LINUX ♥ ROUEN ♥ Normandie implémente SSL et passe en HTTPS

L’utilisation du HTTPS (avec SSL) est un outil pour la sécurité des sites web/blog, mais aussi un nouvel outil d’optimisation (SEO – Search Engine Optimization) pour les moteurs de recherche.

Définitions SSL, HTTPS & Certificat SSL

SSL (ou TLS) : Secure Sockets Layer (ou Transport Layer Security) est un protocole de sécurisation des échanges sur Internet, développé à l’origine par Netscape. C’est le standard technologique de sécurité pour établir un lien crypté entre un serveur web et un navigateur. Ce lien garantit que toutes les données échangées entre le serveur web et les navigateurs restent privées et inviolables pour empêcher l’espionnage et la falsification.

HTTPS : HyperText Transfer Protocol Secure, littéralement protocole de transfert hypertexte sécurisé est la combinaison du HTTP (non sécurisé) avec une couche de chiffrement SSL ou TLS. Le HTTPS permet au visiteur de vérifier l’identité du site web auquel il accède, grâce à un certificat d’authentification émis par une autorité tierce, réputée fiable. Il garantit théoriquement la confidentialité et l’intégrité des données envoyées par l’utilisateur (comme les informations entrées dans les formulaires) et reçues du serveur. Il permet de valider l’identité du visiteur, si celui-ci utilise également un certificat d’authentification client.

Certificats SSL : Générer de la confiance, protéger la confidentialité des données de votre site Web, chiffrer les transactions de votre site e-commerce et améliorer votre référencement sur Internet grâce à un certificat d’authentification émis par une autorité tierce, réputée fiable.

En résumé, le SSL (ou TLS) est la norme qui définit comment seront cryptées les connexions via HTTPS et le Certificat SSL authentifie le propriétaire du nom de domaine (DV), voire celui du site Internet (EV) !

Pourquoi choisir un Certificat SSL et lequel ?

Aujourd’hui, votre image de marque est étroitement associée au degré de sécurité proposé par votre site Internet ou votre blog. Pour être crédible, ceux-ci doivent être consultables via une connexion HTTPS. Celle-ci est effective lorsqu’un cadenas vert s’affiche au sein de la barre d’adresse des navigateurs (FIREFOX, Chromium, Opéra, Chrome, Edge, Safari, etc.). Les internautes sont alors informés que le contenu du site Internet ou du blog consulté provient d’une source sûre et non piratée.

Ce dispositif garantit également la confidentialité des données qui transitent entre le navigateur et le site web/blog. Il nécessite qu’une autorité de certification valide au préalable le Certificat SSL (Secure Sockets Layer) du site web/blog correspondant. En effet, l’algorithme de Google (ayant une position hégémonique) l’intègre désormais au sein de ses critères d’appréciation pour définir la position d’un site dans son référencement Internet.

Les 3 types de Certificats SSL « certifiés »

  • Le Certificat SSL EV (Extended Validation) – niveau le plus élevé
    Dans le cas d’un Certificat EV, l’identité de l’entreprise propriétaire du site Internet est inscrite à l’intérieur de celui-ci. On y trouve entre autre : La raison sociale, la ville, le département ainsi que le pays dans lequel le siège social est basé.
  • Le Certificat SSL OV (Organization Validation) – peu utilisé
    Le Certificat SSL OV (validation de l’organisation) est similaire au EV. Il se distingue par le fait que la raison sociale n’est pas affichée dans la barre d’adresse URL mais uniquement à l’intérieur du certificat SSL. Il n’active donc pas la barre d’adresse verte.
  • Le Certificat SSL DV (Domain Validation) – le « moins cher » et le plus utilisé
    Pour le Certificat SSL DV, les AC (Autorités de Certification) ne vérifient pas l’identité du propriétaire du site Internet. Ils s’assurent simplement que le titulaire du nom de domaine à sécuriser a bien donné son accord pour l’émission d’un SSL DV pour cette adresse. Ce certificat active néanmoins le cadenas vert de sécurité et permet bien entendu l’utilisation du protocole HTTPS.

Donc, tous les Certificats SSL ne se valent pas. Seuls les Certificats SSL EV (Extended Validation), mais les plus onéreux (plusieurs centaines d’euros/an, voire plus), peuvent garantir que le site web visité est bien administré par la société éditrice et que celle-ci existe juridiquement. Lorsque vous consultez un site Internet sécurisé par un Certificat SSL EV, ce dernier fait apparaître le nom de l’entreprise correspondante à proximité du fameux cadenas vert.

Une alternative, pour les sites web/blog de particuliers, d’associations, de TPE, voire de PME/PMI, est le Certificat SSL DV (Domain Validation) comme celui de Let’s Encrypt. Ce type de Certificat SSL certifie seulement que le site Internet est bien sécurisé. Mais aucune Autorité de Certification n’a vérifié et/ou validé l’identité du propriétaire du site internet.

Les Certificats SSL de type DV, gratuit comme celui de Let’s Encrypt ou d’autres payants (plusieurs dizaines d’euros/an, voire plus), seront utilisés pour les sites Internet qui ont juste besoin d’une connexion HTTPS (connexion sécurisée), ou une connexion sécurisée pour Webmail, Intranet, etc. Ce type de Certificat SSL est idéal si vous avez un besoin urgent de protéger à peu de frais les communications entre votre site web et ses utilisateurs, ainsi que d’améliorer votre classement par les moteurs de recherche.

