Comment sécuriser votre site avec SSL
Aujourd’hui je vous propose un sujet en réponse à une question qui m’a été posée dans les commentaires d’une de mes vidéos sur ma chaîne Youtube :
« Comment sécuriser un site web ? »
Allons-y donc ! Explications et réponses suivent.
Le protocole HTTPS
Historiquement, quand on tapait une adresse Internet, elle nous était fournie sous le protocole HTTP, qui veut dire “protocole de transfert hypertexte”.
C’est le protocole de communication entre votre navigateur et le serveur du site Internet que vous visitez.
Mais les sites que vous visitez recueillent parfois des informations sensibles, notamment quand il s’agit de payer quelque chose par carte bancaire, et on veut bien sûr que nos transactions soient vraiment sécurisées.
C’est pour cette raison qu’est apparu le protocole HTTPS, le « S » voulant dire “Secure” en anglais, c’est-à-dire “sécurisé”.
Ce protocole est donc tout simplement une version sécurisée du protocole HTTP avec une couche de chiffrement qui sécurise les données.
Le HTTPS permet de vérifier que le site visité possède un certificat d’authentification, qu’on appelle certificat SSL, pour garantir la confidentialité des données qui transitent entre le navigateur et le site.
On le reconnaît par le petit cadenas en haut du navigateur, à côté de l’adresse du site Internet.
Si vous cliquez sur le cadenas, ça vous confirme que la connexion est sécurisée sur le site que vous êtes en train de visiter.
Quand vous êtes en protocole HTTP, il n’y a pas le petit cadenas.
Comment passer au HTTPS ?
Alors pour sécuriser votre site, si vous voyez qu’il n’a pas le petit cadenas et que l’adresse commence par HTTP au lieu de HTTPS, il faut passer par deux étapes :
1) on installe un certificat SSL sur l’hébergement.
2) on met en place une préférence pour que le site s’affiche toujours par défaut en HTTPS plutôt qu’en HTTP pour ses visiteurs.
Comment installer un certificat SSL ?
L’installation du certificat SSL se fait au niveau de l’hébergement. Selon les hébergeurs, la manip est différente et il m’est impossible de vous la montrer pour chacun d’entre eux.
Donc je vais vous l’expliquer chez Planet Hoster (excellent hébergeur au passage).
Pour les autres hébergeurs, fouillez un peu dans le tableau de bord, ça doit être indiqué quelque part, sinon consultez l’aide en ligne ou contactez le support technique qui vous expliquera, si votre hébergeur est sérieux, quelle est la procédure.
Je fais d’ailleurs une parenthèse pour vous dire que si vous n’êtes pas content de votre hébergement, j’ai fait un article “Quel hébergeur choisir” qui vous intéressera peut-être.
Il y a des hébergeurs très performants et au tarif correct comme Planet Hoster, par exemple, qui proposent de déménager votre site chez eux gratuitement, si vous souscrivez à l’une de leurs offre d’hébergement.
Procédure chez l'hébergeur Planet Hoster
Chez Planet Hoster, il faut se rendre dans le cPanel qui vous permet de gérer votre hébergement.
Descendez jusqu’au bouton SSL/TLS que vous cliquez.
Sur la page suivante, descendez jusqu’à « Installer un certificat Web SSL » et sélectionnez votre nom de domaine.
Un bouton s’affiche « Remplir automatiquement en fonction du domaine », cliquez sur ce bouton. Des clés de cryptages sont générées automatiquement.
Ensuite descendez en bas de la page et cliquez sur « Installer un certificat »
Connexion sécurisée !
Une fois que vous avez fait ça, si vous accédez à votre site en veillant à précéder son adresse par https:// vous constaterez que le cadenas est maintenant visible.
Si vous cliquez dessus, la connexion s’affiche comme sécurisée. On a fait la première partie du boulot !
Bascule automatique en HTTPS
Une fois que votre certificat SSL est installé sur votre hébergement, vous allez normalement recevoir un email qui vous le confirme.
Vous pouvez déjà vérifier, en tapant l’adresse de votre site précédée de HTTPS, que le site s’affiche bien en mode sécurisé, avec le cadenas à côté de l’adresse.
Maintenant, il reste un point à régler.
Si vous avez, par le passé, publié des liens vers votre site en HTTP, les personnes qui cliquent dessus arriveront sur le protocole HTTP non sécurisé, même si vous avez installé le certificat SSL sur votre site.
Donc ce qu’il faut faire, c’est définir une bascule automatique de toute page de votre site vers le protocole HTTPS, même si elle est demandée en HTTP.
Alors comment faire ?
Sur WordPress, que je vous recommande vivement, rendez-vous dans l’administration, section Extensions > Ajouter.
Dans le petit moteur de recherche d’extensions, tapez « Really Simple SSL ». Installez l’extension et activez-la.
L’écran suivant vous invite à « Activer SSL » en cliquant sur un bouton.
Faites-le et l’extension fera en sorte que toute page de votre site soit présentée sous le protocole HTTPS sécurisé par le certificat SSL que vous avez installé.
Maintenant que vous avez mis ça en place, tapez l’adresse de votre site (ou n’importe quelle page de votre site) en HTTP et vous verrez que ça bascule automatiquement en HTTPS.
Votre site est donc sécurisé !
Installer un certificat SSL sur un site WIX
Si vous avez un site sur WIX (ce que je ne recommande pas ! Voir l’article “Faut-il créer un site sur WIX”), ça se passe dans les paramètres du tableau de bord.
Sur l’écran suivant, descendez jusqu’à l’endroit où est écrit « HTTPS » et cliquez sur « Gérer ».
Puis cliquez sur « Activer le HTTPS » :
Voilà, vous savez maintenant comment sécuriser votre site !