Difficile d’y voir clair parmi les sigles et les termes qui peuplent le monde de la certification numérique. Certificat SSL, certificat TLS, HTTPS, chiffrement, authentification… Ce guide a pour but de vous simplifier la vie en matière de sécurisation de site web.

Les usagers sont plus attentifs que jamais à la protection des données : 9 Français sur 10 se disent préoccupés par l’utilisation de leurs informations personnelles sur le web. Garantir la sécurité des internautes quand ils naviguent sur votre site Internet n’est donc plus une option. Problème : le monde de la cybersécurité ressemble à un mauvais film de science-fiction, avec son jargon sibyllin et ses sigles énigmatiques (certificat SSL, certificat TLS, HTTPS…). Au risque de vous faire passer à côté de l’essentiel. Ce guide est là pour vous aider à y voir plus clair, à travers un focus sur trois notions essentielles.

 

Le certificat de chiffrement et d’authentification

Vous y avez sans doute prêté attention : la barre d’adresse d’un navigateur web fournit des informations sur le niveau de sécurité des sites visités. On connaît notamment le petit cadenas qui s’affiche à côté de l’URL, signe que le détenteur du site a adopté le protocole de sécurité HTTPS (nous y reviendrons plus tard).

Cette sécurisation des serveurs (et donc des sites web) passe par des algorithmes de chiffrement. Ceux-ci consistent en la génération d’une clé cryptographique qui permet :

  • D’assurer la confidentialité des données échangées entre un poste client et un serveur. Dès qu’il est activé, seules ces deux entités peuvent décrypter les informations qui circulent entre elles.
  • De garantir l’intégrité des données.
  • D’authentifier le serveur web avec lequel l’utilisateur communique. Car une simple clé de chiffrement ne garantit aucunement l’identité de son détenteur !

Pour bénéficier de cette protection, un site web utilise un certificat de chiffrement – un certificat SSL ou TLS – relié au protocole HTTPS. Il est délivré par une Autorité de Certification (AC), chacune proposant des niveaux différents de fiabilité.

Le protocole HTTPS

Deux protocoles permettent de se connecter à un serveur web : le HTTP et le HTTPS. Entre les deux, une seule lettre de différence, mais un véritable gouffre en matière de sécurité.

Le protocole HTTP (pour HyperText Transfer Protocol) permet le transfert des données sur le web. C’est, en quelque sorte, le mode d’emploi d’une requête envoyée par le navigateur au serveur, préalable indispensable aux échanges d’informations. Le hic, c’est que ce type de connexion n’offre aucune sécurité. N’importe qui peut intercepter les données.

C’est là qu’intervient le HTTPS (avec le « S » de Secure en plus), qui adjoint au HTTP classique un protocole SSL / TLS. Celui-ci assure le chiffrement des données grâce à une clé de cryptage asymétrique, rendant les informations échangées illisibles pour une personne tierce et sécurisant la connexion. Il prouve également l’identité du détenteur du certificat SSL / TLS correspondant.

L’activation du protocole HTTPS fait apparaître un cadenas à côté de l’URL dans la barre d’adresse, auquel les internautes sont désormais habitués. Il s’affiche lorsqu’un site web est protégé par un certificat SSL ou un certificat TLS – ce qui en revient au même, comme nous allons le voir tout de suite.

Le certificat SSL (ou certificat TLS)

Pour afficher un site web en HTTPS, une entreprise doit d’abord obtenir un certificat SSL. Le SSL (Secure Socket Layer) est la technologie permettant de sécuriser les échanges de données entre le navigateur et le serveur. Il est particulièrement indiqué lorsqu’un utilisateur souhaite fournir des données confidentielles à un site web, par exemple pour effectuer un paiement. L’obtention d’un certificat SSL conduit à activer le protocole SSL, autorisant le site à ouvrir une connexion en HTTPS.

Le certificat TLS est le successeur du certificat SSL. Le TLS (Transport Layer Security) est une version plus sûre du SSL fonctionnant sur le même principe. Si votre site web utilise encore un ancien protocole SSL (2.0 ou 3.0), l’utilisateur en est prévenu par la présence d’un cadenas (ou du préfixe HTTPS) barré dans l’URL. Mais attention : par convention, on parle encore de certificat SSL plutôt que de certificat TLS, même si le protocole utilisé est bien le TLS. Vérifiez bien avant de changer quoi que ce soit !

 

SSL, TLS et HTTPS : une sécurisation indispensable

Vous l’aurez compris : ces différents termes et sigles (certificats, SSL, TLS, HTTPS) englobent une seule et même chose, à savoir des protocoles de sécurisation des échanges entre les internautes et les sites web.

En quelques mots, l’affichage de votre site en HTTPS suppose de passer par le protocole TLS, lui-même nécessitant l’obtention d’un certificat SSL.

Le passage au HTTPS n’est plus une option. La protection des données est devenue un enjeu majeur pour les utilisateurs – notamment depuis la révélation des écoutes de la NSA – autant que pour Google. Afin d’inciter les acteurs du web à sécuriser leurs sites, le leader des moteurs de recherche a agi en trois temps :

  • À partir de 2014, en favorisant le positionnement des sites en HTTPS dans les résultats.
  • À partir de 2015, en pénalisant progressivement les sites non sécurisés par le biais d’un positionnement moins avantageux.
  • À partir de début 2018, en affichant un label « non sécurisé » sur les pages en HTTP.

Aujourd’hui, 70 % des pages web s’affichent en HTTPS, contre seulement 40 % en 2015. Un pourcentage qui n’ira qu’en augmentant. Car, à la suite de Google, d’autres plateformes en appellent à l’adoption d’un certificat SSL : depuis 2017, WordPress propose par exemple des fonctionnalités uniquement accessibles à des hôtes HTTPS.

Il est donc urgent de franchir le pas pour assurer la visibilité de son site et de sa marque, d’autant plus que cela participe au déploiement d’un Internet plus respectueux des droits des internautes !

 

 

Hélène Toutchkov

Hélène Toutchkov
Content Manager

Commander un certificat

User
Certificat électronique de personne physique
Corporate
Certificat électronique pour serveur
(authentification, chiffrement, cachet)