Mais qu’est ce que c’est le SSL / HTTPS ?
SSL : Secure Sockets Layer est un protocole de sécurisation des échanges sur Internet, développé à l’origine par Netscape. C’est le standard technologique de sécurité pour établir un lien crypté entre un serveur web et un navigateur. Ce lien garantit que toutes les données échangées entre le serveur web et les navigateurs restent privées et inviolables pour empêcher l’espionnage et la falsification.
HTTPS : HyperText Transfer Protocol Secure, littéralement « protocole de transfert hypertexte sécurisé » est la combinaison du HTTP avec une couche de chiffrement SSL ou TLS. Le HTTPS permet au visiteur de vérifier l’identité du site web auquel il accède, grâce à un certificat d’authentification émis par une autorité tierce, réputée fiable. Il garantit théoriquement la confidentialité et l’intégrité des données envoyées par l’utilisateur (notamment les informations entrées dans les formulaires) et reçues du serveur. Il permet de valider l’identité du visiteur, si celui-ci utilise également un certificat d’authentification client.
La différence entre HTTP / HTTPS
Il y a de nombreux critères qui différencient HTTP de HTTPS, voici les 3 principaux:
- Le schéma d’URL : Les URLs HTTPS commencent par « https: // » et utilise le port 443 par défaut, tandis que les URLs HTTP commencent par « http: // » et utilisent le port 80.
- La sécurité : HTTP n’est pas sécurisé et est soumis à de nombreuses attaques, qui peuvent laisser des attaquants avoir accès à des informations sensibles, en revanche un site Web tout en HTTPS est conçu pour résister et protéger contre de telles attaques.
- Les couches réseau : HTTP fonctionne sur la couche la plus élevée du modèle TCP/IP qui est la couche application. Le protocole sécurisé SSL lui fonctionne comme une sous-couche inférieure du même modèle TCP/IP, mais il crypte le message HTTP avant sa transmission et la déchiffre à l’arrivée. On peut donc dire que HTTPS n’est pas un protocole séparé, mais se réfère à l’utilisation du HTTP ordinaire via une connexion SSL cryptée.
Pourquoi utiliser le HTTPS ?
Le HTTPS est particulièrement utile sur les réseaux non cryptés (tel que le réseau Wi-Fi), ou n’importe qui sur le même réseau local peut « renifler » via packet sniff les données et accéder des informations sensibles.
Lorsque vous servez du contenu depuis votre site via HTTPS, vous avez la garantie que personne ne va changer la façon dont les informations sont reçues par les utilisateurs. Si vous faites du business en ligne, vous aurez besoin du SSL. C’est la meilleure façon de protéger les données de vos utilisateurs et de vous défendre contre l’usurpation d’identité.
De plus en plus d’internautes refusent d’effectuer des transactions sur un site qui ne dispose pas d’un certificat SSL. Au final, afficher son certificat SSL sur le site indique aux clients qu’ils peuvent faire leurs achats et utiliser votre site Web en toute confiance et qu’ils seront protégés.
Pour un meilleur référencement ? Les sites sécurisés via SSL bénéficient en outre, d’un avantage pour leur référencement dans les pages de résultats de recherche. C’est ce qu’a annoncé Google qui inclut aujourd’hui le chiffrement des sites à sa liste de critères de positionnement
1 – Obtenir un certificat SSL
A – Acheter un certificat SSL
Il existe de nombreux sites qui proposent l’achat de certificats SSL : Media Temple, GoDaddy, SSLs.com, OVH, Comodo et Namecheap.
Quel certificat choisir ?
Il existe différents types de certificats SSL :
- Validation Domaine c’est le certificat type et généralement le moins cher. Ces certificats permettent le cryptage de base, sont délivrés très rapidement et nécessitent une simple vérification pour la propriété du domaine.
- Validation Entreprise : Ces certificats incluent l’authentification de l’entreprise et/ou de l’organisation propriétaire du domaine.
- Validation Étendue : Avec ce type de validation, l’autorité de certification procède à un examen en profondeur de votre entreprise avant d’émettre le certificat. Ce certificat SSL offre le plus haut degré de sécurité.
Activer son certificat SSL
Il existe autant de possibilités que d’hébergements et la procédure est différente selon votre fournisseur (dédié, VPS, Mutualisé,…), je vous invite donc à lire la documentation de votre fournisseur de certificat pour son activation.
B – Obtenir un certificat Gratuit
2 – Déménager WordPress de HTTP –> HTTPS
Pour placer votre WordPress en HTTPS vous devez changer les permaliens du site de HTTP en HTTPS.
Tous les liens dans WordPress (tels que les images jointes, CSS des thèmes, fichiers JavaScript) sont liés à l’URL d’installation, aussi pour changer votre WordPress de http en https, l’URL d’installation doit être changée: de http://monsite.com en https://monsite.com
Connectez-vous à votre tableau de bord WordPress et accédez à Réglages>>Général. Assurez-vous que l’ adresse de WordPress (URL) et l’adresse du site (URL) soient bien en https.
Pour activer facilement (et imposer) l’administration de WordPress sur SSL, la constante FORCE_SSL_ADMIN doit être réglée sur « TRUE » dans votre fichier wp-config.php pour forcer toutes les connexions et toutes les sessions d’administration à se produire sur SSL.
define ( 'FORCE_SSL_ADMIN' , true);
Si votre WordPress utilise un réseau de diffusion de contenu (CDN) pour servir ses composants (images, JavaScript, feuilles de style CSS), vérifiez que toutes les URLs soient bien en HTTPS sinon le certificat de votre site ne sera pas jugé satisfaisant par les navigateurs Web.
Penser au SEO
Maintenant que WordPress a été déplacé avec succès en HTTPS, Il faut ajouter une redirection 301 permanente, ajoutez le code ci-dessous dans votre fichier .htaccess.
RewriteEngine on RewriteCond% {HTTP_HOST} ^ votresite.com [NC, OR] RewriteCond% {HTTP_HOST} ^ www.votresite.com [NC] (*). RewriteRule ^ $ https: //www.votresite.com/$1 [L, R = 301, NC]
- Conseil : Recherchez toutes les URLs commençants par http://… dans votre code source. On a parfois de vraies surprises…
Forcer le https pour les URLs canoniques de votre site et c’est d’autant plus facile si vous utilisez le plugin SEO by Yoast (à régler depuis SEO>>Permaliens)
Enfin, n’oubliez pas d’informer Google via Google Webmaster Tools de ce changement. Il suffit de valider votre nouveau domaine en HTTPS et de déclarer le transfert.