Qu'est-ce que le protocole SSL (Secure Sockets Layer) ?
SSL est l'abréviation de Secure Sockets Layer (couche de sockets sécurisée). Le protocole SSL était un protocole de sécurité internet conçu pour établir une connexion cryptée entre les serveurs web et les clients. Aujourd'hui, SSL a été remplacé par TLS (Transport Layer Security), mais de nombreuses personnes continuent à se référer à cette technologie avec l'acronyme SSL.
Un certificat SSL comprend une clé privée et une clé publique, ce qui permet de sécuriser les transactions en ligne et de protéger les informations des clients.
Parfois appelé "poignée de main SSL", le contrôle de sécurité commence lorsqu'un utilisateur tente de se connecter à un site web sécurisé par SSL. Le navigateur demande au serveur du site de s'identifier et reçoit une copie du certificat SSL. Après validation de la fiabilité du certificat SSL, une connexion sécurisée est établie, permettant le transfert de données cryptées entre le navigateur et le serveur.
Dans les navigateurs internet modernes, vous savez qu'un site web est sécurisé si l'URL dans la barre d'adresse contient HTTPS. Visuellement, cela se traduit par une petite icône de cadenas. Vous pouvez cliquer sur ce symbole sur n'importe quel site web HTTPS pour lire le certificat par vous-même.
Termes courants liés à SSL
Si vous êtes nouveau dans le monde de la sécurité sur internet, vous pouvez également être confus au sujet d'autres termes courants.
En bref, voici en quoi SSL diffère des termes courants de sécurité web tels que TLS et HTTPS :
- TLS: Transport Layer Security est le successeur de SSL. Il s'agit d'un protocole plus avancé permettant de préserver la confidentialité, la sécurité et l'authenticité en ligne grâce à des certificats.
- HTTP: HyperText Transfer Protocol est la couche d'application originale qui sous-tend l'internet dans un modèle client-serveur. Les sites et URL HTTP n'ont pas de certificat sécurisé.
- HTTPS: HyperText Transfer Protocol Secure est la variante sécurisée de HTTP, utilisée par plus de 79% des sites web, selon W3Techs.com. Ces sites utilisent généralement des certificats TLS.
Pourquoi SSL est-il important ?
Quel est donc l'impact du SSL sur le référencement de votre site web ?
Techniquement, SSL n'est pas impliqué. Maintenant que SSL a été abandonné et remplacé par TLS, la technologie permet d'utiliser HTTPS, la variante sécurisée de HTTP que la plupart des sites web utilisent.
En résumé, voici pourquoi HTTPS est important pour le référencement :
- HTTPS est un signal de classement léger: Google inclut le protocole HTTPS comme facteur de classement.
- HTTPS offre une meilleure sécurité et une meilleure protection de la vie privée: Il crypte les données échangées entre les utilisateurs et les sites web.
- HTTPS préserve les données de référence: Garantit l'exactitude des données de référence dans Google Analytics.
- HTTPS peut augmenter la vitesse du site lorsqu'il est utilisé avec des protocoles modernes: Prend en charge le protocole HTTP/2, qui peut améliorer la vitesse du site.
D'un autre côté, il est important de réfléchir à la manière dont l'absence de HTTPS peut affecter votre site web dans les recherches.
L'algorithme de Google inclut le protocole HTTPS comme signal de classement, ce qui pourrait théoriquement améliorer votre site. Mais compte tenu de la généralisation du protocole HTTPS, il est plus probable que votre site soit pénalisé dans les résultats de recherche s'il n'est pas équipé de ce protocole.
N'oubliez pas que l'engagement de l'utilisateur est un signal de classement clé. Lorsque les internautes cliquent sur votre site dans les résultats de recherche, il est impératif qu'ils restent sur la page et qu'ils interagissent avec elle, plutôt que de rebondir immédiatement.
Un site web non sécurisé affichera souvent un avertissement "Non sécurisé" qui peut effrayer les utilisateurs entrants et anéantir les mesures d'engagement des utilisateurs de votre site. C'est pour cette raison que votre référencement bénéficiera d'un certificat TLS.
