenas verrouillé est utilisé dan les 2 cas par votre navigateur). Pour découvrir la nature du certificat il vous faudra effectuer plusieurs clics, et de manière différente en fonction de votre navigateur.
Certains sites n’exploitent pas de certificat SSL… ce qui relève bien souvent d’une méconnaissance de l’importance de ce protocole sécurisé ou bien d’un choix délibéré. Dans notre exemple ci-dessus vous constaterez que l’intranet d’acti fonctionne en http. Notre intranet est inaccessible au public, son accès nécessite d’être connecté à notre réseau interne d’où notre choix d’usage de ce protocole. En cas de tentative d’accès à un site http non sécurisé, les versions récentes des navigateurs afficheront à minima un cadenas barré pour vous alerter.
Le cas d’un certificat mal configuré ou expiré déclenchera un message dissuasif en vous demandant de confirmer que vous souhaitez vous connecter à ce site « à risque ».
Pourquoi le certificat https est-il si important ?
Vous l’aurez compris, la dimension sécuritaire est la première justification de l’usage d’un certificat https pour votre site, et ce quelle que soit sa nature.
La seconde raison essentielle est la tendance des moteurs de recherche, tels que Google, à pénaliser l’absence de certificat.
Pour Google, la sécurisation d’un domaine est désormais un critère de classement dans son algorithme.
La troisième raison a été rapidement évoquée : tous les navigateurs récents tenteront de dissuader les internautes de surfer sur un site non sécurisé. Le navigateur de Google, Chrome, signale ainsi les sites non sécurisés depuis juillet 2018.
Quel certificat choisir ?
Commençons par différencier les certificats payants, et les certificats gratuits.
Des entités engagées dans une vision de l’internet pour tous (telles que la fondation Linux avec le certificat Let’s encrypt) ont fait le choix de proposer des certificats https gratuits. Leur mise en oeuvre est souvent aisée, et proposée par les plateformes d’hébergement de site web.
Ils proposent un niveau de sécurité suffisant, avec toutefois quelques inconvénients, comme une durée d’expiration courte, de l’ordre de 3 mois. Il vous faudra penser à le renouveler très régulièrement, ce qui n’est pas idéal.
Contrairement aux certificats payants, ils n’offrent aucune garantie en cas de problème comme un vol de données. Les dommages financiers seront alors entièrement à votre charge.
Les certificats payants sont délivrés par des tiers de confiance désignés par le terme « Autorité de Certification ». Le type de certificat (DV, OV, EV) fait appel à des processus de certification différents.
Le certificat DV impose la vérification de la propriété de votre nom de domaine par votre organisation. Il peut s’agir d’un simple mail avec accusé de réception par le déclarant, ou du dépôt d’un fichier de vérification sur l’hébergement du site concerné.
Le certificat OV impose la vérification de l’identité de l’organisation déclarante. L’envoi de documents d’identité de l’entreprise est généralement couplé avec un appel de l’autorité de certification à l’un des responsables de l’organisation.
Le certificat EV représente le niveau maximal de sécurité pour un site internet. Son obtention nécessite de vérifier l’identité de l’organisation et celle du responsable à l’origine du site internet.
Ces 3 certificats payants proposent une durée de vie du certificat pour 1 an, et jusqu’à 3 ans. Les règlementations sont cependant en train de changer pour limiter la durée de vie d’une certificat à 1 an. L’achat de l’un de ces 3 certificats apporte en plus des dédommagements financiers en cas de vol des données.
À noter : il existe d’autres types de certificats, nous nous sommes limités aux certificats adaptés aux sites internet.
À savoir : il est possible d’acquérir l’un de ces 3 certificats payants en « Wildcard ». Si le prix est un peu plus élevé cette option permet d’étendre le certificat aux sous-domaines de votre domaine. Exemple : https://client.monnomdedomaine.fr, https://boutique.monnomdedomaine.fr.
Les descriptions des différences et des avantages de ces types de certificats conduisent à préconiser :
- le certificat gratuit pour les sites et blogs personnels ou pour les organisations qui sont à l’aise avec le renouvellement périodique du certificat, et qui cherchent à limiter leurs dépenses,
- le certificat DV pour les sites peu sensibles, qui ont simplement besoin de limiter les risques de piratage, et dont le niveau de confiance des internautes est peu importante,
- le certificat OV pour les sites sensibles, en particulier les sites d’e-commerce,
- le certificat EV pour les sites les plus sensibles, pour lesquels le risque de piratage est élevé, et qui sont intéressés par le dédommagement financier en cas de vol de données.
Alors, convaincu(e) par l’importance de proposer un site sécurisé avec le protocole https à vos internautes ?
Adressez-vous à votre agence digitale qui saura vous conseiller et fera l’intermédiaire entre votre organisation, l’autorité de certification et votre hébergeur.