Qu’est-ce que l’encryption SSL?

L’acronyme SSL signifie « Secure Socket Layer ». Il s’agit d’un protocole d’encryption qui permet de sécuriser les communications électroniques. Afin d’activer l’encryption SSL sur un site web, vous devez debord acquérir un certificat SSL. Le certificat doit ensuite être installé sur votre site à l’aide du panneau de contrôle fourni par le service d’hébergement web. Votre site web sera maintenant accessible avec un URL débutant par « https:// ».

L’utilisation de l’encryption SSL s’avère maintenant un standard dans le monde du web. Les engins de recherche tel que Google encouragent fortement les webmestres et propriétaires de sites web de migrer de « http » vers « https » le plus rapidement possible. Il y a un certain temps, les certificats SSL étaient dispendieux mais ils sont toutefois devenus très abordables et il n’y a donc aucune raison de s’en priver.

Lorsque l’encryption SSL est apparu, le processus d’implémentation était toutefois beaucoup plus complexe qu’il l’est aujourd’hui. Maintenant les panneaux de contrôle des services d’hébergement web permettent d’installer facilement un certificat SSL pour votre site web. De plus, la majorité des hébergeurs web vous offrent de le faire pour vous.

Utilisation de ressources non-sécurisées sur un site sécurisé

Bien que l’installation d’un certificat SSL sur un site web sécurise les communications entre ce dernier et le navigateur web des visiteurs, il aussi nécessaire que les ressources de chaque page (feuilles de style CSS, images, Javascript, etc.) soient aussi téléchargés depuis des connexions sécurisées aussi.

Il s’agit d’un seul lien non-sécurisé (http://) sur une page web pour que celle-ci pour que le navigateur web génère un avertissement de sécurité.

Par conséquent, il est crucial de bien analyser les pages web de votre site afin d’en assurer la sécurité et le bon fonctionnement du certificat SSL. À l’aide l’outil de vérification sur cette page, vous obtiendrez toutes les informations nécessaires pour que votre site web sécure.

Utilisation du vérificateur de certificat SSL

Pour lancer la vérification de votre site web, il suffit d’entrer une URL débutant par « https » dans le champ approprié. Par défaut, le port 443 est utilisé pour le protocole HTTPS. Vous pouvez toutefois spécifier un autre port.

vérification certificat ssl

Une fois la vérification lancée, l’outil téléchargera et analysera la page web soumise. Une fois que le processus est terminé, vous pouvez repérer les informations sur le certificat SSL de votre site web (voir l’encadré ci-après):

Informations sur le certificat SSL de votre site web

Vous y trouverez des informations telles que l’émetteur du certificat, la date d’expiration du certificat ainsi que les protocoles SSL supportés par le serveur web.

De plus, si votre page web fait référence à des ressources externes, celles-ci seront énumérées à la fin du rapport. Il vous est donc possible d’identifier toute source de contenu utilisant un protocol non-sécurisé (http):

Quoi faire lorsque votre page web utilise des éléments de sources non-sécurisées?

Malheureusement, c’est la partie de la migration SSL qui peut encore être problématique. Le plus souvent, vous ne liez pas manuellement les URL https externes (ou internes). Dans WordPress par exemple, vous pouvez avoir une extension (plugin) qui lie à un fichier CSS depuis une source « http ». Si tel est le cas etque vous ne pouvez pas retirer l’extension, vous n’avez pas d’autre choix que de modifier manuellement le code source du plugin et de changer les URL problématiques.

Sinon, vous n’avez d’autres choix que de réviser votre site en entier et de faire les changements nécessaires de « http » vers « https ».

Pourquoi est-ce que chaque éléments d’une page web doivent être téléchargés via HTTPS?

Comme mentionné précédemment, il ne suffit pas que les pages de votre site soient demandées avec une URL « https ». Chaque élément de la page doit être protégé par encryption SSL. Cela inclut tous les fichiers Javascript et CSS, qu’ils résident sur votre serveur ou non. Nous avons également constaté qu’il peut être difficile d’y parvenir si vos auteurs de thèmes ou de plugins n’ont pas apporté les modifications nécessaires aux URL.

Mais pourquoi est-ce si important? Pourquoi les entreprises comme Google rendent-elles la tâche si difficile pour les administrateurs de sites Web à passer au protocole HTTPS? La raison en est que même un seul élément non sécurisé utilisant HTTPS peut compromettre la sécurité de l’ensemble du site! Comment est-ce possible?

La réponse est qu’une connexion SSL fournit trois types de sécurité différents:

  1. Il s’assure que la ressource à laquelle vous vous connectez est effectivement fournie à partir du serveur en question;
  2. Il s’assure que le contenu n’a pas été altéré en transit (attaque de type « man in the middle »);
  3. Il s’assure que personne ne surveille les informations échangées entre le navigateur web et le serveur web.

Supposons donc un code Javascript qui est servi à partir d’un serveur tiers externe utilisant un HTTP non sécurisé, il est théoriquement possible que la requête soit usurpée et servie à partir d’un autre serveur. Cela signifie que vous pourriez obtenir du contenu complètement différent de ce qui a été demandé! Et puisque c’est Javascript qui sera exécuté, un attaquant malveillant peut obtenir le contrôle complet sur l’ensemble de votre site Web et même du navigateur.

Modification des données transmises sur des connexions non sécurisées

Une autre menace potentielle est celle que quelqu’un interceptera les données renvoyées via la connexion non sécurisée et la modifiera en fonction de ses besoins. Ceci est complètement inacceptable pour des raisons évidentes. Il y a eu des histoires d’horreur de FAI (Fournisseurs d’accès Internet) qui ont intercepté les requêtes web de leurs clients afin d’injecter leurs propres publicités dans les pages web. Ceci est rendu possible uniquement à cause de requêtes HTTP non sécurisées.

Lorsqu’un FAI dont les normes d’éthiques sont douteuses a un accès direct à tout ce qui passe sur son réseau, considérez que les visiteurs de votre site Web pourraient être exposés à des publicités qui n’ont pas été mises là par vous. Non seulement cela gâte votre image de marque, mais il y a l’idée que quelqu’un d’autre profite de votre travail acharné et monétise votre contenu sans votre permission ou votre connaissance.

Pour ces raisons, il est essentiel que tous les éléments de votre site soient servis sur HTTPS sécurisé. Il ne suffit pas que l’URL principale soit sécurisée. Toutes les images Javascript, CSS et même doivent être sécurisées pour que vos visiteurs aient une expérience fluide et sans erreur.

Pour ces raisons, il est essentiel que tous les éléments de votre site soient servis par l’intermédiaire d’une connexion HTTPS sécurisée. Il ne suffit pas que l’URL principale soit sécurisée. Toutes les images Javascript, CSS et même doivent être sécurisées pour que vos visiteurs aient une expérience fluide et sans erreur.

Disclosure: We receive a compensation from some of the companies whose products are presented on our website.