Comment obtenir un certificat SSL gratuit et valide pour votre site Web WordPress

1. Qu'est-ce que le HTTPS ?

« HTTP » ou « HTTPS » apparaît au début de chaque URL de site Web dans un navigateur Web. HTTP signifie Hyper Text Transfer Protocol et le S dans HTTPS signifie Secure. En général, cela décrit le protocole via lequel les données sont envoyées entre votre navigateur et le site Web que vous consultez.

HTTPS garantit que toutes les communications entre votre navigateur et le site Web que vous consultez sont cryptées. Cela signifie que c'est sécurisé. Seuls les ordinateurs de réception et d'envoi peuvent voir les informations contenues dans le transfert de données (d'autres pourraient potentiellement y accéder mais ne pourraient pas les lire). Sur les sites sécurisés, le navigateur Web affiche une icône de cadenas dans la zone URL pour vous en informer.

HTTPS doit être présent sur tout site Web qui collecte des mots de passe, des paiements, des informations médicales ou d'autres données sensibles. Mais et si vous pouviez obtenir un certificat SSL gratuit et valide pour votre domaine ?

2. Comment fonctionne la sécurité du site Web ?

Vous devez installer un certificat SSL (Secure Socket Layer) pour activer HTTPS. Le certificat contient une clé publique, nécessaire pour démarrer la session en toute sécurité. Lorsqu'une connexion HTTPS à une page Web est demandée, le site Web enverra le certificat SSL à votre navigateur Web. Votre navigateur et le site lancent ensuite la « poignée de main SSL », qui implique le partage de « secrets » pour établir une connexion sécurisée entre votre navigateur et le site Web.

SSL standard ou étendu

Si le site Web utilise un certificat SSL standard, vous verrez une icône de cadenas dans la zone URL du navigateur (voir capture d'écran). S'il utilise un certificat SSL à validation étendue (EV), la barre d'adresse ou l'URL sera verte. Les normes EV SSL dépassent celles de SSL. EV SSL fournit une assurance de l'identité du propriétaire du domaine. L'obtention d'un certificat SSL EV nécessite également que les candidats passent par un processus d'évaluation rigoureux pour confirmer leur authenticité et leur propriété.

3. Pourquoi devrais-je obtenir un certificat SSL ?

Même si votre site Web ne collecte ni ne transmet de données sensibles, il existe plusieurs raisons pour lesquelles vous souhaiterez peut-être disposer d'un site Web sécurisé et rechercher un certificat SSL gratuit et valide pour votre domaine.

1. Performance. SSL peut améliorer le temps nécessaire au chargement d'une page.
2. Optimisation des moteurs de recherche (SEO). L'intention de Google est de faire d'Internet une expérience sécurisée pour tous, et pas seulement pour ceux qui utilisent Google Chrome, Gmail et Drive, par exemple. La société a déclaré que la sécurité serait un facteur dans la façon dont elle classerait les sites dans les résultats de recherche. Pour l'instant, c'est un petit. Cependant, si vous disposez d'un site Web sécurisé et que vos concurrents n'en ont pas, votre site Web pourrait être mieux classé, ce qui peut être l'avantage nécessaire pour obtenir ce clic depuis la page de résultats de recherche.
3. Confiance. Si votre site Web n'est pas sécurisé et qu'il collecte des mots de passe ou des cartes de crédit, les utilisateurs de Chrome version 56 (publiée en janvier 2017) verront un avertissement indiquant que le site n'est pas sécurisé (voir capture d'écran ci-dessous). Les visiteurs non avertis en technologie (la majorité des utilisateurs du site Web) peuvent s'alarmer en voyant cela et quitter votre site, simplement parce qu'ils ne comprennent pas ce que cela signifie. D'un autre côté, si votre site est sécurisé, cela pourrait mettre les visiteurs à l'aise, les rendant plus susceptibles de remplir un formulaire d'inscription ou de laisser un commentaire sur votre site. Google a un plan à long terme pour afficher tous les sites HTTP comme non sécurisés dans Chrome.

4. Où puis-je obtenir un certificat SSL gratuit ?

Vous obtenez un certificat SSL auprès d'une autorité de certification. Certaines sources gratuites fiables sont :

• Let's Encrypt : certificats valables 90 jours, renouvellement recommandé à 60 jours
• Cloudflare : gratuit pour les sites Web et blogs personnels
• FreeSSL : gratuit pour les organisations à but non lucratif et les startups pour le moment ; ne peut pas être un client Symantec, Thawte, GeoTrust ou RapidSSL
• StartSSL : certificats valables 1 à 3 ans
• GoDaddy : certificats gratuits pour les projets open-source, valables 1 an

Le type de certificat et la durée de validité varient selon les autorités. La plupart des autorités proposent gratuitement des certificats SSL standard et facturent les certificats SSL EV, si elles les fournissent. Cloudflare propose des forfaits gratuits et payants et diverses options complémentaires.

