Ai-je besoin d'un certificat SSL pour mon site internet professionnel ?
Si vous dirigez une entreprise de plomberie, un cabinet dentaire ou un centre de bien-être, vous n'avez pas créé votre activité pour réfléchir au chiffrement. Alors quand votre webmaster, votre facture d'hébergement ou un avertissement effrayant du navigateur soulève la question « ai-je besoin d'un certificat SSL ? », vous voulez une réponse directe, pas une conférence.
Voici la réponse directe : oui, vous en avez besoin. Tout site internet professionnel a besoin d'un certificat SSL aujourd'hui, même un simple site de cinq pages qui ne prend jamais de paiement. Voici pourquoi c'est vrai, comment vérifier si vous en avez déjà un (beaucoup de gens en ont un sans le savoir), et comment en obtenir un sans payer un spécialiste.
Ce que fait réellement un certificat SSL
Pensez à votre site internet comme à du courrier. Sans certificat SSL, tout ce qu'un visiteur envoie à votre site voyage comme une carte postale que n'importe qui peut lire sur le trajet. Avec un certificat SSL, cette même information voyage dans une enveloppe scellée que seul votre site peut ouvrir.
Le certificat est un petit fichier qui vit sur le serveur qui héberge votre site. Il fait deux choses :
- Il brouille (chiffre) les données qui transitent entre le navigateur d'un visiteur et votre site, afin que les mots de passe, numéros de téléphone et entrées de formulaires ne puissent pas être lus en transit.
- Il prouve que votre site est bien votre site, et non une copie frauduleuse mise en place pour tromper vos clients.
Vous verrez aussi le terme TLS. TLS est simplement la version plus récente et plus sécurisée de la même technologie. Le secteur continue de dire « SSL » par habitude, donc quand un hébergeur ou un plugin dit SSL, il désigne presque toujours le TLS moderne. Ne vous laissez pas perturber par les deux noms. Ils pointent vers le même cadenas.
Comment savoir si vous en avez déjà un
Avant d'acheter quoi que ce soit, vérifiez ce que vous avez. Cela prend environ dix secondes.
- Ouvrez votre site internet dans un navigateur.
- Regardez la barre d'adresse. Si l'adresse commence par « https » (avec le s) et qu'il n'y a pas d'avertissement, vous avez un certificat fonctionnel.
- Cliquez sur le petit cadenas ou l'icône de réglage à côté de l'adresse. Le navigateur indiquera que la connexion est sécurisée et vous permettra de voir les détails du certificat.
Si à la place vous voyez « Non sécurisé », un avertissement rouge ou un message plein écran disant « Votre connexion n'est pas privée », vous n'avez soit pas de certificat, soit un certificat expiré. C'est un problème à régler cette semaine, et le reste de ce guide vous explique comment.
Une mise en garde : un cadenas signifie que la connexion est chiffrée. Cela ne signifie pas que l'entreprise derrière le site est honnête. Les escrocs peuvent aussi obtenir des certificats. Donc le cadenas est nécessaire, mais ce n'est pas à lui seul une preuve de confiance. Pour votre propre site, en revanche, la présence du cadenas est exactement ce que vous souhaitez.
Pourquoi vous en avez besoin même si vous ne vendez pas en ligne
Le mythe le plus répandu est que SSL n'est utile que pour les boutiques qui acceptent des cartes bancaires. Ce n'est plus vrai depuis des années. Voici les raisons qui s'appliquent à un site de petite entreprise locale.
Les navigateurs signalent désormais les sites sans SSL
Chrome, Safari, Firefox et Edge marquent tous les pages sans certificat comme « Non sécurisé ». Certains affichent un avertissement avant même que le visiteur puisse voir votre page. Un propriétaire qui cherche un couvreur d'urgence ne passera pas outre un écran d'avertissement rouge. Il appuiera sur retour et appellera votre concurrent. Selon le guide Cloudflare sur les certificats SSL, servir votre site en HTTPS est ce qui fait apparaître le cadenas et éloigne ces avertissements.