Sécurité des sites : Sans protection | Le nom de domaine est certifié | La société éditrice du site Web a été vérifiée

Certificat SSL DV « gratuit » sur tous les hébergements web d’OVH

OVH – l’hébergeur du site web de LINUX ♥ ROUEN ♥ Normandie – a eu la très bonne idée d’installer récemment et d’activer par défaut un Certificat SSL DV « gratuit » sur tous ses hébergements web.

Le protocole HTTPS est activé automatiquement à la création de votre nouveau site Internet. Le cryptage SSL est installé par défaut sur tous les hébergements web d’OVH. Aucune compétence spécifique n’est requise pour assurer la configuration et le renouvellement automatique des Certificats DV de Let’s Encrypt tous les trois mois. C’est un grand plus pour tous les webmestres par rapport à d’autres offres d’hébergement.
Pour un site web/blog déjà existant comme celui-ci, il faudra faire une dizaine d’adaptations et de modifications plus ou moins lourdes : 1. Passer de HTTP à HTTPS (console WordPress) avec mise à jour des URL, 2. Rediriger tous les liens HTTP vers HTTPS (fichier .htaccess) pour éviter les contenus dupliqués, 3. Vérifier et corriger si nécessaire les ressources (comme les plugins) chargées par votre thème WordPress, 4. Vérifier et corriger les contenus mixtes de toutes vos pages web/blog (en particulier pour les médias type image, audio et vidéo), 5. Forcer le HTTPS pour l’administration du site (fichier wp-config.php), 6. Mettre à jour le fichier robots.txt (pour dire aux robots d’indexation ce qu’ils peuvent faire sur votre site), 7. Mettre à jour votre site dans Google Search Console et autres, 8. Tester votre certificat SSL/TLS, et enfin 9. Vérifier et revérifier le bon fonctionnement de tout votre site web/blog sous HTTPS.

Let’s Encrypt représente un projet Open Source soutenu par de multiples entreprises dont OVH. La certification est reconnue par les navigateurs web les plus populaires. Le plus d’OVH est de les mettre à disposition de manière simple et automatisée dans le seul de but de favoriser des connexions sécurisées sur Internet. Pour information, en 2016, OVH a généré près d’1,5 millions de Certificats Let’s Encrypt pour les sites web de ses clients.

Des échanges sécurisés avec le protocole HTTPS

Le protocole HTTPS permet, en établissant une connexion chiffrée à l’aide d’un certificat X509 (RSA 2.048 bits et plus) et de la norme TLS (Transport Layer Security) entre les ordinateurs de vos visiteurs et le serveur sur lequel est hébergé votre site, de réduire les risques d’interception de données personnelles ou bancaire par exemple. L’affichage d’un cadenas vert dans la barre de navigation indique que votre site est sécurisé et authentifié par une autorité de certification reconnue.

  • Certificat SSL DV + SSL as a Service = Un boost pour votre référencement
    Les certificats DV (Domain Validation) vérifient que l’organisation en question possède le droit exclusif d’utilisation du nom de domaine pour lequel elle souhaite recevoir le certificat. Ainsi, un certificat numérique permet de sécuriser les flux d’information transmis entre le site et les internautes. Le certificat SSL activera le protocole HTTPS, par défaut et gratuitement. D’une durée de validité de 90 jours, il sera renouvelé automatiquement sans aucune intervention de la part de l’utilisateur. En plus de sécuriser les échanges d’informations sur votre site, avoir un site web accessible en HTTPS permet d’avoir un meilleur positionnement auprès du moteur de recherche de Google (le moteur de recherche hégémonique) qui a lui seul représente plus de 90% des recherches en France.

Let’s Encrypt : Certificat SSL DV + SSL as a Service = Un boost pour votre référencement

Comment fonctionne le Certificat SSL DV d’OVH ?

La sécurité apportée par SSL repose sur 2 principes

La Technologie SSL (Secure Socket Layer) est utilisée pour sécuriser la transmission de données sur Internet : elle chiffre et protège les données transmises à l’aide du protocole HTTPS. Le SSL garantit aux visiteurs de votre site web que leurs données ne seront pas interceptées de manière frauduleuse.

  • Le chiffrement des informations
    • Toutes les données véhiculées sont rendues inintelligibles sauf entre le visiteur établissant la connexion et le serveur sur lequel le site web se situe.
    • Le chiffrement SSL est la base de l’intégrité et de la confidentialité des données.
  • L’authentification
    • Le Certificat SSL DV proposé par OVH ne garantit pas l’identité du site auprès d’une Autorité de Certification. Il permet néanmoins l’authentification des échanges réalisés entre un internaute et les serveurs d’OVH, nécessaire à la sécurisation des transferts de données.

L’authentification d’un Certificat SSL génère la création d’une paire de clefs numériques (sorte de carte d’identité numérique)

  • La clef privée
    • Elle est installée sur le serveur d’OVH. C’est cette clef qui crée le cachet de certification de votre site.
  • La clef publique
    • C’est l’autre partie du Certificat SSL qui est également installé sur votre site. Elle permet aux visiteurs de votre site de chiffrer automatiquement leurs informations, ce qui est très utile s’ils ont besoin de communiquer des données sensibles (numéro de carte bancaire, numéro de SSN, etc.). Les données sont chiffrées avant d’être envoyées. La clef privée, est la clef miroir, elle seule pourra déchiffrer les informations.

Comment fonctionne le Certificat SSL d’OVH ? La clef privée + la clef publique !

Lire la suite en page 2…