La navigation sur le Web via HTTPS devient la norme et tous les sites internet devront être sécurisés. Le certificat SSL gratuit est-il une bonne alternative aux certificats SSL payants ? Qu’est-ce qu’un certificat SSL gratuit et comment l’obtenir ?
Avec son certificat SSL gratuit, l’autorité de certification Let’s Encrypt vous permet de sécuriser votre site web avec un certificat gratuit obtenu en 5 minutes.
Est-ce qu’un certificat SSL gratuit offre le même niveau de sécurité ? Est-il vraiment gratuit ? Comment l’obtenir et l’installer ? Nous vous apportons les réponses dans cet article.
Qu’est-ce qu’un certificat SSL gratuit ?
Le certificat SSL gratuit existe depuis longtemps, la fondation OpenSSL vous permet par exemple de créer un certificat SSL auto-signé gratuitement depuis 1998 grâce à une boite à outils de chiffrement.
Définition du certificat SSL : Un certificat SSL ou certificat électronique ou encore certificat numérique est l’équivalent d’une carte d’identité numérique. Le certificat se matérialise par un fichier de données liant une clé cryptographique aux informations d’une personne physique ou morale. Il permet de sécuriser des échanges de données par chiffrement (128 bits, 256 bits,…).
L’installation d’un certificat SSL sur votre site internet sécurise les informations échangées avec vos visiteurs. Il permet également à vos visiteurs de vous identifier en tant que propriétaire et d’être certains de l’existence de votre entreprise à la date de l’installation du certificat SSL.
Pour un site internet, la mise en place d’un certificat SSL (TLS) permet le passage du protocole HTTP au protocole HTTPS.
Le certificat SSL auto-signé
Un certificat auto-signé est un certificat gratuit créé à partir d’une boite à outils open source (OpenSSL). OpenSSL vous permet en effet de créer en quelques étapes votre certificat SSL, à condition de maîtriser Linux.
La création d’un certificat auto-signé convient pour une utilisation personnelle, à contrario, pour sécuriser votre site internet, votre certificat SSL doit être délivré par une autorité de certification (Certificate Authority, CA, AC).
Un certificat SSL auto-signé peut déclencher un message d’alerte dans les navigateurs web alors qu’un certificat SSL (de type X.509) émit par une autorité de certification vous assure le cadenas vert pour l’intégralité de votre domaine (à condition que le certificat SSL soit correctement installé).
Le certificat SSL gratuit Let’s Encrypt
A l’initiative de l’Electronic Frontier Foundation (un projet indépendant de Mozilla), le groupe de recherche sur la sécurité Internet (ISRG) a créer Let’s Encrypt.
Let’s Encrypt est une autorité de certification libre, automatisée et ouverte (A free, automated, and open certificate authority). Elle est soutenue par des donateurs tels qu’OVH, Cisco, Mozilla, Chrome, Facebook,…
Let’s Encrypt est donc une autorité de certification qui délivre des certificats SSL gratuits depuis décembre 2015 (en version bêta publique). Grâce à Let’s Encrypt, il est possible d’obtenir un certificat SSL gratuit et fiable !
Le certificat SSL délivré gratuitement par Let’s Encrypt est un certificat SSL de type DV.
Pourquoi le protocole HTTPS se généralise ? Quelles incidences pour votre site internet ?
Les caractéristiques du certificat Let’s Encrypt :
- Ils sont gratuits et délivrés par une autorité de certification,
- Ils permettent une connexion sécurisée via le protocole HTTPS, ils peuvent sécuriser un serveur web, un serveur de messagerie, un serveur FTP,…
- L’émission du certificat est automatisée et ne prend que 5 minutes,
- Les certificats sont valables 90 jours (il est possible d’automatiser le renouvellement),
- Ils sont uniquement de type validation de domaine (DV),
- Les certificats Let’s Encrypt sont reconnus et compatibles avec quasiment tous les navigateurs et toutes les applications,
- Ils sont de type X.509 et utilisent la fonction de hachage SHA-2.