Il protège toute information qu'un visiteur saisit
Vous ne vendez peut-être pas en ligne, mais votre site a probablement un formulaire de contact, une demande de devis ou une prise de rendez-vous. Dès qu'un visiteur tape son nom, son adresse ou son numéro de téléphone, ces données ont besoin de protection. Comme le souligne Mailchimp, si vous collectez la moindre information personnelle, ne serait-ce qu'une adresse e-mail, vous avez besoin d'un certificat.
Google l'utilise comme signal de classement
Google a confirmé il y a plusieurs années que HTTPS est un facteur de classement dans les résultats de recherche. Ce n'est pas le facteur le plus important, mais quand deux couvreurs de la même ville sont par ailleurs équivalents, le site sécurisé a un avantage. Un site signalé « Non sécurisé » combat dans les résultats de recherche avec une main dans le dos.
Il vous maintient du bon côté des règles de confidentialité
Des réglementations en matière de protection des données comme le RGPD en Europe attendent des entreprises qu'elles prennent des mesures raisonnables pour protéger les données qu'elles collectent. Le chiffrement en transit est l'une des plus basiques de ces mesures. Avoir un certificat fait partie de la démonstration que vous prenez la gestion des données au sérieux.
Un site sans certificat n'est pas seulement moins sécurisé. Il paraît défaillant aux yeux du client que vous avez payé pour amener sur la page.
Les types de certificats, en termes simples
Vous rencontrerez trois noms en faisant vos recherches. Pour presque toute entreprise locale, seul le premier compte.
- Validation de domaine (DV). L'autorité de certification confirme que vous contrôlez le domaine, puis émet le certificat, souvent en quelques minutes. C'est ce qui alimente la grande majorité des sites de petites entreprises, et c'est ce que fournissent les options gratuites. Le cadenas a exactement la même apparence que les versions coûteuses.
- Validation d'organisation (OV). L'autorité vérifie également que votre entreprise est une entité enregistrée réelle. Cela prend quelques jours et coûte de l'argent. Utile pour certaines grandes organisations, rarement nécessaire pour un commerce local.
- Validation étendue (EV). La vérification la plus poussée, destinée aux banques et grandes entreprises. Les navigateurs modernes n'affichent plus l'ancien nom de l'entreprise en vert dans la barre d'adresse, donc le bénéfice visible pour une petite entreprise est proche de zéro.
La version courte : un certificat de Validation de domaine gratuit donne à vos clients exactement le même cadenas sécurisé qu'un certificat qui coûte plusieurs centaines d'euros par an. Ne laissez personne vous vendre un certificat d'entreprise dont vous n'avez pas besoin.
Comment obtenir un certificat, du plus simple au plus technique
Option 1 : vous en avez peut-être déjà un inclus
La plupart des constructeurs de sites modernes et beaucoup de formules d'hébergement incluent un certificat sans frais supplémentaires et l'activent pour vous. Si votre site affiche déjà https et un cadenas, vous avez terminé. N'en achetez pas un deuxième. Vérifiez d'abord, agissez ensuite.
Option 2 : gratuit via Let's Encrypt
Let's Encrypt est une autorité de certification à but non lucratif qui émet des certificats gratuitement, pour toujours. Elle alimente une grande partie du web sécurisé. La plupart des bons hébergeurs ont un bouton en un clic pour activer un certificat Let's Encrypt, et certains le font automatiquement. Le compromis est que ces certificats durent 90 jours, donc ils ont besoin d'être renouvelés souvent. La bonne nouvelle est que le renouvellement est censé être automatique. Votre hébergeur ou votre logiciel serveur s'en occupe en arrière-plan, et vous ne le voyez jamais se produire.
Option 3 : acheter un certificat chez votre hébergeur ou un revendeur
Si votre hébergeur ne propose pas d'option gratuite, vous pouvez acheter un certificat, souvent inclus avec votre hébergement pour un modeste abonnement annuel. Cette voie implique parfois de générer une demande de signature, de vérifier la propriété, de télécharger des fichiers et de configurer votre site pour rediriger de http vers https. Ce n'est pas difficile pour une personne technique, mais c'est l'étape où les dirigeants non techniques appellent généralement à l'aide.
