Pas à pas vers le site crypté

Les webmasters considèrent depuis longtemps le cryptage SSL comme "agréable à avoir". Mais créer une connexion sécurisée entre client et serveur offre plus d'avantages que vous ne le pensez.

Depuis que Google a déclaré «https» un facteur de classement en août 2014, les propriétaires de sites Web doivent être informés du fonctionnement du cryptage sur votre site. Depuis le 1er janvier 2017, les connexions sécurisées sont également signalées par le "https" situé devant l'URL dans les SERP. Cependant, de nombreux sites Web proposent leurs services sans cryptage SSL. Dans cet article, nous vous montrons comment configurer un certificat SSL pour votre site Web et à quoi vous devriez prêter attention.

Quelles sont les étapes nécessaires pour le cryptage SSL?

  • Pensez au certificat SSL dont vous avez besoin.
  • Achetez le certificat d'un fournisseur.
  • Installez le certificat SSL sur votre serveur.
  • Choisissez quels dossiers, sous-pages, etc. doivent être cryptés.
  • Vérifiez le cryptage SSL avec un outil.

Qu'est ce que le SSL?

SSL signifie Secure Socket Layer et se réfère à un protocole de cryptage. À proprement parler, SSL est la version héritée de TLS (Transport Layer Security), mais le terme SSL est utilisé pour les deux versions. TLS est une version modifiée de la dernière version de SSL qui a éliminé certaines des vulnérabilités critiques de SSL. L'utilisation d'un protocole de cryptage garantit que les transmissions de données sont cryptées et donc plus sécurisées.

Qu'advient-il du cryptage SSL?

Lorsqu'un site Web est sécurisé par SSL, les connexions entre un client et le serveur sont cryptées. Ainsi, les visiteurs peuvent appeler votre site Web en toute sécurité avec leur navigateur et saisir, par exemple, des données lors de la commande, sans que celles-ci puissent être lues par des tiers. Afin d'établir une connexion sécurisée entre le navigateur et le serveur, le navigateur demande au serveur s'il appartient au domaine appelé. Pour confirmer cette connexion, un certificat SSL est requis, ce qui constitue donc une sorte de preuve de la légitimité du site.

Les certificats SSL requis sont émis par des "autorités de certification" ou "organismes de certification". Si le certificat SSL est émis pour un site Web accessible au public, l'autorité de certification correspondante vérifie d'abord toutes les informations figurant sur cette page. Le certificat est ensuite accessible au public et déposé auprès de l'autorité de certification. Pour générer le cryptage, la clé publique est d'abord utilisée pour sécuriser les informations transmises. Seulement avec une deuxième clé, qui est stockée sur le serveur certifié, ces données peuvent ensuite être déchiffrées.

Sélectionnez le certificat SSL approprié

Il existe plusieurs fournisseurs de certificats SSL autorisés par les certificats CA. L’ACCS est un groupe d’intérêts qui souhaite renforcer la sécurité sur Internet. Les principaux fournisseurs de certificats SSL sont GlobalSign, Geo Trust, Symantec, AlphaSSL, RapidSSL et Thawte.

Lors du choix du bon certificat SSL, il est important de savoir si le domaine à protéger est accessible au public ou non. À savoir, des certificats SSL publics ne peuvent être émis que pour des domaines publics car les autorités de certification ne peuvent pas identifier de manière unique la propriété de serveurs privés ou d'un intranet. Pour cette raison, ce qui suit concerne principalement les certificats SSL des sites Web utilisés publiquement.

Les certificats SSL sont disponibles à différents niveaux de confiance. Cela dépend de la quantité d'informations contenues dans un fichier soumis et de sa protection.

Il existe essentiellement trois certificats SSL différents disponibles:

1. Extended Validation (EV) – niveau de cryptage le plus élevé

2. Organisation validée (OV) – niveau de cryptage moyen

3. Domaine validé (DV) – niveau de cryptage le plus bas

Si vous souhaitez choisir un certificat, vous devez d’abord vous demander quelle sécurité et quelle confiance vous souhaitez offrir à vos visiteurs. Gardez à l'esprit la force de votre marque jusqu'à présent. Par exemple, votre marque peut être associée au certificat et tous les domaines publiés sous la marque seront protégés.

1. Validation étendue ou certificat EV

Pour obtenir ce certificat, les autorités émettrices demandent une grande quantité d'informations. Les critères sont considérés comme les plus stricts à respecter pour obtenir le cryptage SSL. Une seule page est certifiée, mais l’ensemble de la société.

Avec le certificat EV, les visiteurs sont assurés que votre site Web est géré par votre société et que les connexions à ces domaines sont sécurisées.

