• A la une
  • Catégories
  • Dossiers
  • Rédacteurs
  • +

Le HTTPS, qu'est-ce que c'est et pourquoi s'en préoccuper

par Benjamin SANCHEZle 02/02/2016

Savez-vous ce qu'est le protocole HTTPS ? Sinon, il est temps de vous mettre à la page, le navigateur Google Chrome a prévu un changement qui risque fort de vous force à le mettre en place.

Le HTTPS, qu'est-ce que c'est ?

Le HTTPS, pour HyperText Transfer Protocol Secure, est la version sécurisée du protocole HTTP. Maintenant que cela est dit, passons à la description du HTTP !

Le HTTP est un protocole de communication client-serveur créée pour le web. Ce n'est qu'un protocole, pas un logiciel, ce qui fait qu'il peut exister de nombreux clients HTTP (tous les navigateurs internet par exemple) et de nombreux serveurs différents (Apache HTTP Server, Nginx, ....), et que tous les clients et serveurs peuvent communiquer de manière indifférenciée tant qu'ils implémentent le protocole HTTP.

Le HTTPS, donc, est l'utilisation du HTTP couplé avec une couche de sécurité (par exemple SSL) qui permet non seulement de chiffrer toutes les données échangées entre le client et le serveur, mais aussi de confirmer l'identité de votre site web.

Pourquoi passer par HTTPS ?

L'intérêt principal du HTTPS est de garantir la sécurité de vos utilisateurs ainsi que des données que vous échangez. En effet, cette sécurité empêche les attaques du type Man In The Middle (traduction : un homme au milieu), ou une entités tierce se place entre votre visiteur et votre site pour récupérer une copie des informations que vous envoient vos visiteurs (numéro de carte de crédit, mais aussi tout simplement identifiants. Cette protection est donc essentielle pour les sites e-commerces, mais de manière générale pour tout site proposant une inscription.

Cette raison ne vous suffit pas ? J'en ai une autre pour vous : Google est un fervent défenseur du HTTPS, et pour promouvoir l'idée (et nous pousser à tous prendre un certificat HTTPS), propose de changer un petit détail sur les navigateurs : plutôt que de marquer les sites en HTTPS comme sécurisé (avec un petit cadenas vert), ils proposent de marquer TOUS les sites sans https avec un cadenas marqué d'une croix rouge. (source).

Cette mesure est déjà en place dans les navigateurs chromés depuis fin 2015, et il est possible d'avoir un aperçu du futur en l'activant depuis la page de configuration de Google Chrome. (allez sur la page chrome://flags/ puis changez simplement la valeur de la ligne "Mark non-secure origins as non-secure")

À l'heure où j'écris cet article, Google Chrome a atteint 49% de parts de marché en France, cette proposition indiquerait clairement votre site comme non sécurisé pour près de 50% de vos visiteurs.

Comment le mettre en place ?

Heureusement, tout n'est pas perdu, mettre en place un certificat HTTPS n'est pas si compliqué ou hors de prix. La plupart des certificats simples coutent moins de 50 euros par an, et il en existe même des gratuits !

L'installation sur un serveur dédié ou un VPS demandera quelques dizaines de minutes, et les hébergements mutualisés ont presque tout le temps cette fonction d'intégré (à condition d'acheter le certificat chez le même prestataire, sinon bon courage !)

Attention tout de même si vous possèdes un VPS ou un serveur dédié, cette opération requiert néanmoins les droits administrateurs, donc contactez votre prestataire si vous ne âgerez pas votre serveur vous-même.

Si vous êtes vous-même votre propre administrateur, je vous propose de découvrir cette sélection de prestataires où vous pourrez trouver un certificat SSL. Pour l'installation, la plupart des services proposent une documentation spécifique, mais cela se resume souvent à télécharger le certificat prive, générer une clé publique et ajouter quelques lignes dans votre serveur HTTP.

Let's encrypt

Le't Encrypt est le dernier-né des fournisseurs de certificats HTTPS, et son arrivée risque de chambouler beaucoup de choses. Organisme à but non lucratif, Let's Encrypt fourni des certificats de qualité entièrement gratuits.

La récupération (ainsi que le renouvellement) passe par un outil en ligne de commande très simple à installer et utiliser, qui gère aussi la configuration de votre Apache ou Nginx. Clairement le choix que je vous recommande pour les certificats gratuits.

Start SSL

Start SSL est un fournisseur de certificats possédant une offre gratuite. Contrairement à Let's encrypt, vous aurez ici à utiliser le site pour générer puis télécharger votre certificat, puis utiliser un FTP pour les installer sur votre serveur, et enfin configurer votre serveur vous-même.

Les certificats fournis fonctionnent, mais je reproche vraiment au site son ergonomie toute relative. Si vraiment vous n'avez aucune connaissance en la ligne de commande, ou si votre mutualise vous demande d'uploader des certificats, utilisez Start SSL pour des certificats gratuits, sinon essayer Let's encrypt !

SSLMate

SSL Mate est un fournisseur de certificats SSL fonctionnant grâce à des appels en ligne de commande. Simple à utiliser et scripter pour automatiser les renouvellements, très abordable ($15 pour le certificat basique) c'est la solution que je privilégie pour les certificats payants.

Encore une fois, si vous n'avez pas une peur panique de la ligne de commande, essayez-le !

Gandi, OVH et consors

La plupart des hébergeurs fournissent des certificats HTTPS, à des prix très divers (entre 30 et 50 euros généralement). Notez au passage que grandit offre un certificat SSL avec l'achat d'un nom de domaine, ce qui est particulièrement intéressant si vous n'avez pas encore votre nom de domaine !

  • Partager l'article en 1 clic !

    N'hésitez pas à aider le BlogDuWebdesign
Avatar_thumbAuteur : Benjamin voir son blog

Développeur autodidacte depuis quelques années, déjà, je suis le développeur du blog du webdesign, où mon rôle est de concretiser les différentes idées et maquettes.

Devenez membre !

Rejoignez la communauté des créatifs du web !
- Partagez vos créations
- Gagnez en visibilité
- Créez votre blog facilement
> En savoir plus

Créer mon compte

1Commentaire

  • Avatar_thumb
    Yann

    le 02/02/2016 | #1

    Il ne faut oublier que même si le certificat est bien implémenté sur le serveur (et c'est pas toujours le cas - Pour faire un test : https://www.ssllabs.com/index.html) votre site doit aussi être "compatible" et ne pas appeler des sources non sécurisés.

Ecrire un commentaire

captcha

twitter birdtwitter birdtwitter birdtwitter birdtwitter bird
twitter bird
Ouvrir