Il est partout : on en parle dans les médias, sur les sites spécialisés, on le croise sur certains sites... mais pas encore sur tous ! Le protocole HTTPS est devenu une norme du web en 2017, mais reste un concept flou pour beaucoup.
Essayons de l'expliquer simplement.
Avant d'expliquer ce qu'est le HTTPS, nous devons déjà comprendre ce qu'est le HTTP.
Le HTTP, pour Hypertext Transfert Protocol, est un protocole de transfert hypertexte. C'est plus clair maintenant ? 🙂
Sans rentrer dans des détails trop techniques, il faut comprendre que pour visualiser un site web, votre ordinateur se connecte à un serveur. Il s'agit d'un autre ordinateur, souvent très puissant, qui héberge le site en question. La connexion entre votre ordinateur et le serveur s'apparente à une discussion, rendue possible par le protocole HTTP.
On voit souvent dans les films d'espionnage le héros plaquer un verre contre un mur pour entendre les gens dans la pièce d'à coté, afin de glaner quelques informations.
Ce principe s'applique malheureusement aussi au HTTP ! Si quelqu'un de mal intentionné se connecte à votre réseau, et suit les différentes conversations avec les serveurs des sites que vous visitez, il pourra lire la totalité des données échangées.
Si vous êtes sur des sites publics sur lesquels vous ne faites que lire les contenus, le risque est inexistant. En revanche, si vous remplissez des formulaires, ou vous indiquez votre nom, votre prénom, votre adresse mail et votre code de carte bancaire, ça devient tout de suite beaucoup plus problématique car avec un protocole HTTP, toutes ces informations sont lisibles !
Le protocole HTTPS, pour Hypertext Transfert Protocol Securised, a été créé pour pallier ces problèmes de sécurité dans les échanges sur internet.
Il est en fait composé de deux protocoles :
Le SSL (pour Secure Socket Layer) est un système de cryptage des données, grâce à des clés. Votre ordinateur et le serveur se mettent d'accord sur l'utilisation d'une clé unique, permettant de décrypter vos données.
Le serveur possède 2 clés : une clé publique, et une clé privée. Dans un premier temps, le serveur envoie une clé publique qui permet à votre ordinateur de crypter les échanges. Votre ordinateur va donc crypter sa clé avec la clé publique du serveur et lui envoyer le résultat.
Seul le serveur pourra décrypter la clé de votre ordinateur avec sa clé privée (que lui seul a en sa possession). Les échanges sécurisés peuvent commencer.
Si vous possédez un site e-commerce, un site comportant un espace privé pour vos membres, etc, la question ne se pose pas. Mais pensez que les échanges réalisés par le biais d'un simple formulaire, s'il ne sont pas réellement confidentiels peuvent avoir une valeur concurrentielle... Sécuriser les échanges est donc l'avenir du web, nous ne pourrons pas passer à coté, et c'est une très bonne chose.
Les géants du web l'ont bien compris et ont mis en place différents systèmes pour discréditer petit à petit les sites utilisant le simple protocole HTTP.
• Des mentions clairement affichées aux utilisateurs
Depuis début 2017, Google a mis en place dans ses résultats des mentions "non sécurisé" si les sites n'utilisaient pas le HTTPS. Cela a commencé uniquement avec les sites de vente en ligne (échangeant des données très sensibles), puis toutes les pages utilisant un formulaire. Désormais, tous les sites utilisant le HTTP sont affichés comme "non sécurisé".
Les navigateurs web ont suivi la démarche, affichant si le site est sécurisé, ou s'il ne l'est pas. Le design diffère d'un navigateur à l'autre, mais le message est on ne peut plus clair.
• Un bonus de référencement
Google a annoncé publiquement qu'à contenu égal, un site utilisant le protocole sécurisé HTTPS sera mieux référencé.
• Votre e-réputation
Avoir un site sécurisé donne une bonne image de votre entreprise, qui est au courant des normes et s'inquiète des données de ses utilisateurs.
De plus, ne le cachons pas, un internaute qui a le choix entre 2 sites, un sécurisé et l'autre non, aura vite fait son choix !
Pour un passage en douceur au HTTPS, il est nécessaire de suivre des actions précises. Si une action est mal réalisée, votre site pourrait ne pas être sécurisé correctement, ne plus fonctionner, ou perdre une grande partie de son référencement.
La première étape est consiste à intégrer un certificat SSL à votre site. Certains sont gratuits, d’autres payants. Il n'est pas forcément simple de faire le bon choix.
Pour vous simplifier la vie, nous avons mis au point avec notre hébergeur une prestation complète qui inclut l’achat d’un certificat fiable et vous garantit une transition en douceur et sans risque de votre site vers une version sécurisée :
1 - Création et mise à disposition du certificat SSL par l’hébergeur
2 - Revue de tous les fichiers du site pour modifier les liens de fonctionnement et n'utiliser que du HTTPS
3 - Création des redirections des pages HTTP vers HTTPS
4 - Vérification et modifications des balises canonical de chaque page
5 - Ajout d'un système permettant de forcer l'utilisation du HTTPS
6 - Revue de toutes les pages du site pour s'assurer que le certificat soit validé
7- Configuration des outils de suivi (Google Analytics, Search Console, ...)
Si vous souhaitez rassurer vos clients en passant votre site en HTTPs, nous vous proposons d'en discuter avec Anthony.
Des questions, des commentaires, des difficultés ?
N'hésitez pas à laisser un commentaire !