Ce que vous devez savoir sur le passage de http à https
Si vous comptez recueillir des informations sensibles ou effectuer des transactions en ligne, vous devez prévoir de passer de http à https sur votre site Web.
Pour découvrir pourquoi, commençons par quelques définitions :
Http (ou Hyper Text Transfer Protocol) est la méthode par laquelle les données sont déplacées sur le Web. Vous pouvez voir à quel point http fait partie intégrante du monde en ligne en regardant le début de n’importe quelle adresse Web.
Du côté positif, http est rapide et fiable. Du côté négatif, il est aussi sûr qu’un diamant à un congrès de cambrioleurs de chats. Il existe de nombreuses façons de pirater les données transférées via http et si cela ne pose pas de problème pour de nombreux transferts de données en ligne (par exemple, regarder une vidéo, consulter un site web), c’est un problème si vous devez protéger les données envoyées.
Https (ou Hyper Text Transfer Protocol Secure) est la réponse à la question de la protection des données. Utilisé sur les sites qui présentent du commerce électronique, des services bancaires et même simplement une page de connexion, https protège les données en les cryptant avant de les envoyer dans un sens ou dans l’autre en utilisant un certificat SSL (Secure Sockets Layer).
Un certificat SSL contient des clés de cryptage publiques et privées qui sont de longues chaînes de caractères alphanumériques utilisées pour crypter les données d’une manière très difficile à craquer ce qui le rend idéal pour protéger les données sensibles.
Le processus de passage de http à https
En apparence, le passage de http à https est assez simple :
- Achetez un certificat SSL,
- Installez votre certificat SSL sur le compte d’hébergement de votre site Web,
- Veillez à ce que tous les liens du site Web soient changés de http à https afin qu’ils ne soient pas cassés après avoir basculé le commutateur https, et
- Mettez en place des redirections 301 de HTTP à HTTPS pour que les moteurs de recherche soient informés que les adresses de votre site ont changé et pour que toute personne ayant mis un signet sur une page de votre site soit automatiquement redirigée vers l’adresse https après que vous ayez basculé le commutateur.
C’est aussi simple que cela. Cependant, grâce au nombre écrasant d’options offertes par les vendeurs de certificats SSL et les forfaits proposés par les sociétés d’hébergement, ce processus simple peut devenir très confus.
La situation n’est pas aidée par le fait que le passage de votre site de http à https nécessite de traiter avec plus de technologie que la plupart des petites entreprises se sentent préférées.
C’est pourquoi nous allons plonger dans les quatre étapes ci-dessus seulement aussi profondément que nécessaire pour prendre les décisions commerciales qui doivent être prises et pour comprendre les détails techniques à un niveau de base.
Pourquoi ne pas aller plus loin sur l’extrémité technique ? Pour une bonne raison qui facilitera l’ensemble du processus de passage de http à https :
Votre société d’hébergement peut gérer la majeure partie du processus pour vous
Si vous avez déjà l’expérience technique nécessaire pour faire passer votre site de http à https, alors par tous les moyens, gérez l’ensemble du processus de bout en bout.
Plusieurs petits entrepreneurs n’ont cependant pas d’expérience avec l’aspect technique de ce processus. Comme vous le verrez bientôt, il y a suffisamment de courbe d’apprentissage du côté commercial.
En tant que propriétaire d’une petite entreprise, vous devez effectivement participer à la prise de décisions commerciales. Cependant, il serait peut-être préférable que quelqu’un qui sait ce qu’il fait – quelqu’un en qui vous pouvez avoir confiance – s’occupe du côté technologique. Une option pourrait être la société d’hébergement de votre site Web.
De nombreuses sociétés d’hébergement proposent des forfaits comprenant un certificat SSL, l’installation du certificat que vous sélectionnez et la configuration de la redirection 301. Cela ne vous laisse qu’une seule tâche technique, le travail simple consistant à modifier les liens de votre site Web pour qu’ils pointent vers https au lieu de http.
Il se peut que l’achat d’un forfait vous coûte un peu plus cher. Cependant, la quantité de temps que vous gagnerez, et la frustration que vous éviterez, en confiant la fin technique du processus à votre société d’hébergement compensera largement cette dépense.
Vous trouverez ci-dessous un exemple des offres https + certificat SSL d’une société d’hébergement (SiteGround). Voici quelques éléments à noter :
- Vous devez toujours contacter votre société d’hébergement web pour vous assurer que vous comprenez exactement ce qui est inclus. Par exemple, bien que cela ne soit pas indiqué, un rapide chat en ligne avec SiteGround a confirmé que la mise en place des redirections 301 était incluse dans les trois forfaits.
