LINUX ♥ ROUEN ♥ Normandie implémente SSL et passe en HTTPS
L’utilisation du HTTPS (avec SSL) est un outil pour la sécurité des sites web/blog, mais aussi un nouvel outil d’optimisation (SEO – Search Engine Optimization) pour les moteurs de recherche.
♦ Définitions SSL, HTTPS & Certificat SSL
SSL (ou TLS) : Secure Sockets Layer (ou Transport Layer Security) est un protocole de sécurisation des échanges sur Internet, développé à l’origine par Netscape. C’est le standard technologique de sécurité pour établir un lien crypté entre un serveur web et un navigateur. Ce lien garantit que toutes les données échangées entre le serveur web et les navigateurs restent privées et inviolables pour empêcher l’espionnage et la falsification.
HTTPS : HyperText Transfer Protocol Secure, littéralement protocole de transfert hypertexte sécurisé est la combinaison du HTTP (non sécurisé) avec une couche de chiffrement SSL ou TLS. Le HTTPS permet au visiteur de vérifier l’identité du site web auquel il accède, grâce à un certificat d’authentification émis par une autorité tierce, réputée fiable. Il garantit théoriquement la confidentialité et l’intégrité des données envoyées par l’utilisateur (comme les informations entrées dans les formulaires) et reçues du serveur. Il permet de valider l’identité du visiteur, si celui-ci utilise également un certificat d’authentification client.
Certificats SSL : Générer de la confiance, protéger la confidentialité des données de votre site Web, chiffrer les transactions de votre site e-commerce et améliorer votre référencement sur Internet grâce à un certificat d’authentification émis par une autorité tierce, réputée fiable.
En résumé, le SSL (ou TLS) est la norme qui définit comment seront cryptées les connexions via HTTPS et le Certificat SSL authentifie le propriétaire du nom de domaine (DV), voire celui du site Internet (EV) !
♦ Pourquoi choisir un Certificat SSL et lequel ?
Aujourd’hui, votre image de marque est étroitement associée au degré de sécurité proposé par votre site Internet ou votre blog. Pour être crédible, ceux-ci doivent être consultables via une connexion HTTPS. Celle-ci est effective lorsqu’un cadenas vert s’affiche au sein de la barre d’adresse des navigateurs (FIREFOX, Chromium, Opéra, Chrome, Edge, Safari, etc.). Les internautes sont alors informés que le contenu du site Internet ou du blog consulté provient d’une source sûre et non piratée.
Ce dispositif garantit également la confidentialité des données qui transitent entre le navigateur et le site web/blog. Il nécessite qu’une autorité de certification valide au préalable le Certificat SSL (Secure Sockets Layer) du site web/blog correspondant. En effet, l’algorithme de Google (ayant une position hégémonique) l’intègre désormais au sein de ses critères d’appréciation pour définir la position d’un site dans son référencement Internet.
Les 3 types de Certificats SSL « certifiés »
- Le Certificat SSL EV (Extended Validation) – niveau le plus élevé
Dans le cas d’un Certificat EV, l’identité de l’entreprise propriétaire du site Internet est inscrite à l’intérieur de celui-ci. On y trouve entre autre : La raison sociale, la ville, le département ainsi que le pays dans lequel le siège social est basé. - Le Certificat SSL OV (Organization Validation) – peu utilisé
Le Certificat SSL OV (validation de l’organisation) est similaire au EV. Il se distingue par le fait que la raison sociale n’est pas affichée dans la barre d’adresse URL mais uniquement à l’intérieur du certificat SSL. Il n’active donc pas la barre d’adresse verte. - Le Certificat SSL DV (Domain Validation) – le « moins cher » et le plus utilisé
Pour le Certificat SSL DV, les AC (Autorités de Certification) ne vérifient pas l’identité du propriétaire du site Internet. Ils s’assurent simplement que le titulaire du nom de domaine à sécuriser a bien donné son accord pour l’émission d’un SSL DV pour cette adresse. Ce certificat active néanmoins le cadenas vert de sécurité et permet bien entendu l’utilisation du protocole HTTPS.
Donc, tous les Certificats SSL ne se valent pas. Seuls les Certificats SSL EV (Extended Validation), mais les plus onéreux (plusieurs centaines d’euros/an, voire plus), peuvent garantir que le site web visité est bien administré par la société éditrice et que celle-ci existe juridiquement. Lorsque vous consultez un site Internet sécurisé par un Certificat SSL EV, ce dernier fait apparaître le nom de l’entreprise correspondante à proximité du fameux cadenas vert.
Une alternative, pour les sites web/blog de particuliers, d’associations, de TPE, voire de PME/PMI, est le Certificat SSL DV (Domain Validation) comme celui de Let’s Encrypt. Ce type de Certificat SSL certifie seulement que le site Internet est bien sécurisé. Mais aucune Autorité de Certification n’a vérifié et/ou validé l’identité du propriétaire du site internet.
