Certificat SSL WordPress : guide complet

par | 20 Avr 2022 | WordPress

La sécurisation de WordPress devrait être une priorité pour tou.te.s les propriétaires de sites. En effet, il est indispensable de l’assurer pour se protéger des attaques, mais aussi pour établir une relation de confiance avec ses utilisateur.rice.s. L’une des premières stratégies à mettre en place sera d’utiliser le protocole HTTPS sécurisé (HyperText Transfer Protocol Secure, en anglais) au lieu de HTTP, non sécurisé.

Pour ce faire, il est indispensable d’installer un certificat SSL WordPress sur un site. Notez que les certificats SSL peuvent être installés sur tous les sites, et pas uniquement sur WordPress. Dans cet article, nous allons examiner leur fonctionnement, leur utilité et surtout quel type de certificat choisir et comment l’obtenir.

 

 

1. Qu’est-ce qu’un certificat SSL

Même s’il peut sembler mystérieux au premier abord, un certificat SSL n’est rien d’autre qu’un fichier contenant certaines informations qui est installé sur le serveur web d’un site. Grâce à sa présence sur le serveur, il permet de sécuriser les connexions entre ce dernier et le navigateur d’un.e utilisateur.rice en les chiffrant. Il offre également la possibilité de vérifier l’identité d’un site pour s’assurer que celui-ci est authentique.

 

1.1 Chiffrement

Le chiffrement des informations se fait à l’aide d’un algorithme cryptographique basé sur un système utilisant deux clés : une clé publique pour chiffrer les données et une clé secrète pour les déchiffrer. Par ailleurs, le protocole HTTPS est utilisé pour échanger des informations entre les deux entités. Il permet non seulement de sécuriser les connexions, mais également d’empêcher l’interception des données pendant leur transfert.

 

1.2 Fonctionnement

Lorsque vous tentez d’accéder à un site qui utilise un certificat SSL et le protocole HTTPS, votre navigateur et le serveur web procèdent à une “négociation SSL” (le terme SSL handshake, autrement dit poignée de mains, est utilisé en anglais). Celle-ci dure à peine quelques millisecondes et elle permet au navigateur de vérifier qu’il peut faire confiance au certificat du serveur.

 

Sécuriser un site avec un certificat SSL WordPress
Fonctionnement du certificat SSL WordPress

 
La négociation est réussie si le navigateur peut confirmer que le certificat à été émis par une autorité de certification de confiance en le comparant à une liste des autorités approuvées. Ensuite, la navigation sécurisée et le transfert de données chiffrées peuvent démarrer.

 

1.3 Évolution de la technologie

Aujourd’hui, on parle encore de certificat SSL pour Secure Sockets Layer, en anglais, alors que cette technologie est obsolète et n’est plus utilisée, ni mise à jour depuis très longtemps. Elle présente d’ailleurs des failles de sécurité connues.

Elle a donc été remplacée par le système TLS pour Transport Layer Security, en anglais. C’est pourquoi vous pourrez voir le terme “certificat SSL/TLS” apparaître en de nombreux endroits. Mais n’ayez crainte, plus personne n’utilise SSL, ce n’est qu’un abus de langage.

 

2. Quelle est l’utilité du certificat SSL WordPress

Dans le cas des sites WordPress, le certificat SSL est indispensable pour protéger les informations des utilisateur.rice.s. Les données sensibles sont chiffrées grâce à lui. Il s’agit notamment des identifiants de connexion, comme les noms d’utilisateur et les mots de passe ; des données bancaires, comme les numéros de carte de crédit ; mais aussi des messages envoyés sur les formulaires de contact.

 

2.1 Marque de confiance

Le certificat SSL WordPress offre également des avantages qui ne sont pas directement liés à la sécurité. Par exemple, un site protégé par un certificat obtiendra un petit cadenas à côté de son URL dans la barre d’adresse du visiteur. Cette icône constitue immédiatement une marque de confiance pour ce dernier.

