keyboard_backspace
Publié le 2 mai 2017
Par Guillaume Dozier
Les évolutions récentes des principaux navigateurs, Chrome et Mozilla Firefox en tête, ont accéléré la donne : passer son site web au HTTPS est devenu une priorité des entreprises sur 2017.

Au delà de cela, la sécurité des données tend naturellement à devenir un enjeu majeur sur internet et toute entreprise se doit désormais de garantir à ses visiteurs l’intégrité de leurs données personnelles.

Passer son site en HTTPS est une opération loin d’être insurmontable, mais pour qu’elle se passe sans encombres il est nécessaire de bien en anticiper les écueils.

Que signifie sécuriser son site ?

HTTPS (pour protocole de transfert hypertexte sécurisé) garantit, par le biais du chiffrement des données via SSL, la sécurité et la confidentialité des données échangées sur un site web.

Cela concerne donc à la fois les données émises par l’utilisateur (via la saisie d’un formulaire par exemple) et celles reçues du serveur.

HTTPS permet également à l'internaute de valider l’identité d’un site web grâce à un certificat d’authentification.

Les principaux avantages du HTTPS :

  • Sécurité : les informations confidentielles telles que les mots de passe ou numéros de carte bancaire échangées sur le site sont sécurisées
  • Authenticité : HTTPS garantit également grâce au certificat que le site sur lequel le visiteur se connecte est bien l’original et pas une copie pirate servant au hameçonnage
  • Référencement : les algorithmes des moteurs de recherche favorisant les sites sécurisés dans leurs résultats, passer au https peut contribuer à améliorer le référencement d’un site web

Qu’est-ce qu’un certificat SSL ?

SSL est le protocole permettant de chiffrer les données échangées sur le site web. Ainsi sécurisées, les données ne peuvent pas être détournées par une personne tierce, car elles seront inexploitables pour quiconque ne disposant pas de la clé de chiffrement.

Le visiteur utilise une clé de cryptage (appelée clé publique) qui va lui permettre de chiffrer les données qu’il envoie vers le serveur (un mot de passe par exemple). Le serveur dispose lui aussi d’une clé (appelée clé privée) qui elle seule permet de déchiffrer les données envoyées par le visiteur.

Les 3 meilleurs fournisseurs de certificats SSL retenus par Subvitamine(™) :

Quelles sont les difficultés à prévoir ?

Lors d’une migration de votre site vers HTTPS, certaines difficultés peuvent se présenter, notamment du fait du changement d’URL de vos pages (qui passeront de http://siteweb à https://siteweb) :

  • Redirection 301 et sitemap : pour éviter que vos visiteurs ne tombent sur des pages introuvables, il faut bien penser à mettre en place des redirection permanente (301) sur les URL de votre site. De la même manière, pensez à actualiser le sitemap
  • Adwords et analytics : comme le site en http et celui en https seront considérés comme deux sites différents, il faudra également mettre à jour vos comptes sous Analytics (et ses variantes) et Adwords (et ses variantes)
  • Validité du certificat : les certificats SSL ont une période de validité, assurez vous donc que celui que vous déployez est bien valide, et qu’il sera renouvelé à l’échéance de sa période de validité
  • Coût : passer au HTTPS n’est pas une opération blanche en terme de coût. Il faut par exemple prévoir le surcoût éventuel lié au https facturé par l’hébergeur de votre site, le coût lié au temps à passer sur le projet (à faire les redirections par exemple) etc.
  • Vitesse : le chiffrement dû au https peut provoquer une surcharge côté serveur et affecter la vitesse de votre site, pensez donc à prévoir le cas échéant une capacité de traitement supplémentaire pour ne pas affecter votre webperformance
  • Obsolescence de certaines applications web qui peuvent rencontrer des difficultés avec HTTPS. Cela peut être le cas avec Adsense qui affichera un message d’erreur sur votre site si les contenus publicitaires diffusés ne sont pas sécurisés.

Les 5 étapes pour passer son site en HTTPS

  • Hébergement : pour assurer une sécurité complète, nous recommandons d’avoir une adresse IP dédiée pour votre site web. La première étape consiste donc à souscrire à une offre d’hébergement proposant une adresse IP dédiée
  • Choix du certificat : il existe plusieurs types de certificats proposant plusieurs niveaux d’authentification. Du plus faible au plus élevé :
    • certificat à validation de domaine
    • certificat à validation d’organisation
    • certificat à validation étendue
  • Activation du certificat : vous devrez établir un CSR (Certificate and Signing Request) depuis l’interface de contrôle de votre hébergeur web, dans le menu dédié à l’administration SSL/TLS. Vous pourrez ensuite fournir ce CSR à votre fournisseur SSL depuis votre compte client
  • Installation : une fois passé l’étape précédente, vous aurez reçu le certificat sous la forme de 3 fichiers (un certificat, une clé et la chaîne de certificat SSL) que vous allez pouvoir installer depuis l’interface de contrôle de votre hébergeur web
  • Mise à jour du site : une fois votre site en https déployé, vous pouvez commencer à créer les redirections vers les nouvelles pages sécurisées de manière à ce que vos visiteurs puissent accéder à ces nouvelles pages et non aux anciennes, et ce sans erreurs.

3 derniers conseils pour la route

  • Gardez en tête que https sécurise le transfert de données uniquement, pas les données elles-mêmes sur le serveur. Il est donc nécessaire d’encrypter les données du serveur également afin de les protéger
  • Pour rassurer vos visiteurs sur la sécurité des données, vous pouvez afficher une greenbar dans le navigateur grâce au certificat à validation étendue
  • Si certaines de vos pages possèdent des compteurs de partage sur les réseaux sociaux, ceux-ci risquent d’être remis à zéro lors de la migration. Toutefois vous pouvez éviter cela en modifiant le code de ces boutons


SUIVEZ-NOUS SUR

® 2016 Subvitamine(tm). Tous droits réservés.
Vous avez un projet...
ou simplement besoin de nous contacter ?
email
Newsletter

Restez connecté avec l'Agence pour être informé de nos prochaines publications et annonces.

screen_rotation
Pour un meilleur confort, nous vous recommandons
de consulter ce site en mode portrait.