En 2017, sécurisez vos sites, passez au HTTPS

Depuis janvier 2017, la nouvelle version du navigateur web Google Chrome (v56) affiche dans la barre d’URL un message d’alerte pour tous les sites ne présentant pas d’accès sécurisé (HTTPS). Plus particulièrement dans le cas des sites e-commerce et tout ceux manipulant des données personnelles (cartes bancaires, informations de profil,…).

Google indique donc très clairement la tendance, c’est à dire la pénalisation des sites non sécurisés.

En tant que e-marchand, les accès aux plate-formes Google Shopping et à la classification Google marchand de confiance sont exclusivement destinés aux sites sécurisés, disposant donc d’un certificat SSL.

La plate-forme WordPress.org indique également ne référencer que les hébergeurs proposant dans leur offre de base la présence d’un certificat SSL (Secure Socket Layer).

Mozilla Firefox (v51) emboîte également le pas à Google Chrome avec un système d’avertissement similaire (icône de verrou gris barré en rouge).

De plus en plus d’internaute refusent l’achat sur des plateformes non sécurisées. Ne risquez plus de voir vos clients partir chez la concurrence.

Le SSL ou TLS (Transport Layer Security son successeur) est la couche de chiffrement assurant la sécurité du protocole de communication HTTP.

L’objectif d’un certificat SSL est de crypter les communications entre le client et le serveur. Ainsi les échanges deviennent sécurisés. Délivré par un organisme faisant autorité, le certificat SSL s’applique au niveau de votre nom de domaine. Dans la pratique le passage en HTTPS (Hypertext Transfer Protocol Secure) au lieu du classique HTTP (Hypertext Transfer Protocol) constitue une étape relativement délicate. En effet celle-ci est similaire à un changement de nom de domaine et nécessite une attention toute particulière pour ne pas pénaliser le référencement de votre site.

Inventés en 1994 par Netscape, en collaboration avec des entreprises du milieu bancaire (Mastercard, Bank of America), le SSL devient progressivement une norme.

En HTTP, vos données transitent en clair de serveur à serveur avec un risque important en terme de sécurité (espionnage, altération des données). HTTPS assure que seul le serveur cible pourra récupérer et lire le contenu de ces données.

Dans un tel cas vous voyez apparaître un cadenas vert dans la barre d’URL. Vous êtes en présence d’un site de confiance. On parle d’éléments de rassurance.

HTTPS

Là où dans le cas contraire vous verrez apparaître Ce site n’est pas sécurisé.

Les autorités en charge de fournir ces certificats peuvent également attester de l’existence de votre société au moment où le certificat vous a été délivré (SSL EV). Dans ce cas apparaît à côté du cadenas vert présent dans la barre d’URL, le nom de votre société.

Ceci garanti à votre visiteur d’être sur le bon site et non sur un site ayant usurpé votre identité (voir mon article sur le phishing).

Plusieurs types de certificats SSL existent avec des degrés de cryptage fonctions de la confidentialité des données et communications (128 bits, 256 bits,…).

Quelques organismes de sécurité en charge de signer et délivrer des certificats SSL: GlobalSign, GeoTrust, Simantec,…

Simantec

 

Bénéfices pour une boutique en ligne:

  • Réduction du taux de rebond
  • Baisse de l’abandon panier
  • Augmentation du taux de conversion
  • Meilleure image de marque

 

Les étapes clés:

  1. Choisir et acheter un certificat SSL
  2. Configurer son serveur en conséquence (activation du mod_ssl, configuration du pare-feu pour le port 443,…)
  3. Sauvegarde complète du site
  4. Configurer son CMS, sa boutique (préférences SEO, wp-config.php, …)
  5. Vérification de la présence de contenu mixte (HTTP et HTTPS)
  6. Redirections permantes 301 (faire pointer les anciennes pages HTTP vers les nouvelles en HTTPS – .htaccess). Ces redirections éviteront également le phénomène de duplicate content
  7. Inscription du site dans Google Webmaster Tools avec envoi d’un sitemap.xml spécifique, et modification de l’URL par défaut (Changement d’adresse)
  8. Mise à jour compte Google Analytics
  9. Suivi des erreurs 404, corrections des liens internes (ex. ressources CSS, Javascript, images, …) et éventuelles boucles de redirection

 

À noter qu’un certificat SSL a une durée de vie et doit être régulièrement renouvellé.

Let’s encrypt (https://letsencrypt.org/) met gratuitement à disposition des certificats SSL dans une but de démocratisation de la sécurité du net. De plus en plus d’hébergeurs web propose une installation automatique de ces derniers (ex. O2SWITCH). Cependant ces derniers s’avèrent moins sécurisés et n’assurent pas de fonds de garantie financière.

Selon le besoin, un certificat SSL, coûtera de quelques dizaines d’euros à quelques centaines.

Vous comptez passer au HTTPS mais vous ne savez pas quel certificat choisir?

Vous avez peur d’effectuer une mauvaise manipulation?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.