Quelle que soit la voie choisie, terminez le travail en vous assurant que votre site redirige l'ancienne adresse http vers la version https sécurisée. Sinon, certains visiteurs atterrissent sur la copie non protégée et voient l'avertissement de toute façon.
Messages d'avertissement courants et leur signification
Quelques messages paniquent les dirigeants. Voici ce qu'ils indiquent généralement.
- « Non sécurisé » dans la barre d'adresse. Aucun certificat installé, ou le site ne force pas https. Solution : installer ou activer un certificat et activer la redirection.
- Page de blocage complète « Votre connexion n'est pas privée ». Souvent un certificat expiré. Parce que les certificats gratuits se renouvellent tous les 90 jours, cela signifie généralement qu'un renouvellement automatique a silencieusement échoué. Renouvelez-le et vérifiez que le renouvellement automatique est activé.
- Un cadenas avec un petit triangle d'avertissement. Généralement du « contenu mixte », c'est-à-dire que la page est sécurisée mais charge une image, une police ou un script via l'ancien http. Mettre à jour ces liens en https corrige le problème.
- Le certificat est pour le mauvais nom de domaine. Le certificat a été émis pour une adresse différente de celle que les visiteurs ont tapée, par exemple la version www contre la version sans www. Il doit couvrir les deux.
Aucun de ces problèmes n'est une urgence que vous ne pouvez pas résoudre, mais un site laissé avec un avertissement rouge pendant des semaines perd silencieusement des clients tout ce temps.
Alors, ai-je besoin d'un certificat SSL, ou est-ce exagéré ?
Pour la plupart des dirigeants d'entreprises locales, la réponse honnête se termine par une deuxième question : en a-t-on déjà un d'activé ? Si oui, vous avez terminé et vous pouvez cesser de lire quoi que ce soit sur le chiffrement pour toujours. Si non, un certificat gratuit via votre hébergeur ou Let's Encrypt comble le manque, généralement le jour même, généralement sans frais.
Le seul vrai piège est de payer pour un certificat d'entreprise coûteux dont vous n'avez pas besoin, ou de laisser un certificat gratuit expirer parce que personne n'a configuré le renouvellement automatique. Évitez ces deux erreurs et vous avez réglé la question définitivement.
Où cela s'inscrit si vous reconstruisez votre site de toute façon
Si votre site actuel est ancien, lent ou génère des avertissements de sécurité, la correction la plus propre n'est parfois pas de corriger le certificat mais de passer à une plateforme où la sécurité est gérée pour vous. C'est l'une des choses autour desquelles nous avons conçu Saynovo. Chaque site qu'il produit est mis en ligne en https avec le certificat déjà en place et se renouvelant de lui-même, afin qu'un dirigeant occupé ne soit jamais la personne responsable de se souvenir d'une échéance à 90 jours. Vous décrivez les changements en langage courant et le site se met à jour, et le cadenas est simplement toujours là. Il ne fera pas tourner une boutique en ligne pour vous, mais pour une entreprise de services qui veut un site clair et sécurisé sans toucher aux paramètres du serveur, la question de sécurité est résolue avant même que vous la posiez.
En résumé
Donc, ai-je besoin d'un certificat SSL ? Oui, vous en avez besoin. Il protège les informations que vos clients vous transmettent, empêche les navigateurs de les faire fuir, et vous donne un léger avantage dans les résultats de recherche. La technologie semble intimidante, mais les étapes pratiques sont courtes : vérifiez si vous en avez déjà un, activez un certificat gratuit si ce n'est pas le cas, forcez votre site à utiliser https, et assurez-vous que le renouvellement est automatique. Faites cela une fois et le cadenas se gère tout seul.
Sources pour aller plus loin :
- Cloudflare : Qu'est-ce qu'un certificat SSL ?
- Mailchimp : Ai-je besoin d'un certificat SSL ?
- Namecheap : Ai-je besoin d'un certificat SSL ?
- Let's Encrypt : Comment ça fonctionne