Les Certificats SSL de type DV, gratuit comme celui de Let’s Encrypt ou d’autres payants (plusieurs dizaines d’euros/an, voire plus), seront utilisés pour les sites Internet qui ont juste besoin d’une connexion HTTPS (connexion sécurisée), ou une connexion sécurisée pour Webmail, Intranet, etc. Ce type de Certificat SSL est idéal si vous avez un besoin urgent de protéger à peu de frais les communications entre votre site web et ses utilisateurs, ainsi que d’améliorer votre classement par les moteurs de recherche.
♦ Certificat SSL DV « gratuit » sur tous les hébergements web d’OVH
OVH – l’hébergeur du site web de LINUX ♥ ROUEN ♥ Normandie – a eu la très bonne idée d’installer récemment et d’activer par défaut un Certificat SSL DV « gratuit » sur tous ses hébergements web.
Le protocole HTTPS est activé automatiquement à la création de votre nouveau site Internet. Le cryptage SSL est installé par défaut sur tous les hébergements web d’OVH. Aucune compétence spécifique n’est requise pour assurer la configuration et le renouvellement automatique des Certificats DV de Let’s Encrypt tous les trois mois. C’est un grand plus pour tous les webmestres par rapport à d’autres offres d’hébergement.
Pour un site web/blog déjà existant comme celui-ci, il faudra faire une dizaine d’adaptations et de modifications plus ou moins lourdes : 1. Passer de HTTP à HTTPS (console WordPress) avec mise à jour des URL, 2. Rediriger tous les liens HTTP vers HTTPS (fichier .htaccess) pour éviter les contenus dupliqués, 3. Vérifier et corriger si nécessaire les ressources (comme les plugins) chargées par votre thème WordPress, 4. Vérifier et corriger les contenus mixtes de toutes vos pages web/blog (en particulier pour les médias type image, audio et vidéo), 5. Forcer le HTTPS pour l’administration du site (fichier wp-config.php), 6. Mettre à jour le fichier robots.txt (pour dire aux robots d’indexation ce qu’ils peuvent faire sur votre site), 7. Mettre à jour votre site dans Google Search Console et autres, 8. Tester votre certificat SSL/TLS, et enfin 9. Vérifier et revérifier le bon fonctionnement de tout votre site web/blog sous HTTPS.
Let’s Encrypt représente un projet Open Source soutenu par de multiples entreprises dont OVH. La certification est reconnue par les navigateurs web les plus populaires. Le plus d’OVH est de les mettre à disposition de manière simple et automatisée dans le seul de but de favoriser des connexions sécurisées sur Internet. Pour information, en 2016, OVH a généré près d’1,5 millions de Certificats Let’s Encrypt pour les sites web de ses clients.
Des échanges sécurisés avec le protocole HTTPS
Le protocole HTTPS permet, en établissant une connexion chiffrée à l’aide d’un certificat X509 (RSA 2.048 bits et plus) et de la norme TLS (Transport Layer Security) entre les ordinateurs de vos visiteurs et le serveur sur lequel est hébergé votre site, de réduire les risques d’interception de données personnelles ou bancaire par exemple. L’affichage d’un cadenas vert dans la barre de navigation indique que votre site est sécurisé et authentifié par une autorité de certification reconnue.
- Certificat SSL DV + SSL as a Service = Un boost pour votre référencement
Les certificats DV (Domain Validation) vérifient que l’organisation en question possède le droit exclusif d’utilisation du nom de domaine pour lequel elle souhaite recevoir le certificat. Ainsi, un certificat numérique permet de sécuriser les flux d’information transmis entre le site et les internautes. Le certificat SSL activera le protocole HTTPS, par défaut et gratuitement. D’une durée de validité de 90 jours, il sera renouvelé automatiquement sans aucune intervention de la part de l’utilisateur. En plus de sécuriser les échanges d’informations sur votre site, avoir un site web accessible en HTTPS permet d’avoir un meilleur positionnement auprès du moteur de recherche de Google (le moteur de recherche hégémonique) qui a lui seul représente plus de 90% des recherches en France.
♦ Comment fonctionne le Certificat SSL DV d’OVH ?
La sécurité apportée par SSL repose sur 2 principes
La Technologie SSL (Secure Socket Layer) est utilisée pour sécuriser la transmission de données sur Internet : elle chiffre et protège les données transmises à l’aide du protocole HTTPS. Le SSL garantit aux visiteurs de votre site web que leurs données ne seront pas interceptées de manière frauduleuse.