Bonnes pratiques pour les certificats TLS/SSL
1. Obtenez votre certificat auprès d'une autorité de certification (AC) fiable
L'objectif des certificats est de fournir une sécurité fiable aux personnes qui naviguent sur le web. Pour ce faire, vous devez acheter votre certificat auprès d'une autorité de certification agréée.
Les sociétés d'autorité de certification les plus connues sont Symantec, GoDaddy, DigiCert et GeoTrust. La plupart des autorités de certification réputées proposent également une assistance technique pour veiller à ce que vous installiez correctement votre certificat.
2. Ne payez pas trop cher pour un certificat dont vous n'avez pas besoin
Il existe différents types de certificats, notamment DV, OV et EV. La principale différence réside dans la garantie offerte par l'autorité de certification.
- Domaine validé (DV) : La validation ne nécessite qu'un minimum d'efforts - en général, il suffit de prouver que vous êtes propriétaire de votre domaine par un courriel ou un appel téléphonique. Cette option est idéale pour les blogs ou les sites d'information qui n'ont pas besoin de collecter beaucoup d'informations personnelles auprès de leurs visiteurs.
- Organisation validée (OV) : Conçu pour les sites web commerciaux et les entreprises qui collectent et stockent des informations sur leurs clients par le biais de leurs sites web.
- Validation étendue (EV) : Il s'agit du type de certificat le plus élevé et le plus complet, qui nécessite la vérification de l'identité légale de l'entité requérante. Ce type de certificat est idéal pour les sites web qui requièrent un grand nombre d'informations personnelles sensibles de la part des visiteurs, en particulier les sites médicaux ou bancaires.
Si vous avez un blog classique, un certificat DV devrait suffire.
Toutefois, en fonction du nombre de sites web et/ou de sous-domaines que vous souhaitez couvrir avec un seul certificat, vous devrez peut-être choisir entre un certificat Wildcard (idéal pour plusieurs sous-domaines) et un certificat Subject Alternative Name (SAN) (idéal pour plusieurs sites web).
- Certificat Wildcard: Conçu pour sécuriser plusieurs sous-domaines sur le même site web, ce qui est moins cher que d'acheter un certificat dédié pour chaque sous-domaine séparément.
- Certificat SAN: Conçu pour sécuriser plusieurs noms de domaine ou sites web à la fois, ce qui permet d'économiser beaucoup de temps et d'argent.
3. N'oubliez pas que les certificats expirent
Les certificats SSL/TLS expirent après 398 jours et doivent être renouvelés à temps. L'option de renouvellement est possible dans les 30 jours suivant la date d'expiration.
Notez que les certificats TLS ne se renouvellent pas d'eux-mêmes et que la conséquence d'un certificat TLS expiré est que votre site web ne sera plus considéré comme sûr - ce qui peut mettre en danger à la fois les données de votre site et celles de vos visiteurs.
Surveillez l'arrivée d'un courriel de votre CA et suivez les étapes du renouvellement.
FAQ
Les certificats SSL/TLS couvrent-ils les sous-sous-domaines ?
Non. Même les certificats Wildcard ne couvrent qu'un seul niveau pour les sous-domaines, vous aurez donc besoin d'un autre certificat, ou vous pouvez utiliser un certificat SAN.
Quelle est la durée de vie maximale du certificat SSL/TLS ?
Depuis le 1er septembre 2020, la durée de vie maximale d'un certificat SSL ou TLS est de 398 jours. Après l'expiration, vous devez remplacer le certificat expiré.
Puis-je obtenir un certificat SSL/TLS gratuitement ?
Oui, c'est possible. Par exemple, LetsEncrypt et Cloudflare fournissent des certificats, mais seuls les certificats validés par le domaine (DV) sont gratuits. Il s'agit du type de certificat le plus courant, qui est vérifié uniquement par le nom de domaine.
La plupart des hébergeurs proposent des certificats gratuits lorsque vous achetez un hébergement chez eux.