2. Organisme validé ou certificat OV

Ces certificats SSL incluent également une authentification de votre entreprise. Pour obtenir le certificat, la société respective vérifie certaines des données que vous avez fournies. Vos informations ne seront pas mises en évidence autant que le plus grand certificat EV. Si les visiteurs veulent voir ces données, ils doivent récupérer les détails individuels séparément.

3. Domaine validé ou certificat DV

Un certificat DV crypte également votre site Web via SSL. Mais en réalité, le certificat contient beaucoup moins de données sur vous et votre entreprise. Le certificat DV est simplement une validation du fait que vous êtes le propriétaire du site et que vous le gérez activement. Toutefois, un tel certificat ne confirme pas qu'il a été émis spécifiquement pour votre société ou que votre site est réellement exploité par votre société. Il est donc recommandé, en particulier pour les boutiques en ligne ou autres sites Web exploités commercialement, d’utiliser au moins le certificat OV.

SSL SSL

Figure 1: Infographie sur la configuration d'un certificat SSL de SEO Expertise.

Un domaine ou plusieurs?

À l'étape suivante, vous devriez vérifier si vous avez besoin de la protection SSL pour un seul domaine ou pour toute une gamme de domaines. Si vous souhaitez uniquement sécuriser un domaine, un seul domaine ou "certificat standard" suffit. Vous pouvez choisir entre les trois niveaux d'authentification ici.

Si plusieurs domaines ou sous-domaines doivent être sécurisés par SSL, vous pouvez choisir un certificat multidomaine ou générique. Au départ, les coûts seront plus élevés que pour un seul certificat, mais globalement, il est préférable de protéger plusieurs domaines avec une version multi-domaines. Les certificats de plusieurs domaines sont également appelés "Certificats de noms de sujets différents" ou certificats SAN.

Intégrer le certificat SSL

Si vous avez acheté le certificat SSL auprès d'un fournisseur, vous recevrez généralement des instructions concernant la mise en œuvre. Mais les étapes sont toujours les mêmes:

  1. Installez le certificat SSL sur votre serveur. Si vous n'utilisez pas de serveur dédié, certains hébergeurs Web offrent une solution SSL en quelques clics. La manière dont le certificat SSL est implémenté dépend de votre type de serveur. Vous pouvez trouver un bon aperçu de l'installation du certificat SSL sur différents serveurs tels qu'Apache ou Exchange ici.
  2. Choisissez ensuite les pages, sous-domaines ou domaines à protéger avec le certificat.
  3. Visitez vos pages avec différents navigateurs. Permet de voir si des éléments sans chiffrement SSL sont chargés. Avec un vérificateur SSL comme sslshopper.com, vous pouvez vérifier gratuitement si votre connexion SSL est correctement implémentée.

Liste de contrôle – Faites attention à ces six points

    ✓ Après avoir installé le certificat SSL, pensez à configurer une redirection 301 à partir de votre site Web vers https avec http.

Cela empêchera Google d’indexer les deux versions. En raison du contenu en double, Googlebot ne sait pas quelle version préférer. Cela peut finalement nuire aux deux versions en termes de classement.

Dans l'analyse d'une seule page de SEO Expertise, il est possible de contrôler de manière aléatoire les URL individuelles pour la gestion de SSL et, par conséquent, pour un transfert correct. De plus, il est vérifié à ce stade si les images, les javascripts et les fichiers CSS ont été chargés via HTTPS.

aabildung1neu SSL

Figure 1 SSL

Figure 2: Extrait de l'analyse d'une page réalisée par SEO Expertise.

    ✓ Stockez votre domaine https dans la console de recherche Google

C'est ainsi que vous vous assurez que Google identifie correctement les données telles que les clics ou les erreurs concernant votre site Web. Pour ce faire, connectez-vous à la console de recherche avec votre compte Google. Cliquez ensuite sur "Ajouter une propriété" dans le menu de gauche.

Là, vous avez la possibilité de créer des propriétés https individuelles pour des tests ultérieurs. Toutefois, il est judicieux d’enregistrer immédiatement tout le domaine dans la console de recherche Google. Dans ce cas, il n'est pas nécessaire de déverrouiller individuellement une nouvelle propriété pour chaque protocole.

Figure 3: Créez un domaine ou une page https dans la console de recherche Google.

    ✓ Publiez la page https dans vos outils d'analyse Web.

Pour que le suivi de votre site Web soit correctement effectué, vous devez également procéder à l'adaptation correspondante dans le protocole dans Google Analytics et d'autres outils d'analyse Web.

Dans Google Analytics, cliquez sur la roue dentée en bas à gauche avec le bouton "Administration". Là, vous pouvez changer le protocole du site Web en un clic.