 

Le cadenas est une marque de confiance
Le cadenas est une marque de confiance

 
Par ailleurs, les sites non protégés sont aussi signalés dans le navigateur comme étant “non sécurisés”. Si vous n’êtes pas convaincu.e qu’un certificat est nécessaire pour établir la confiance avec vos utilisateur.rice.s, vous conviendrez tout de même que la mention “non sécurisé” ne donne pas une impression positive.

 

Sans certificat SSL WordPress, la mention non sécurisé est affichée
Sans certificat SSL WordPress, la mention non sécurisé est affichée

 

2.2 Meilleur signal pour le référencement et Google

Enfin, depuis plusieurs années déjà, Google prône l’utilisation de certificats SSL et la sécurisation des sites web. L’entreprise a d’ailleurs été plus loin puisqu’elle pénalise les sites n’utilisant pas de certificat. Vous ne vous classerez pas forcément mieux en exploitant HTTPS, mais vous courez le risque réel d’être mal ou pas classé.e si vous ne l’utilisez pas.

 

3. Que sont les autorités de certification

Les certificats sont émis et signés par une autorité de certification. Cette autorité représente un tiers de confiance et doit être reconnue comme tel par les navigateurs. Il existe donc des listes contenant les autorités de confiance dont les certificats sont considérés comme authentiques et sécurisés.

 

3.1 Problèmes de sécurité

Il est arrivé que l’une ou l’autre autorité de certification rencontre des failles de sécurité. Par conséquent, les certificats émis peuvent être falsifiés et ne seront donc plus considérés comme sécurisés. L’autorité est alors retirée de la liste des tiers de confiance.

D’ailleurs, si un certificat est bien présent sur le serveur, mais qu’il n’est pas reconnu par le navigateur, ce dernier affichera un message d’alerte sur la validité du certificat ou l’authenticité de celui-ci. Là non plus, le signal n’est pas positif pour l’image du site visité.

 

3.2 Let’s Encrypt

Depuis plusieurs années, Let’s Encrypt s’est imposée comme l’autorité de certification la plus importante. Cette organisation à but non lucratif offre des certificats gratuitement dans le but de sécuriser internet, mais surtout de protéger la vie privée des internautes.

 

Logo Let’s Encrypt
Logo Let’s Encrypt

 
Let’s Encrypt propose un seul type de certificat, Domain Validated, sur lequel nous reviendrons plus loin. Le succès de cette organisation réside dans le fait qu’elle est capable d’automatiser la totalité du processus d’émission des certificats.

 

4. Quel type de certificat choisir

Les certificats SSL se présentent sous différentes formes. Selon le type, ils contiennent plus ou moins d’informations sur le site qu’ils protègent. Grâce à ces dernières, un navigateur peut vérifier l’identité d’un site au moment de la “négociation SSL”, en plus de vérifier si l’autorité de certification qui a émis le certificat est digne de confiance.

Ceci est important pour les entreprises puisqu’elles peuvent ainsi éviter que leur identité ne soit usurpée par un site malveillant, par exemple. Pour les e-commerces notamment, c’est essentiel. Néanmoins, les certificats ne sont pas tous égaux et, en particulier, ceux proposés gratuitement ne présentent pas les mêmes garanties que les autres.

 

4.1 Certificat EV (Extended Validation)

Le certificat Extended Validation ou EV constitue le plus haut niveau de certification possible. C’est aussi celui qui coûte le plus cher, jusqu’à plusieurs centaines d’euros par an. Mais il n’est absolument pas nécessaire pour toutes les entreprises. Cependant, son prix est justifié par les nombreuses vérifications qui sont faites par l’autorité de certification avant de fournir le certificat.

L’entreprise doit prouver qu’elle est bien propriétaire du nom de domaine pour lequel le certificat est émis, mais aussi et surtout, elle doit prouver son identité légale. Tout ceci est vérifié par des équipes d’humains, d’où le prix élevé pour réaliser le processus. Par ailleurs, un nombre restreint d’autorités de certification sont habilitées à émettre ce type de certificats.

