Choisir le bon certificat HTTPS pour votre site WordPress
Publié: 2019-09-27Dans notre article précédent WordPress HTTPS, SSL et TLS – un guide pour les administrateurs de sites Web, nous avons expliqué ce que sont HTTPS et tous les autres termes techniques, et comment cela fonctionne. Dans cet article, nous discutons des certificats HTTPS, des différentes manières dont vous pouvez en acquérir un pour votre site Web WordPress et des raisons pour lesquelles vous devriez ou non en payer un. Plongeons dedans.
Qu'est-ce qu'un certificat HTTPS ?
Avant de pouvoir discuter du comment et du pourquoi des certificats HTTPS, nous devons d'abord discuter de ce qu'est un certificat. Un certificat sert à :
- chiffrer le trafic entre le serveur web et le navigateur web,
- vérifier que le serveur Web auquel vous êtes connecté est bien celui qu'il prétend être (un moyen d'identification).
Un certificat HTTPS (certificat TLS) contient une preuve cryptographique qu'une entité approuvée par un navigateur peut garantir l'identité de ce site Web. Cette entité est appelée une autorité de certification (CA). Les autorités de certification jouent un rôle crucial en ce qui concerne les certificats HTTPS.
Vous pouvez penser à une autorité de certification similaire à un « bureau des passeports » qui vérifie indépendamment votre identité et vous fournit un « passeport » (certificat) pour prouver votre identité aux autres. Cependant, pour qu'une personne (un navigateur Web) valide votre « passeport », elle doit faire confiance au « bureau des passeports » (autorité de certification) qui a délivré le « passeport » (certificat). Semblable à un passeport, un certificat aura des fonctions de sécurité intégrées pour le rendre difficile à usurper .
En d'autres termes, pour servir votre site Web via HTTPS, vous avez besoin d'une autorité de certification pour vous fournir un certificat qui prouve l'identité de votre site Web WordPress (vous êtes qui vous prétendez être).
Différents types de certificats HTTPS
Bien que cela ne soit pas immédiatement évident, il existe 3 types de certificats différents que vous pouvez obtenir :
- Validation de domaine (DV)
- Validation d'organisation (VO)
- Validation étendue (VE).
Les certificats DV sont de loin les certificats les plus courants. Lorsque vous obtenez un certificat DV, vous verrez l'interface utilisateur habituelle du navigateur que vous attendez. Notez que cela diffère d'un navigateur à l'autre, et même d'une version de navigateur à l'autre, mais généralement, vous verrez un cadenas et parfois le mot "sécurisé".
Les certificats OV sont plus difficiles à obtenir que les certificats DV car ils nécessitent plus de validation. Cependant, ils sont rarement utilisés. Ils ont exactement la même apparence pour l'utilisateur final, n'offrent aucun avantage tangible par rapport aux certificats DV et coûtent plus cher.
Cela laisse les certificats EV - les certificats à validation étendue sont censés nécessiter un processus de vérification approfondi pour qu'une organisation en obtienne un. Ils sont considérablement plus chers et ont toujours été traités légèrement différemment par les navigateurs en termes d'interface utilisateur.
Cependant, dans les versions récentes de Chrome, Firefox et Safari, cet indicateur a été déplacé vers une section beaucoup moins visible. Cela est dû en grande partie au fait qu'il n'y a aucune preuve que les certificats EV transmettent un niveau de confiance significatif aux utilisateurs finaux. Dans certains cas, EV peut en fait causer plus de confusion aux utilisateurs finaux. À tel point que la grande majorité des sites Web les plus populaires sur Internet passent des certificats EV aux certificats DV.
De quel type de certificat avez-vous besoin pour votre site WordPress ?
Donc, en bref, vous voulez un certificat de validation de domaine (DV) pour votre site Web WordPress. Il n'y a aucune raison réelle pour laquelle vous devriez avoir besoin d'un certificat Extended Validation (EV), surtout maintenant que les navigateurs suppriment pratiquement tout avantage d'en posséder un (en plus, ils sont assez chers aussi).
Obtention d'un certificat HTTPS
Traditionnellement, l'obtention d'un certificat HTTPS signifiait payer une redevance annuelle à une autorité de certification (CA). Le processus était manuel et assez ennuyeux pour les administrateurs.
Heureusement, en 2012, Mozilla a commencé à travailler sur ce qui est devenu connu sous le nom de Let's Encrypt ; une autorité de certification à but non lucratif gérée par Internet Security Research Group (ISRG). Il fournit des certificats HTTPS gratuitement à tout le monde. C'est sans surprise qu'elle est devenue en quelques mois la plus grande autorité de certification sur Internet.