Protocole de site Web SSL

Figure 4: Basculez vers https dans Google Analytics.

    ✓ Personnaliser les liens internes et mettre https devant pour sécuriser les connexions

À cette fin, vous pouvez d’abord vérifier tous les modèles et rechercher des liens d’une page à l’autre. Les pages de synthèse peuvent être vérifiées manuellement. Également à ce stade, le module "Website Success" de SEO Expertise peut vous aider.

Dans la section "Liens", cliquez sur "Destinations des liens". Ensuite, vous verrez toutes les destinations de liaison interne avec le protocole correspondant. Dans la version Pro, vous avez la possibilité d’exporter cette liste sous forme de feuille de calcul Excel.

Rapport de lien SEO Expertise SSL

Figure 5: Vérifiez les liaisons avec SEO Expertise.

À l'aide d'un filtre, vous pouvez également vérifier s'il existe encore des liens internes avec http.

Nouveau-filtre-put-SEO Expertise SSL

Figure 6: Vérifiez les liaisons avec SEO Expertise.

    ✓ Corrigez les liens vers votre domaine dans AdWords ou d'autres programmes publicitaires.

Dans l'interface d'administration de Google AdWords, recherchez des groupes d'annonces. Là vous avez la possibilité de changer le protocole pour le lien vers votre site web en https. Lorsque vous personnalisez des liens, gardez à l'esprit les extensions AdWords, telles que les liens de site ou les URL des offres.

figure6 SSL

Figure 7: Modifier l'historique des pages Web dans les annonces Google AdWords.

Si vous passez aux annonces Google Shopping, vous devez également modifier votre adresse dans Google Merchant Center. Gardez à l'esprit que les liens vers vos produits transmis dans le fichier CSV sont également cryptés en https.

    ✓ Stockez également le domaine https sur des profils de réseaux sociaux tels que Facebook ou Twitter.

Pour cela, connectez-vous aux profils correspondants et modifiez le protocole.

figure7 SSL

Figure 8: Dans la vue d'informations d'une page Web, le journal https devient visible sur un profil Facebook.

Coûts et durées des certificats SSL

Tous les certificats SSL ne sont émis que pour un terme spécifique. En règle générale, les durées sélectionnables sont comprises entre un et cinq ans. Le paiement d'un certificat SSL a toujours lieu à l'avance pour toute la durée.

Les certificats DL simples sont disponibles pour moins de 100 euros par an. Lorsqu'il s'agit de certificats SSL multi-domaines ou de produits avec des caractères génériques, les frais peuvent coûter plus de 1 000 euros par an. Les prix varient d'un fournisseur à l'autre et il est intéressant de comparer les coûts avant la réservation du certificat. Bien sûr, il existe également des fournisseurs totalement gratuits tels que letsencrypt.org.

Une fois que vous avez choisi un certificat, il est généralement plus facile de prolonger la durée. Mais vous avez également la possibilité de passer à un autre fournisseur ou à un autre certificat. Cela peut être utile, par exemple, si vous incluez une nouvelle page dans votre portefeuille et qu'un certificat pour un domaine doit être un multi-certificat.

Rappelez-vous toutefois que lors de la commutation, l’examen de votre site Web peut prendre quelques jours. Incidemment, votre page sera également vérifiée pour une extension. Par conséquent, vous devez demander une prolongation au moins 30 jours avant l'expiration du certificat ou demander le nouveau certificat. Ainsi, vous évitez les doubles réservations de certificats et les doubles paiements, car les certificats SSL doivent toujours être payés à l'avance pendant au moins 12 mois.

conclusion

Un certificat SSL est aujourd'hui indispensable pour renforcer la confiance avec les clients et les visiteurs, ainsi qu'avec Google. Il est donc d'autant plus important de sécuriser également votre site avec SSL. Pour les petits blogs sans formulaire d'inscription ni panier d'achat, un simple certificat suffit généralement. Toutefois, si vous souhaitez sécuriser une boutique en ligne ou exécuter plusieurs sites Web commerciaux, un certificat multidomaine ou un certificat EV est certainement la meilleure solution. Dans tous les cas, il est important de configurer les redirections appropriées après la conversion du site Web en https afin d'éviter les doublons. Même les grands de notre époque ont compris la signification d'un site Web sécurisé. 🙂

figure8 SSL

Dirigeant SEO SEA Expertise

Si vous avez des craintes avant de vous lancer dans un projet de communication ou de marketing digitale ou si vous vous posez encore beaucoup de questions sur la meilleure manière de procéder, contactez-moi. Je serai ravi de répondre à vos questions.