Pour sécuriser un site vitrine ou un blog, un certificat SSL gratuit est une bonne alternative aux certificats payant émis par les autres autorités de certification. Le certificat Let’s Encrypt est vraiment gratuit et offre un très bon niveau de sécurité. Par contre son installation sera certainement payante, sauf si vous disposez des compétences nécessaires.
Pour un site e-commerce, il est préférable d’opter pour un certificat de type OV ou EV (OV pour validation de l’organisation ou EV pour validation étendue).
L’autorité de certification StartSSL délivre également des certificats SSL gratuits. (Quelques autorités de certification : GlobalSign, RapidSSL, AlphaSSL, GeoTrust, Thawte, Symantec, Start SSL,…).
Pourquoi installer un certificat SSL ?
Au delà de la protection des données échangées, la sécurisation du web est une priorité de Google. Dans les faits, Google incite les éditeurs de sites web à passer en HTTPS depuis 2014.
Depuis janvier 2017, Google Chrome signale un danger dans sa barre d’adresse pour tous les sites web non accessibles en HTTPS. Le résultat des actions de Google se traduit par une croissance forte des sites sécurisés SSL. Avec la forte croissance du certificat SSL gratuit, 50% des pages chargées en janvier 2017 étaient sécurisées.
Evolution du pourcentage des pages chargées via HTTPS
OVH a généré 2,2 millions de certificats SSL en quelques mois. Source : Let’s Encrypt
Comment obtenir un certificat SSL gratuit ?
Pour obtenir un certificat SSL gratuit et sécuriser votre site web, il vous suffit d’avoir la main sur votre serveur apache. Let’s Encrypt propose un outil qui permet la mise en place automatique du certificat sur votre domaine en quelques lignes de commande.
Un certificat SSL s’installe en effet au niveau de l’hébergement de votre site et plus précisément au niveau de votre serveur web.
En fonction de votre hébergeur et de votre serveur web, la procédure pour obtenir un certificat SSL et l’installer sera différente :
- Si votre site est hébergé sur mutualisé OVH ou sur un serveur VPS ou dédié, vous pourrez profiter d’un certificat SSL gratuit en 1 Clic. Il ne vous restera plus qu’à intervenir sur votre site pour le forcer à passer en HTTPS.
- Si par contre votre site est hébergé chez Gandi sur un mutualisé de type XS, vous ne pourrez pas bénéficier d’un certificat SSL gratuit.
Pour savoir si votre serveur web est compatible avec l’installation d’un certificat SSL gratuit, vous devrez prendre contact avec votre hébergeur.
Comment installer un certificat SSL ?
L’installation d’un certificat SSL est gratuite si vous la réalisez par vos propres moyens. Elle est composée de plusieurs étapes et requiert des compétences en développement web. Cela commence par vous assurer d’avoir les accès suivants :
- L’accès au FTP,
- Un accès au serveur web (accès SSH ou via un panel de type Plesk ou cPanel),
- L’accès au manager du domaine,
- A la console d’administration du site internet.
L’installation d’un certificat SSL
- Étudiez votre besoin et choisissez le type de certificat SSL à installer (DV, OV, EV, SAN, SSL wildcard,…)
- Étudiez la faisabilité technique (votre serveur d’hébergement, le CMS utilisé, les redirections à prévoir, backlink,…),
- Choix de votre autorité de certification et achat du certificat SSL (payant ou gratuit),
- Génération du certificat SSL (CSR) et installation du certificat sur le serveur web,
- Réécriture de toutes les URLs du site internet, passage de HTTP à HTTPS,
- Mise en place des redirections 301,
- Contrôle des redirections 301 et de la présence du cadenas vert sur tous les pages du site.
Pour les novices en développement web, vous devrez confier l’installation de votre certificat SSL à votre hébergeur ou à une agence web.
Conclusion
La mise en place d’une connexion sécurisée à votre site web via SSL est inéluctable. Le certificat SSL gratuit est une bonne alternative aux certificats payants pour la majorité des sites internet. Pour les sites e-commerces ou pour une validation de votre organisation, vous devrez opter pour un certificat payant.
Pour en savoir +
L’article vous a plu??? Profitez de notre expertise sur le Marketing , sur www.deelynx.com ou à l’agence digitale Deelynx basée à Douala au Cameroun.