La sécurisation des échanges sur internet est depuis deux décennies au centre des préoccupations de tous les acteurs. Le protocole SSL, devenu TLS, a permis de mettre en place des connexions sécurisées entre utilisateurs et sites internet. Le SSL fut indispensable à l’explosion du commerce électronique au milieu des années 2000.
Le HTTPS est devenu un critère de Google pour le référencement naturel
En août 2014, Google a publié sur son blog, destiné aux webmasters, un billet intitulé « HTTPS as a ranking signal« . Le géant de Mountain View y a révélé favoriser les sites présentant des connexions sécurisés HTTPS.
Cette annonce a été prise très au sérieux par les spécialistes du référencement. Google a en effet pris l’habitude de très peu communiquer sur les facteurs influençant son algorithme de classement des sites internet. Ce nouveau critère peut et doit donc être vu non pas comme optionnel mais comme une consigne et même une obligation pour optimiser son référencement naturel sur le moteur de recherche américain.
Si le protocole SSL/TLS est déjà implémenté par de nombreuses boutiques en ligne, il l’est encore beaucoup moins pour les autres types de site. En demandant à l’ensemble des webmasters de sécuriser leurs sites, Google veut voir internet devenir plus sûr.
Ce vœu rempli de bonnes intentions peut être vu comme une contrainte. Les certificats SSL nécessaires à la sécurisation sont en effet payants. Seul le service Let’s Encrypt permet d’obtenir gratuitement un certificat de qualité. Pour bénéficier de ce service, le webmaster doit tout de même avoir la main sur son hébergement. Il doit en effet être mesure de modifier la configuration d’accès à son site. Certaines offres d’hébergement permettent tout de même, souvent contre rémunération, de mettre en place en un clic un certificat SSL et d’activer la transmission sécurisée des données.
Comment choisir mon certificat SSL ?
Les garanties des certificats SSL
SSL (Secure Sockets Layer) désigne un protocole de sécurisation des échanges sur internet. Cet acronyme est souvent employé pour désigner son successeur, le protocole TLS (Transport Layer Security).
SSL a été développé par Netscape. L’IETF, Internet Engineering Task Force, est un groupe participant à la standardisation de l’internet. Il a poursuivi le développement de SSL et a été contraint de renommer sa version de SSL en TLS. Par abus de langage, on désigne TLS par SSL et inversement.
Ces deux protocoles garantissent l’authentification du serveur, la confidentialité et l’intégrité des données échangées. Ils peuvent être facilement implémentés au-dessus de HTTP (HyperText Transfer Protocol), le protocole de communication client/serveur par excellence du web. Lorsque le protocole TLS est implémenté, l’échange de données est alors assuré en HTTPS (HyperText Transfer Protocol Secured).
La grande majorité des navigateurs web gèrent au minimum la version 1.0 de TLS. L’internaute peut facilement observer si la connexion avec un site internet est sécurisée. Les navigateurs affichent en effet une clé ou un verrou à gauche de la barre d’adresse ou dans la barre d’état. Certains navigateurs peuvent même passer la barre d’adresse en jaune.
L’émisson de certificats et le choix de l’autorité de certification (AC)
Pour assurer la sécurisation des échanges, TLS chiffre les données échangées entre le navigateur de l’utilisateur et le serveur. Ce chiffrement, pour être sécurisé, exigent l’identification du serveur. Elle est assurée grâce à un tiers, l’autorité de certification, abrégée en AC.
Cette identification est possible grâce à un certificat délivré au site internet par l’autorité de certification. Ces organismes, peu nombreux, disposent chacun de certificats dits racines. En approuvant un certificat, l’AC marque de son empreinte le certificat délivré.
Les autorités de certifications peuvent déléguer la création de certificats à des autorités de certification dites subordonnées.
Les éditeurs de logiciel embarquent nativement tous les certificats racines autorisés. Certains logiciels tels que les navigateurs web, peuvent ainsi contrôler facilement la validité d’un certificat en examinant la signature de l’AC.
Ceux qui utilisent Google Chrome peuvent par exemple consulter la liste blanche des autorités de certification en accédant à « Gérer les Certificats » depuis le panneau « Paramètres ».
Le certificat SSL que l’on souhaite installer sur son site internet doit donc impérativement être signé par une autorité de certification reconnue par les principaux navigateurs internet. Une simple recherche permet au moment de sa commande de déterminer si l’autorité de certification a toujours bonne réputation !
Les recommandations de Google pour de la mise en place de SSL :
- utilisez un certificat dont la clé est de 2048 bits
- déterminez si le type de certificat devra être générique (pour sécuriser un nombre illimité de sous-domaines), multi-domaines (pour sécuriser plusieurs noms de domaine avec un seul certificat SSL dit certificat UCC) ou simple (pour un seul domaine)
- utilisez des urls relatives pour les ressources se trouvant sur le domaine sécurisé
- utilisez des urls relative au protocole pour les autres domaines
- ne pas bloquer l’indexation du site HTTS avec le fichiers robots.txt
- ne pas bloquer l’indexation des pages en attribuant « noindex » à la balise meta « robots ».
La mise en place du protocole SSL sur un site internet peut être vérifiée avec l’outil fourni par ssllabs.com, qui est recommandé par Google.
Les autorités de certification ne sont pas toujours irréprochables !
Google et plus généralement les acteurs du web, comme Microsoft, pointent malheureusement souvent le manque de sérieux ou les manquements de certaines autorités de certification.
Microsoft a par exemple décidé de ne plus reconnaître comme sécurisé les certificats signés par une vingtaine d’autorités de certification en début d’année 2016. Suite à des errements, Symantec s’est vu menacé publiquement par Google d’être retiré de sa liste blanche. Le moteur de recherche a exigé de Symantec une mise à niveau vers le standard Certificate Transparency, dont il est l’instigateur.
Avant de souscrire à un certificat, il est vivement recommandé, comme indiqué plus haut, de se renseigner sur la réputation de l’autorité de certification avec laquelle on souhaite travailler.
Si le certificat n’est pas valide ou que la connexion SSL n’est pas correctement implémentée, les navigateurs internet avertiront l’utilisateur de ce problème. Le navigateur Chrome de Google avertit ses utilisateurs avec le message « le certificat de sécurité de ce site web présente un problème » (ou en anglais « The site’s security certificate is not trusted »).
Différents types de certificats
Il est aujourd’hui possible d’obtenir très facilement un certificat SSL. Le projet Let’s Encrypt permet d’obtenir un certificat gratuitement. Les pirates peuvent donc très simplement obtenir un certificat et ainsi tromper les utilisateurs en obtenant leur confiance grâce au verrou !
Découvrez le certificat SSL/TLS adapté à vos besoin sur Amen.fr !