DÉBUTANT SÉCURITÉ SSL/TLS

SSL et HTTPS

Définition simple, fonctionnement et explications pour comprendre la sécurisation des sites web et l'importance du cadenas vert.

Temps de lecture : 5 minutes
SOMMAIRE
Définition simple Différence HTTP / HTTPS Analogie de la lettre Comment ça marche Types de certificats Comment obtenir un certificat Pourquoi c'est important Impact sur le référencement Questions fréquentes

Qu'est-ce que SSL et HTTPS ?

HTTPS est la version sécurisée du protocole HTTP. SSL (Secure Sockets Layer) est la technologie qui permet cette sécurisation.

En termes simples : Quand vous voyez "https://" et un cadenas vert dans la barre d'adresse, cela signifie que les échanges entre votre navigateur et le site web sont chiffrés. Personne ne peut espionner ce que vous faites, que ce soit les mots de passe que vous tapez ou les informations personnelles que vous envoyez.

https://www.monsite-securise.com Sécurisé

Site sécurisé avec certificat SSL valide

HTTP vs HTTPS

HTTP (Non sécurisé)
Non sécurisé
http://exemple.com

Les données circulent en clair. Un pirate sur le même réseau (Wi-Fi public) peut les intercepter facilement.

HTTPS (Sécurisé)
Sécurisé
https://exemple.com

Les données sont chiffrées. Même interceptées, elles sont illisibles sans la clé de déchiffrement.

Le S de HTTPS signifie "Secure" (sécurisé). C'est la même chose que HTTP, mais avec une couche de chiffrement SSL/TLS.

L'analogie de la lettre et de l'enveloppe

HTTP = Carte postale

Vous écrivez votre message sur une carte postale. N'importe qui (facteur, employés du tri, voisins) peut lire ce que vous avez écrit. C'est ce qui se passe avec un site non sécurisé : vos données voyagent en clair.

HTTPS = Lettre cachetée

Vous mettez votre message dans une enveloppe fermée. Seul le destinataire peut l'ouvrir. Même si quelqu'un intercepte la lettre, il ne peut pas lire son contenu. C'est ce que fait SSL/TLS : il met vos données dans une enveloppe scellée.

Le certificat SSL = Le sceau officiel

Le certificat SSL est comme un sceau de cire officiel qui garantit que l'enveloppe vient bien de qui elle prétend venir. Il prouve l'identité du site et assure que personne n'a ouvert l'enveloppe en chemin.

Comment fonctionne SSL/TLS ?

Le processus s'appelle la "poignée de main SSL" (SSL handshake). Il se déroule en quelques étapes, invisibles pour l'utilisateur :

Client
(navigateur)
Serveur
(site web)
1

Hello

Le navigateur envoie une demande de connexion sécurisée au serveur, avec la liste des algorithmes de chiffrement qu'il supporte.

2

Certificat

Le serveur répond en envoyant son certificat SSL (qui contient sa clé publique) et choisit l'algorithme de chiffrement.

3

Vérification

Le navigateur vérifie que le certificat est valide (pas expiré, signé par une autorité de confiance, correspond au site visité).

4

Clé de session

Le navigateur génère une clé de session, la chiffre avec la clé publique du serveur, et la lui envoie.

5

Connexion sécurisée

Tous les échanges sont maintenant chiffrés avec cette clé de session. Personne ne peut les espionner.

À savoir : Tout ce processus prend quelques millisecondes. Une fois la connexion établie, les données échangées ressemblent à ceci :
GfJq2r8sLp5kHw9xNy4mQz3tRv7bCd6aXe1oUy0iW...

Les différents types de certificats SSL

Il existe plusieurs niveaux de validation, du plus simple au plus poussé :

Type Niveau de validation Usage typique Coût
DV (Domain Validation) Basique Blogs, sites vitrines Gratuit (Let's Encrypt) ou ~10€/an
OV (Organization Validation) Moyen Sites professionnels, PME ~100-200€/an
EV (Extended Validation) Élevé Banques, e-commerce, grandes entreprises ~300-600€/an

Ce que contient un certificat SSL

Domaine
www.exemple.com
Propriétaire
Entreprise Exemple SARL
Autorité
Let's Encrypt / DigiCert / GlobalSign
Validité
Du 01/01/2024 au 01/04/2024
Empreinte
A3:4F:8B:12:7D:9E:2C:45...