- Comme vous pouvez le voir, vous pouvez soit utiliser un certificat SSL fourni par la société d’hébergement, soit utiliser un certificat acheté auprès d’un fournisseur distinct. Cela change un peu le prix de chaque forfait (comme l’indique la ligne « Prix de l’autre fournisseur »). Cela aura plus de sens dans un peu.
Comme expliqué précédemment, même avec quelqu’un qui s’occupe du côté technique, vous devez toujours prendre les décisions commerciales et comprendre, au moins à un niveau de base, ce qui est impliqué techniquement. C’est le sujet du reste de ce post.
Préparé à commencer ? Allons-y !
Achetez un certificat SSL
Il existe deux façons d’acheter un certificat SSL :
- Pour votre société d’hébergement, ou
- Pour un vendeur de certificats SSL.
Bien qu’il soit plus facile de simplement acheter le certificat auprès de votre société d’hébergement (surtout s’il fait partie d’un forfait à prix spécial), il arrive qu’elle ne propose pas le type de certificat dont vous avez besoin.
Oui, il existe plusieurs types de certificats SSL et vous devez en choisir un en fonction des besoins de votre entreprise. Ci-dessous, les différents types de certificats SSL sont regroupés par niveau de validation (important pour le marketing), puis par niveau de couverture. Vous devez sélectionner un certificat qui répond le mieux possible à vos objectifs dans ces deux domaines.
Certificats SSL par niveau de validation
Lorsque vous passez votre site en https, ce changement se reflète dans votre navigateur pour que les visiteurs de votre site Web le voient. Il existe trois niveaux de validation, chacun offrant plus d’assurance à vos clients potentiels que le suivant. C’est pourquoi le niveau de validation que vous sélectionnez est également une décision marketing.
Tous les trois niveaux font apparaître un cadenas fermé dans la barre d’adresse d’un navigateur, une indication que la connexion avec votre site est sécurisée. Au-delà de cela, il existe des différences à la fois dans les informations affichées lors de la visualisation du certificat dans un navigateur et, au plus haut niveau de validation, dans la barre d’adresse du navigateur également. Vous pouvez voir ces différences au sein des images incluses dans les descriptions de chaque niveau de validation ci-dessous.
Le temps et l’argent sont deux autres facteurs à prendre en compte lors du choix du niveau de validation de votre certificat : plus la validation est élevée, plus le travail est important et plus il faut de temps pour recevoir votre certificat. En effet, chaque étape supérieure offre davantage de validation du propriétaire du domaine (c’est-à-dire votre entreprise) que l’étape précédente. Cela nécessite également plus de paperasse de votre part et plus d’examen de la part de l’émetteur. En outre, plus le niveau de validation est élevé, plus le certificat SSL coûtera cher
NOTATION IMPORTANTE : la quantité de sécurité réelle des données fournie est la même pour les trois niveaux de validation – la validation supplémentaire est plus un facteur de confiance pour le client qu’autre chose.
Les trois niveaux de validation des certificats SSL sont :
- Validation du domaine – Niveau de validation de base, les certificats SSL validés par le domaine font en sorte qu’un navigateur Web affiche une image de verrou fermé à côté de l’adresse du site Web, démontrant que le site est sécurisé. Comme indiqué ci-dessous, lorsque vous consultez les détails de ce type de certificat dans un navigateur, la section « Subject Name » affiche les informations les plus élémentaires. Elle indique à un client potentiel que, oui, ce domaine est sécurisé. Mais elle ne mentionne pas quelle société a sécurisé le domaine. Et cette absence de nom de société peut constituer un problème de confiance pour les clients potentiels. Par exemple, cela peut conduire à des situations où quelqu’un peut mettre en place un domaine frauduleux (par exemple « robowhos.com » au lieu de « robowhois.com ») et piquer des données sensibles à ceux qui se laissent prendre à la ruse.
- Validation de l’organisation (a.k.a. Company Validation) – Lorsque vous obtenez un certificat SSL avec ce deuxième niveau de validation, l’émetteur confirme le fait que la société qui demande le certificat possède bien les droits sur le domaine pour lequel le certificat est émis. Comme vous pouvez le voir ci-dessous, lorsque vous visualisez ce type de certificat dans un navigateur, la section « Subject Name » affiche plus de détails – y compris le nom de la société. Ce niveau de détail supplémentaire fournit l’assurance aux clients potentiels que le site est légitime et sûr pour faire des affaires.
