Autrefois principalement destinés aux boutiques en ligne ainsi qu'aux sites internet disposant d'un module de connexion utilisateur, les certificats SSL sont aujourd'hui devenus incontournables… En fait, ils sont même indispensables. C'est bien pour cette raison que la grande majorité des meilleurs hébergeurs web les proposent systématiquement dans leur offre.
Face à la prolifération des cyber-attaques, le certificat SSL s'est largement démocratisé ces dernières années. L'objectif : chiffrer toutes les transactions Web en fournissant des certificats valides issus d'une entité de confiance.
Qu'est-ce qu'un certificat SSL ?
Le certificat SSL assure un chiffrement de la connexion entre l'ordinateur de l'internaute et le serveur. Autrement dit, toutes les données transitant sur cette connexion sont protégées. D'emblée, la connexion HTTP devient HTTPS et le mot de passe ou les informations bancaires envoyés depuis l'ordinateur vers le site internet seront protégés.
L'objectif d'un certificat SSL est d'éviter les attaques de type man-in-the-middle par lesquelles un hacker s'infiltre au sein de cette connexion vers le serveur pour scanner les données en transit.
Mais alors, pourquoi le certificat SSL ne s'est-il pas démocratisé avant ? Tout simplement parce que ce dernier étant initialement destiné à des professionnels, il était relativement cher. En outre, son installation sur le serveur nécessitait des compétences techniques.
L'incontournable « Let's Encrypt »
Cependant en 2015, la donne a changé. la fondation Mozilla, l'Electronic Frontier Foundation, Akamai, Cisco et IdenTrust, accompagné d'un groupe de chercheurs de l'université du Michigan ont eu l'idée de mettre en place l'Internet Security Research Group (ISRG). L'objectif jugé un peu fou à l'époque : étendre au maximum les connexions HTTPS et chiffrer l'intégralité du Web.
C'est ainsi que sont nés les certificats « Let's Encrypt » signés par Identrust et proposés gratuitement aux détenteurs d'un site Internet. Au fil des années, ces derniers ont été implémentés chez la majorité des solutions d'hébergement et peuvent être appliqués d'un simple clic par l'utilisateur via son panneau de contrôle (s'il n'est d'ailleurs déjà pas activé par défaut).
Selon un rapport de l'université du Michigan publié en novembre 2019, alors qu'en 2016 40% des sites Internet offre une connexion HTTPS, ce chiffre a doublé à 80% trois ans plus tard.
Quels sont les avantages d'un certificat SSL ?
Si vous n'envisagez pas d'ouvrir une boutique en ligne ou de gérer une base d'utilisateurs contenant des informations sensibles telles que des accès de connexion, il est légitime de se demander si un certificat est utile.
Tout d'abord, l'ensemble des navigateurs retournent aujourd'hui un avertissement dans la barre d'adresse lorsqu'une connexion n'est pas chiffrée en HTTPS. Cela peut éveiller quelques suspicions chez vos visiteurs et affecter l'image du site en général.
Par ailleurs, Google favorise désormais dans ses résultats de recherche les sites disposant d'un certificat. Si les enjeux SEO sont importants pour vous, le certificat est donc un critère indispensable.
Enfin pour reprendre les propos de J. Alex Halderman, professeur à l'université du Michigan :
« Lorsque HTTPS a été inventé dans les années 1990, c'était principalement pour les transactions par cartes de crédit et les services bancaires. Mais depuis, Internet est devenu un endroit bien plus dangereux. Edward Snowden nous a montré que les gouvernements surveillent le trafic à l'échelle globale. On a aussi vu des exemples où les gouvernements ou d'autres détournent le trafic internet pour attaquer l'ordinateur d'un utilisateur ou pour utiliser leur ordinateur afin d'attaque un tiers ».
Concrètement, la connexion HTTPS garantit également à vos visiteurs qu'ils se connectent bien à votre site et ne risquent donc pas d'être redirigés vers une page vérolée, par exemple.
Les différents types de certificats SSL
« Let's Encrypt » propose des certificats de type DV (à validation de domaine). Toutefois, puisqu'il sont gratuits, ils peuvent logiquement être utilisés par une personne malintentionnée souhaitant montrer le fameux cadenas dans la barre d'URL pour assurer la confiance de son visiteur mais hébergeant toutefois des contenus malveillants.
Pour cette raison, il existe plusieurs niveaux de sécurité sur les certificats SSL. Nous retrouvons par exemple les certificats EV (à validation étendue) ou les certificats OV (à validation d'organisation). Ces derniers sont payants et concernent le plus souvent les boutiques en ligne ou les application financières.
Le certificat EV est le niveau le plus strict. L'organisme de certification procède à une vérification complète du propriétaire d'un site Internet selon des normes internationales. Un numéro de téléphone, une adresse physique mais aussi des papiers d'identité certifiés par le gouvernement sont nécessaire ou encore, dans la cas d'une société, un extrait K-bis...
Découvrez nos avis de services d'hébergement :
- Avis Hostinger : est-ce l'hébergeur le plus rapide du marché ?
- Avis LWS : le moins cher des hébergeurs
- Avis HostPapa : une offre d'entrée de gamme solide
- Avis OVH : le leader européen
- Amen : la solution tout-en-un des entreprises
- Avis IONOS by 1&1 : le dinosaure européen
- Avis Ikoula : le cloud gaulois
- Avis Scaleway : l'hébergement à la sauce Free
- Avis O2Switch : l'offre intermédiaire de référence
- Avis Planethoster : parfait pour débuter gratuitement