Comment obtenir un certificat SSL ?

1

Via votre hébergeur

La plupart des hébergeurs proposent des certificats gratuits (Let's Encrypt) activables en un clic depuis l'interface d'administration.

2

Achat auprès d'une autorité

Pour des certificats OV ou EV, achetez directement chez des fournisseurs comme DigiCert, GlobalSign, ou via des revendeurs.

3

Let's Encrypt (gratuit)

Autorité gratuite et automatisée. Idéale pour la plupart des sites. Les certificats durent 90 jours mais se renouvellent automatiquement.

4

Installation et configuration

Une fois le certificat obtenu, il faut le configurer sur votre serveur et forcer la redirection de HTTP vers HTTPS.

# Exemple de redirection HTTP → HTTPS dans .htaccess
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

Pourquoi HTTPS est indispensable

Confidentialité

Les données échangées (mots de passe, informations personnelles, numéros de carte bancaire) ne peuvent pas être lues par des tiers.

Intégrité

Garantit que les données n'ont pas été modifiées en cours de route (pas d'injection de contenu malveillant).

Authentification

Vous êtes bien sur le site que vous croyez visiter, pas sur un site pirate imitant l'original (phishing).

Confiance utilisateur

Les navigateurs affichent un avertissement "Non sécurisé" sur les sites HTTP, ce qui fait fuir les visiteurs.

Non sécurisé http://site-douteux.com Dangereux

Avertissement : ce site n'est pas sécurisé

Impact sur le référencement (SEO)

Google a confirmé que HTTPS est un critère de classement. Les sites en HTTPS sont favorisés dans les résultats de recherche.

  • Depuis 2014 : HTTPS est un signal de classement positif.
  • Depuis 2017 : Chrome affiche "Non sécurisé" sur les pages HTTP avec formulaire.
  • Depuis 2018 : Tous les sites HTTP sont marqués "Non sécurisé".
  • Impact concret : Les sites HTTP peuvent perdre des visiteurs à cause des avertissements.
Bon à savoir : La migration de HTTP vers HTTPS doit être faite correctement avec des redirections 301 pour ne pas perdre votre référencement existant.

Questions fréquentes

SSL et TLS, quelle différence ?
SSL est l'ancien nom (Secure Sockets Layer), TLS (Transport Layer Security) est la version moderne et plus sécurisée. Par habitude, on dit encore "certificat SSL" mais c'est techniquement TLS qui est utilisé aujourd'hui.
Un certificat SSL est-il vraiment gratuit ?
Oui, Let's Encrypt propose des certificats DV totalement gratuits, valables 90 jours et renouvelables automatiquement. Ils sont parfaitement valides et sécurisés. Pour des certificats OV ou EV, il faut payer.
Mon site n'a pas de formulaire, ai-je besoin de HTTPS ?
Oui. Même sans formulaire, HTTPS protège l'intégrité du contenu (personne ne peut modifier ce que vos visiteurs voient) et évite l'avertissement "Non sécurisé" qui nuit à votre crédibilité.
Que se passe-t-il quand un certificat expire ?
Les visiteurs verront une erreur de sécurité dans leur navigateur (généralement "Votre connexion n'est pas privée"). Le site peut devenir inaccessible selon la configuration. Il est crucial de renouveler avant expiration.
Comment vérifier les détails d'un certificat SSL ?
Cliquez sur le cadenas dans la barre d'adresse, puis sur "Certificat" ou "Connexion sécurisée". Vous verrez les détails : émetteur, validité, niveau de chiffrement, etc.
Qu'est-ce qu'un certificat wildcard ?
C'est un certificat qui couvre un domaine et tous ses sous-domaines (exemple : *.monsite.com couvre www.monsite.com, blog.monsite.com, mail.monsite.com). Pratique et économique.
HTTPS ralentit-il mon site ?
L'établissement de la connexion sécurisée ajoute quelques millisecondes, mais les technologies modernes (TLS 1.3, HTTP/2) compensent largement. De plus, les sites sécurisés peuvent utiliser HTTP/2, plus rapide que HTTP/1.1.
Que signifie le message "Votre connexion n'est pas privée" ?
Cela signifie que le certificat SSL est invalide (expiré, mal configuré, ou émis pour un autre domaine). Le navigateur bloque l'accès pour protéger l'utilisateur.