 

4.2 Certificat OV (Organisation Validation)

Ensuite, vient le certificat de type OV pour Organisation Validation, en anglais. Pour l’obtenir, une entreprise devra également prouver son identité légale et qu’elle est effectivement propriétaire du nom de domaine.

La différence avec les certificats EV réside dans le fait qu’ils peuvent être émis par un plus grand nombre d’autorités de certification. Cependant, les vérifications pour ce type de certificat sont également nombreuses.

 

4.3 Certificat DV (Domain Validated)

Le certificat DV ou Domain Validated, en anglais, est certainement le plus répandu sur internet. En effet, les vérifications à fournir pour l’obtenir sont beaucoup moins nombreuses puisqu’il suffit au propriétaire d’un site de prouver que le nom de domaine lui appartient.

C’est pourquoi ces certificats sont les plus courants, mais aussi les moins fiables puisqu’ils ont fait l’objet d’un nombre de vérifications minimal de la part de l’autorité de certification. Néanmoins, ils sont suffisants dans l’immense majorité des cas, et c’est ce type de certificat SSL WordPress que je vous recommande d’utiliser pour sécuriser votre site.

 

5. Comment obtenir un certificat SSL WordPress

Pour la majorité des propriétaires de sites, l’obtention d’un certificat SSL WordPress se fera par le biais de leur hébergeur. En effet, comme il doit être installé sur le serveur et pas sur le site, il revient le plus souvent à l’entreprise d’hébergement de proposer son installation.

Aujourd’hui, vu l’importance qu’ont pris les certificats SSL, presque tous les hébergeurs offrent ce service grâce à une installation facile que chacun.e peut réaliser soi-même en cliquant sur quelques boutons. Vous devriez trouver une section “SSL/TLS” ou “certificats” dans l’interface de votre compte d’hébergement.

 

5.1 cPanel

Les utilisateur.rice.s de cPanel pourront cliquer sur l’icône “Let’s Encrypt”, si ce service est mis à disposition par l’hébergeur. Il suffira alors de suivre les étapes et de sélectionner le nom de domaine adéquat avant d’installer le certificat.

 

Installer le certificat SSL WordPress grâce à Let’s Encrypt depuis cPanel
Installer le certificat Let’s Encrypt depuis cPanel

 
Le processus est automatisé par Let’s Encrypt et le certificat doit être renouvelé tous les 90 jours. Cette étape est également automatisée et tant que le système ne rencontre pas de problème, vous n’aurez rien d’autre à faire.

 

5.2 Cloudflare

Par ailleurs, si votre hébergeur ne propose pas de certificat SSL WordPress ou que celui-ci dépasse votre budget, vous pourrez vous tourner vers Cloudflare. Il suffira d’y créer un compte et d’y ajouter un site en modifiant vos noms de serveur à l’endroit où est enregistré le nom de domaine.

Vous devrez sélectionner le mode SSL Flexible qui permet de chiffrer le trafic entre Cloudflare et vos utilisateur.rice.s. Notez que si votre serveur d’origine n’est pas doté d’un certificat, le trafic entre celui-ci et Cloudflare ne sera pas chiffré. Néanmoins, cette option reste bien meilleure que de ne pas du tout utiliser de chiffrement.

 

Installer un certificat SSL WordPress flexible dans Cloudflare
Installer un certificat SSL flexible dans Cloudflare

 

6. Conclusion

Le certificat SSL WordPress représente une part incontournable de la sécurité d’un site. Il est très facile de l’obtenir via son hébergeur ou via Cloudflare. Vous pourrez alors garantir à vos utilisateur.rice.s que vous prenez la sécurité de leurs données au sérieux et ainsi établir une relation de confiance essentielle pour vous positionner comme une entreprise respectable.

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Réservez votre audit SEO gratuit et recevez un rapport personnalisé sur la santé de votre site web