En plus d'être simplement une autorité de certification gratuite, Let's Encrypt était révolutionnaire car c'était la première autorité de certification à utiliser le protocole ACME. Le protocole ACME permet le renouvellement automatique des certificats. Cela permet à Let's Encrypt de créer des certificats avec une durée de vie plus courte (90 jours), ce qui est plus sécurisé. De plus, les administrateurs système n'ont pas à se soucier du renouvellement de leurs certificats grâce à des outils tels que Certbot.
Let's Encrypt Limitations des certificats HTTPS
Bien qu'il existe des milliers d'articles en ligne expliquant comment faire fonctionner Let's Encrypt pour votre site Web WordPress, il est important de réaliser qu'il peut y avoir des cas où vous ne pourrez peut-être pas utiliser leurs certificats. Cela est particulièrement vrai si vous payez pour un certificat HTTPS dans le cadre de votre plan d'hébergement Web ou si vous n'avez pas le contrôle total de votre serveur Web.
Dans ce cas, vérifiez si vous pouvez utiliser un certificat Let's Encrypt auprès du support client de votre hébergeur avant de dépenser de l'argent pour un certificat. De nos jours, la majorité des services d'hébergement WordPress prennent en charge les certificats Let's Encrypt.
S'il n'est pas possible d'utiliser un certificat Let's Encrypt avec votre plan d'hébergement, vous pouvez soit avoir besoin d'un certificat HTTPS commercial, soit utiliser un service de pare-feu/CDN WordPress en ligne. La plupart d'entre eux proposent des certificats HTTPS gratuits dans le cadre de leurs services.
Configurer votre WordPress sur HTTPS
En plus d'obtenir un certificat HTTPS et d'activer HTTPS sur votre serveur Web, vous voudrez également vous assurer que votre site WordPress est également configuré pour HTTPS. Bien que vous puissiez le faire sans utiliser de plugins, il est probablement plus facile pour la plupart des administrateurs WordPress d'utiliser un plugin populaire comme Really Simple SSL. Avec un tel plugin, vous vous assurez que tous vos liens pointent correctement vers la version HTTPS de votre site Web.
Il est également important de noter que les moteurs de recherche traitent les sites Web HTTP et HTTPS comme des sites différents . Par conséquent, à moins que vous ne l'ayez déjà fait, vous devez également soumettre votre site HTTPS à la Google Search Console.
Les certificats HTTPS gratuits sont-ils vraiment bons ?
De nombreux propriétaires de sites Web WordPress sont encore sceptiques quant à l'utilisation du certificat HTTPS gratuit de Let's Encrypt. Certains craignent de donner l'image qu'ils ne prennent pas la sécurité au sérieux et craignent donc de perdre des clients. D'autres pensent que les certificats HTTPS gratuits ne sont pas aussi bons que ceux payants. Je ne les blâme pas - aucun bon produit / service n'est vraiment disponible gratuitement. Cependant, il s'agit d'un cas différent.
Let's Encrypt est gratuit pour vous en tant qu'utilisateur, mais ce n'est pas un projet gratuit. Ils peuvent émettre des certificats HTTPS gratuits grâce à des sponsors tels que Google, Facebook, Microsoft, Cisco et bien d'autres ! Disons donc que toutes ces grandes entreprises paient pour le certificat HTTPS de votre site Web WordPress.
Let's Encrypt est une autorité de certification complète. Il n'y a rien de différent, notamment en termes de capacités de cryptage, entre les certificats TLS gratuits de Let's Encrypt et un certificat payant. Cela dit, il n'y a aucun mal à payer pour un certificat HTTPS, si vous pouvez justifier le coût.
HTTPS rend-il mon site « sécurisé » ?
Malheureusement, rien n'est sûr à 100% et HTTPS ne fait certainement pas exception à cette règle. HTTPS n'est qu'une petite partie du programme de sécurité de votre site Web WordPress. Il permet:
- vos utilisateurs de se connecter en toute sécurité à votre site Web sans que leur communication soit interceptée par des regards indiscrets sur le même réseau.
- aide à relever une partie du défi constant qu'est la sécurité du site Web.
Cependant, ce n'est pas une solution miracle : bien que vous deviez sans aucun doute implémenter et appliquer HTTPS, cela ne signifie pas que vous avez terminé de sécuriser votre site Web WordPress.
Que puis-je faire d'autre pour m'assurer que mon site WordPress est sécurisé ?
Vous pouvez faire beaucoup pour améliorer la sécurité de votre site Web WordPress. Nous vous recommandons de commencer par ce qui suit :
- Utilisez un pare-feu WordPress,
- Appliquer des politiques de mot de passe WordPress fortes,
- Installez un plugin de surveillance de l'intégrité des fichiers,
- Gardez un journal de tous les changements qui se produisent sur WordPress,
- Gardez le noyau WordPress, tous les plugins, thèmes et logiciels que vous utilisez à jour.