5. Que dois-je prendre en compte lors de l'obtention d'un certificat SSL ?

Google recommande un certificat avec une clé de 2 048 bits. Si vous disposez déjà d’un certificat de 1 024 bits, qui est plus faible, ils vous recommandent de le mettre à niveau.

Vous devrez décider si vous avez besoin d’un certificat unique, multi-domaine ou générique :

• Un seul certificat serait destiné à un seul domaine (par exemple, www.example.com).
• Un certificat multidomaine serait destiné à plusieurs domaines bien connus (par exemple, www.example.com, cdn.example.com, example.co.uk).
• Un certificat générique serait destiné à un domaine sécurisé comportant de nombreux sous-domaines dynamiques (par exemple, a.example.com, b.example.com).

6. Comment installer un certificat SSL ?

Votre hébergeur peut installer le certificat gratuitement ou moyennant des frais. Certains hébergeurs disposent en fait d'une option d'installation Let's Encrypt dans leur tableau de bord cPanel, ce qui facilite la réalisation vous-même. Demandez à votre hébergeur actuel ou trouvez-en un qui offre une prise en charge directe pour Let's Encrypt. Si votre hébergeur ne fournit pas ce service, la société de maintenance ou le développeur de votre site Web peut installer le certificat pour vous.

Vous devez vous attendre à devoir renouveler le certificat de temps en temps. Vérifiez le délai auprès de l'autorité de certification.

Pour une mise en œuvre la plus simple, associez-vous simplement à un fournisseur d’hébergement entièrement géré et il s’occupera de tout pour vous. Un ticket d'assistance rapide et c'est fait !

7. Que dois-je faire d’autre ?

Forcer SSL

Après avoir obtenu et installé le certificat SSL, vous devez forcer SSL sur le site. Là encore, vous pouvez demander à votre hébergeur, société de maintenance ou développeur de le faire. Cependant, si vous préférez le faire vous-même et que votre site Web est sous WordPress, vous pouvez le faire en téléchargeant, en installant et en utilisant un plugin.

Lorsque vous utilisez un plugin, veillez à vérifier sa compatibilité avec votre version de WordPress, les avis et les instructions d'installation. Deux plugins populaires pour forcer SSL sont :

• SSL vraiment simple
• WP Forcer SSL

Assurez-vous d’abord de sauvegarder votre site et soyez très prudent lors de son exécution. Si vous configurez mal quelque chose, cela pourrait avoir des conséquences désastreuses :

• les visiteurs ne pouvant pas voir votre site Web,
• les images ne s'affichent pas,
• les scripts ne se chargent pas, ce qui affecterait le fonctionnement de certaines choses sur votre site,
• la typographie et les couleurs n'apparaissent pas correctement.

Configurer les redirections 301 côté serveur

Vous devez rediriger les utilisateurs et les moteurs de recherche vers les pages HTTPS via des redirections 301 dans le fichier .htaccess du dossier racine du serveur. Le fichier .htaccess est un fichier invisible, alors assurez-vous que votre programme FTP est configuré pour afficher les fichiers cachés. Dans FileZilla, par exemple, allez dans Serveur > Forcer l'affichage des fichiers cachés (voir capture d'écran).

Avant d'ajouter les redirections, ce serait une bonne idée de sauvegarder votre fichier .htaccess. Sur le serveur, renommez temporairement le fichier en supprimant le point (ce qui le rend invisible en premier lieu), téléchargez le fichier (qui sera désormais visible sur votre ordinateur suite à la suppression du point), puis ajoutez à nouveau le point. à celui du serveur.

Modifier les paramètres d'analyse

Après avoir suivi ces étapes, vous devrez modifier l'URL préférée dans votre compte Google Analytics pour afficher la version HTTPS de votre domaine. Sinon, vos statistiques de trafic seront erronées car la version HTTP de l'URL est considérée comme un site Web complètement différent de la version HTTPS.

Google Search Console traite également HTTP et HTTPS comme des domaines distincts, ajoutez donc le domaine HTTPS dans ce compte.

Gardez à l’esprit que lorsque vous passez de HTTP à HTTPS, si des boutons de partage social sont activés sur votre site, le nombre de partages sera réinitialisé.

Et c'est ainsi que vous procédez pour installer un certificat SSL gratuit et valide pour votre domaine et crypter vos données pour les protéger. Les certificats SSL font partie de l’avenir de la sécurité WordPress, alors procurez-vous le vôtre ou restez à l’âge de pierre.

Vous souhaitez donner votre avis ou participer à la conversation ? Ajoutez vos commentaires sur Twitter.

Enregistrer Enregistrer

Enregistrer Enregistrer