Share
Si vous utilisez Chrome 56 (ou une version ultérieure), vous avez peut-être remarqué que certaines pages HTTP sont marquées comme non sécurisées. Cela a été introduit en janvier 2017, mais uniquement pour les pages qui collectent des mots de passe ou des données de carte de crédit. Cela fait partie du plan de Google visant à passer à un site Web plus sécurisé. Finalement, ils veulent étiqueter toutes les pages HTTP comme «non sécurisées» et remplacer l'indicateur de sécurité HTTP par le triangle rouge utilisé pour les connexions HTTPS rompues..
Passer à HTTPS peut en valoir la chandelle après tout. Mais comment cette connexion sécurisée est-elle activée? Et quels sont les avantages? Découvrons-le.
HTTPS signifie Protocole de transfert hypertexte sécurisé de. La différence la plus évidente avec HTTP est la partie «sécurisée». La connexion est cryptée, ce qui empêche la lecture des données si elles sont interceptées..
Pour que cette connexion sécurisée fonctionne, l'expéditeur et le destinataire utilisent un code pour chiffrer ou déchiffrer le message. Ce processus se fait via un certificat SSL.
Les certificats SSL sont basés sur la cryptographie à clé publique.
Cette technique de cryptage utilise deux clés: une clé privée et une clé publique (les deux sont essentiellement un ensemble de nombres générés aléatoirement). La clé publique est disponible dans le domaine public. Si John veut envoyer un message à Carol, il peut utiliser la clé publique de Carol pour le chiffrer. Le seul moyen de déchiffrer le message consiste à utiliser la clé privée de Carol. Si un pirate informatique intercepte le message, il sera illisible car il n'a pas la clé privée de Carol pour le déchiffrer..
Il existe actuellement trois types de certificats SSL:
Une validation de domaine SSL est la version la plus basique. Il vérifie si le détenteur SSL a le droit d'utiliser un domaine spécifique. Il est relativement facile à utiliser et ne nécessite pas de paperasse importante.
Le SSL de validation d'organisation est basé sur le SSL de validation de domaine, avec l'ajout d'une vérification de l'organisation. Ces informations sont affichées lorsqu'un utilisateur clique sur le cadenas dans la barre d'adresse de son navigateur..
Une validation étendue SSL fournit la sécurité la plus élevée. Les vérifications de ce type de certificat SSL sont très approfondies (basées sur les directives strictes relatives aux EV) et comprennent:
Le certificat SSL que vous choisissez est un choix personnel. Pour un site Web de petite entreprise, un SSL de validation de domaine est probablement suffisant. Mais si vous sécurisez une grande boutique en ligne, le protocole Extended Validation SSL peut constituer un bon investissement. Pourquoi? Parce que ce certificat active un cadenas vert avec le nom de l'organisation dans la barre d'adresse de votre navigateur, ce qui renforcera la confiance des visiteurs dans votre site..
Les certificats SSL peuvent être achetés auprès de plusieurs fournisseurs (nommés «Autorités de certification»), tels que Symantec. Ils coûtent entre 150 $ et plus de 1 000 $ par an, selon le type de certificat et de garantie..
Mais il y a une bonne nouvelle: vous pouvez obtenir un certificat SSL gratuit de Let's Encrypt..
Let's Encrypt est une autorité de certification ouverte et automatisée, fonctionnant dans l’intérêt du public. Ils sont sponsorisés par de grandes marques telles que Mozilla, Cisco, Google et Facebook, ce qui leur permet de donner aux gens les certificats numériques dont ils ont besoin pour utiliser HTTPS gratuitement..
Si vous êtes chanceux, votre fournisseur d'hébergement vous propose un assistant d'installation SSL (ou mieux: une installation en un clic). Grâce à cela, vous serez opérationnel en quelques minutes. Au fur et à mesure que les connexions HTTPS deviendront plus populaires, de plus en plus de fournisseurs d'hébergement proposeront ce service dans leurs forfaits.
Si ce n'est pas le cas, vous devrez installer le certificat SSL manuellement. Cela peut être un processus long. Heureusement, Mitchell Anicas de Digital Ocean a écrit un guide complet sur la façon d’installer un certificat SSL..
L'activation de HTTPS est une excellente idée en raison des avantages suivants:
L'implémentation d'un certificat SSL ne concerne pas tous les arcs-en-ciel et les papillons. Il y a certaines choses à considérer avant d'agir. Tels que le temps qu'il faut pour mettre en œuvre. De plus, un certificat SSL n'est valable que pour une période limitée. Cela signifie que vous devrez le renouveler de temps en temps.
Et puis il y a le coût. Bien sûr, Let's Encrypt propose des certificats gratuits, mais ils ne fournissent que la version la plus basique. Si vous souhaitez un SSL de validation d'organisation ou de validation étendue, vous devez toujours en acheter un..
Passer de HTTP à HTTPS peut entraîner des problèmes de référencement, principalement à cause de liens défectueux. Cela peut être résolu par une redirection de serveur de niveau 301 via le fichier .htaccess:
RewriteEngine On RewriteCond% HTTPS off RewriteRule (. *) Https: //% HTTP_HOST% REQUEST_URI [R = 301, L]
Il est indéniable que HTTPS continuera à gagner en popularité dans le futur. La sécurité et la confiance des visiteurs sont ses principaux avantages, mais n'oublions pas le léger regain de vitesse et le classement dans les moteurs de recherche..
Oui, vous pouvez obtenir un certificat SSL gratuit. Mais les SSL de validation d'organisation ou de validation étendue vous coûteront quand même un peu cher. De plus, la mise en œuvre peut prendre beaucoup de temps et causer plusieurs problèmes..
Alors devriez-vous utiliser HTTPS?
À mon avis; Si vous modifiez complètement un site Web ou si vous en créez un à partir de zéro, cela vaut vraiment la peine. HTTPS fait partie de l'avenir du Web. Mais si votre site existant ne collecte pas de données sensibles des utilisateurs, il reste facultatif..
Accentsconagua