- Validation étendue – Les certificats SSL étendus fournissent le plus haut niveau d’assurance qu’un site est légitime et digne de confiance pour faire des affaires. Comme vous pouvez le voir ci-dessous, non seulement il y a plus d’informations dans la section « Subject Name », mais le nom de l’entreprise est également affiché directement dans la barre d’adresse du navigateur (en fait, dans certains navigateurs, toute la barre d’adresse devient verte lorsque le site est consulté). Un certificat SSL étendu proclame que l’entreprise possède les droits sur ce domaine et qu’elle répond aux normes d’examen rigoureuses nécessaires pour recevoir ce niveau de validation. Ça, c’est du bon marketing !
Certificats SSL par niveau de couverture
Une autre façon de regrouper les certificats SSL est le niveau de couverture qu’ils prennent en charge. Les trois niveaux de couverture des certificats SSL sont :
- Certificats SSL à domaine unique – Ce type de certificat SSL couvrira un domaine et un seul. Par exemple, vous pouvez utiliser un certificat SSL à domaine unique pour sécuriser mysmallbusiness.com mais pas support.mysmallbusiness.com.
- Certificats SSL à domaine générique – Ce type de certificat SSL couvrira un domaine et tous les sous-domaines sous ce domaine. Par exemple, vous pouvez utiliser un certificat SSL de domaine générique pour sécuriser mysmallbusiness.com et support.mysmallbusiness.com et tout autre sous-domaine.
- Certificats SSL multi-domaines – Ce type de certificats SSL peut être utilisé pour couvrir plusieurs domaines. Par exemple, vous pouvez utiliser un certificat SSL multi-domaine pour sécuriser à la fois mysmallbusiness.com et tout autre domaine, disons mesautresmallbusiness.com.
Installation de votre certificat SSL
L’installation de votre certificat SSL sur votre site Web implique de générer des clés de chiffrement publiques et privées et de les saisir au bon endroit sur votre panneau de contrôle d’hébergement Web.
Si vous n’êtes pas sûr de savoir comment effectuer ces étapes, vous avez deux options :
- Laisser votre hébergeur le faire pour vous.
- Recherchercher dans la section d’assistance de votre hébergeur des instructions étape par étape. Si vous n’en trouvez pas, il suffit de prendre le téléphone et d’appeler leur ligne d’assistance.
L’optimisation des moteurs de recherche ? Oui, l’optimisation des moteurs de recherche
À l’été 2014, Google a annoncé qu’il apportait une petite modification à son algorithme pour favoriser les sites qui utilisent le https. Le moteur de recherche a également laissé entendre que l’importance du https dans le rang de recherche pourrait croître lentement au fil du temps.
Bien que les entreprises avec https n’aient pas vu d’énormes augmentations du rang de recherche chez Google, il n’est jamais sage d’ignorer le géant de la recherche. Qu’est-ce que cela signifie alors que vous passez de http à https ?
Au lieu d’utiliser https sur les seules parties sensibles de votre site, vous pouvez simplement aller de l’avant et utiliser https pour l’ensemble de votre site. Cela n’affecte en rien l’accessibilité ou les performances et c’est un excellent moyen de se prémunir contre les futurs changements d’algorithme de Google.
Changer les liens de votre site web
Changer le texte « http » en « https » dans tous vos liens qui pointent vers d’autres parties de votre propre site est probablement la seule tâche technique que vous devrez faire vous-même.
Si vous n’avez pas utilisé de liens relatifs (liens partiels n’utilisant qu’une partie de l’url complète d’une page comme « /2015/03/update-wordpress.html »), vous devrez passer en revue tout le contenu de votre site pour trouver les liens qui pointent vers d’autres parties de votre propre site. Profitez de cette occasion pour passer aux liens relatifs au lieu de simplement remplacer « http » par « https ».
Si vous utilisez un système de gestion de contenu tel que WordPress, assurez-vous de modifier les permaliens pour utiliser https.
Mise en place des redirections 301
Comme mentionné plus haut, les redirections 301 permettent à la fois d’alerter les moteurs de recherche que les adresses de votre site ont changé et de rediriger automatiquement vers la nouvelle adresse https toute personne qui a mis un signet sur une page de votre site.
Il est probable que votre hébergeur effectue ce changement pour vous (n’oubliez pas de demander si cela fait partie de son forfait), mais si vous voulez le faire par vous-même, vous devez modifier le fichier .htaccess dans votre dossier racine en ajoutant :
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Conclusion
S’il y a une garantie concernant le passage de http à https, c’est que vous allez être confus à un moment donné au cours du processus.
Si vous pouvez éviter la plupart du travail technique et vous concentrer sur les décisions commerciales que vous devez prendre, vous récolterez des avantages. Ces avantages comprennent une plus grande confiance des clients, une sécurité des données super-étanche et même une légère chance que Google classe votre site plus haut.
Photo du site sécurisé via
.