- Le chiffrement des informations
- Toutes les données véhiculées sont rendues inintelligibles sauf entre le visiteur établissant la connexion et le serveur sur lequel le site web se situe.
- Le chiffrement SSL est la base de l’intégrité et de la confidentialité des données.
- L’authentification
- Le Certificat SSL DV proposé par OVH ne garantit pas l’identité du site auprès d’une Autorité de Certification. Il permet néanmoins l’authentification des échanges réalisés entre un internaute et les serveurs d’OVH, nécessaire à la sécurisation des transferts de données.
L’authentification d’un Certificat SSL génère la création d’une paire de clefs numériques (sorte de carte d’identité numérique)
- La clef privée
- Elle est installée sur le serveur d’OVH. C’est cette clef qui crée le cachet de certification de votre site.
- La clef publique
- C’est l’autre partie du Certificat SSL qui est également installé sur votre site. Elle permet aux visiteurs de votre site de chiffrer automatiquement leurs informations, ce qui est très utile s’ils ont besoin de communiquer des données sensibles (numéro de carte bancaire, numéro de SSN, etc.). Les données sont chiffrées avant d’être envoyées. La clef privée, est la clef miroir, elle seule pourra déchiffrer les informations.
♦ L’utilisation du HTTPS (avec SSL), un nouvel outil pour le SEO (Search Engine Optimization) ? C’est officiel depuis maintenant… plus de deux ans…
Big Brother GOOGLE – le moteur de recherche hégémonique utilisé par près de 90% des utilisateurs français d’Internet (malheureusement pour notre vie privée et nos libertés) – va bien prendre en compte à partir de début de 2017 le HTTPS (HyperText Transfer Protocol Secure) dans son algorithme de référencement naturel (SEO). Une raison de plus pour sécuriser au plus tôt son site web avec un certificat SSL (Secure Sockets Layers) de type DV ou EV.
Quel rapport avec le référencement ?
Pour apparaître et être positionné dans les moteurs de recherche, pas que celui de l’ogre Google, chaque site Internet est soumis à un algorithme très spécifique. Il existe de nombreux moyens d’optimiser ses pages pour bénéficier d’une place de choix dans leurs classements des résultats. L’utilisation du protocole HTTPS est désormais un critère pris en compte par la firme de Mountain View.
« Prenons le cas de deux sites égaux en tous points. Celui possédant un certificat SSL, et donc appelant le protocole HTTPS, passera devant dans l’ordre d’apparition des résultats de recherche », explique Rémi Bacha, SEO Manager chez OVH. « Ce n’est certes qu’un critère parmi d’autres, mais il n’est pas à négliger, d’autant plus que le SSL apporte de nombreux autres avantages. »
♦ Big Brother Google va bientôt exiger le HTTPS pour quasiment tous les sites Web
Dans un futur proche, Google va afficher un cadenas avec une croix rouge pour montrer un site qui n’est pas sous HTTPS. Une façon d’inciter tout le monde à utiliser un certificat SSL et à utiliser la connexion en HTTPS.
Le HTTPS se démocratise progressivement. Les choses se sont accélérées durant 2016 après de multiples annonces de Google dans ce sens, mais surtout avec des initiatives Open source comme Let’s Encrypt qui propose des certificats SSL gratuits pour tous les utilisateurs, comme chez OVH. Et il semble que Google veut aller plus loin en affichant un signe particulier pour les sites qui persisteraient à rester en HTTP normal.
L’équipe de sécurité de Google Chrome (son navigateur propriétaire qui vous espionne et vous flique pour votre plus grand bonheur) avait proposé en 2014 que tous les sites qui sont en HTTP soient considérés comme non-sécurisés. Par la suite, Google était resté un peu discret en promouvant le HTTPS et le certificat SSL dès qu’il le pouvait, mais les choses sont devenues plus claires pendant la conférence Unix Enigma (à San Franscisco en Janvier 2016). Pendant cette conférence, Google a fait une présentation où il montrait une capture d’écran d’un site qui n’était pas en HTTPS arborant sa fameuse croix rouge.
On ignore le degré réel de pénalisation, mais c’est une incitation très forte pour les webmestres à passer leurs sites sous HTTPS. On peut penser à une pénalisation indirecte où une requête d’un site HTTPS sera mise en avant par rapport à un site en HTTP normal. L’ambition est que tout le Web passe en HTTPS, mais cela risque d’être difficile, surtout pour les petits sites. Comme on l’a mentionné, Let’s Encrypt permet de faciliter le processus, mais on rencontre souvent des problèmes de mise en place et il faudra du temps et des documentations claires et complètes, et non éparpillées, pour passer n’importe quel site en HTTPS.
Le message de Google est donc très clair. Si vous avez les moyens et les connaissances, passez en HTTPS dès que possible, car le futur est incertain pour les sites qui resteront en clair (HTTP) !
♦ Big Brother Google : ses recommandations pour la migration des sites Internet
Google vient de mettre à jour ses recommandations concernant la migration d’un site internet avec changement d’URL. Le moteur de recherche conseille désormais deux approches différentes en fonction de la taille des sites internet.
Que vous souhaitiez passer d’HTTP à HTTPS ou simplement changer de nom de domaine, la migration de site Internet est toujours une étape délicate à aborder avec le maximum de précautions pour ne pas risquer de trop altérer le SEO de son site internet. Google propose depuis déjà quelques années bon nombre de ressources en ligne qui indiquent les bonnes pratiques à suivre pour minimiser les risques et ces dernières viennent d’être mise à jour par le moteur de recherche.
Désormais, Google recommande 2 approches distinctes pour les sites en fonction de leur taille
- Pour les petits et sites de taille moyenne, Google recommande de migrer l’intégralité du site en une seule fois pour rendre la prise en compte du changement d’URL plus rapide par Google.
- Pour les gros sites, Google recommande désormais plutôt de procéder au changement d’URL section par section pour rendre plus aisé la détection, la gestion et la correction d’éventuels problèmes.
♦ WordPress : certaines fonctionnalités nécessiteront très bientôt le HTTPS
Matt Mullenweg, le créateur de WordPress, a annoncé début décembre 2016 (Moving Toward SSL) que le CMS le plus populaire au monde va réserver certaines fonctionnalités au HTTPS. Les authentifications via API (Application Programming Interface) sont citées en exemple.
L’adoption du HTTPS est une tendance de fond qui gagne le Web. Elle est promue par des acteurs qui ont un poids considérable sur la Toile : Google en veut partout, et Mozilla ou Apple ont d’ores et déjà indiqué qu’ils voulaient voir davantage ce protocole sécurisé. Le dernier acteur influent à afficher clairement cette volonté est WordPress, par la voix de son créateur Matt Mullenweg. Ce dernier considère le SSL, c’est-à-dire le HTTPS, comme une évolution nécessaire, comme le fut JavaScript. C’est pourquoi le CMS WordPress va agir pour pousser son adoption.
Cela va commencer, dès « début 2017 », par une volonté de limiter la promotion des partenaires hébergeurs à ceux qui fournissent un certificat SSL par défaut. « Plus tard », les fonctionnalités de WordPress qui bénéficient le plus du SSL seront ensuite sélectionnées, et elles finiront par n’être proposées que lorsque le protocole sécurisé est utilisé. Le seul exemple cité pour l’heure concerne les authentifications via API. Matt Mullenweg n’a pas donné plus de détail, sur les modalités, le calendrier, ou encore sur les autres technologies qui seront réservées au SSL. 2017 est toutefois qualifié de « tournant historique », et le CMS le plus populaire au monde montre là bien son intention de jouer un rôle clé dans l’adoption du protocole sécurisé SSL/HTTPS.
♦ SSL/HTTPS sur le plan technique
Secure Sockets Layer (SSL) est un protocole de sécurisation des échanges sur Internet fonctionnant suivant un mode client-serveur.
Pour bénéficier du service SSL, vous devez posséder un site Internet hébergé chez un hébergeur performant, comme OVH. Vous pouvez activer le protocole HTTPS en quelques clics, par l’intermédiaire de l’espace client. Chez OVH, il est activé par défaut depuis quelques mois. Cette option est compatible avec les hébergements Web sous Linux, ainsi qu’avec les produits disposant de l’option d’IP Load Balancing (serveurs dédiés, Dedicated Cloud, VPS).
Il faut cependant savoir qu’en matière de SEO, le passage de HTTP à HTTPS implique une migration complète du site web/blog, ce qui n’est pas à la portée de tous les webmestres, ainsi qu’un changement de tous les liens absolus internes.
Tous les aspects techniques doivent donc être pris en compte lors d’une telle opération. Vous devrez également vous assurer que tous les éléments présents sur toutes les pages de votre site web/blog, médias (images notamment), ou les plugins de votre CMS utilisent bien le protocole HTTPS.
Diverses solutions techniques de migration de HTTP (non sécurisé) vers HTTPS (sécurisé) existent pour un passage plus ou moins en douceur… mais sortent du cadre de cet article.
Gardons en mémoire que pour Edward Snowden (le « fameux » lanceur d’alertes), la collecte massive et en constante augmentation, sur Internet, des données personnelles et professionnelles de chacun par de grandes entreprises (comme les infâmes GAFAM : Google, Apple, Facebook, Amazon, Microsoft, et Consorts) représente une menace de plus en plus importante contre nos libertés individuelles : « Nous devons réfléchir à l’échelle mondiale et pas seulement au niveau local ou national. »