Comment activer HTTPS sur votre serveur

Produits mentionnés
5 étapes vers la sécurité

Si vous transférez un type de données sensibles, vous devez vous assurer qu’elles restent en sécurité. L’une des façons les plus efficaces de protéger des données consiste à activer le protocole HTTPS (également appelé SSL, pour Secure Socket Layers) pour chiffrer les données qui transitent vers et depuis votre serveur.

Ce chiffrement est parfaitement sécurisé : il est quasiment impossible pour des pirates d’intercepter la transmission et d’accéder aux informations personnelles de l’utilisateur.

Les consommateurs sont de plus en plus sensibles à la sécurité et vérifient souvent si le cadenas vert apparaît dans leur navigateur sur les sites web sur lesquels le protocole HTTPS est activé.

Mais ce n’est pas la seule raison pour activer HTTPS sur votre serveur de site web.

En juillet 2018, Google a apporté un changement majeur en faisant apparaître la mention « non sécurisé » sur tous les sites HTTP ou URL de blog affichés via un navigateur Chrome. Google avait déjà ajouté le protocole SSL à son algorithme de recherche, mais ce nouvel avertissement dans Chrome a changé la donne.

Un certificat SSL est maintenant obligatoire sur chaque site web ou blog. Si votre site web ou blog ne dispose pas d’un certificat SSL, il n’est pas trop tard pour en obtenir un et activer le protocole HTTPS.

Comment activer correctement HTTPS sur votre serveur

  1. Hébergez votre site sur une adresse IP dédiée.
  2. Achetez un certificat SSL.
  3. Demandez un certificat SSL.
  4. Installez le certificat.
  5. Mettez votre site à jour pour activer HTTPS.

Prêt à vous lancer ? Allons-y !

1. Hébergez votre site sur une adresse IP dédiée

La première étape consiste à vous assurer que votre site est hébergé sur une adresse IP dédiée. Heureusement, s’il est hébergé chez GoDaddy (même en hébergement partagé), vous n’avez pas besoin d’acheter une adresse IP dédiée car vous en bénéficiez gratuitement avec votre certificat SSL.

Par contre, si votre site est hébergé chez un autre fournisseur, vous devez vous assurer d’utiliser un plan d’hébergement offrant une adresse IP dédiée. Cela implique souvent de procéder à une mise à niveau vers un VPS ou un serveur dédié. Vous avez aussi la possibilité de passer à GoDaddy et d’utiliser n’importe quel plan.

2. Achetez un certificat SSL

Une fois que vous avez votre adresse IP dédiée, achetez votre certificat SSL. Cela tient lieu d’identification pour votre site web.

Le certificat SSL est une simple chaîne constituée de chiffres et de lettres que vous installez sur votre serveur. Lorsque les gens visitent votre site via l’adresse HTTPS, le mot de passe est vérifié afin de confirmer que votre site correspond bien à ce qu’il prétend être.

Le certificat sert à chiffrer toutes les données qui transitent vers et depuis le serveur sur lequel le certificat est installé.

Ce certificat SSL doit être acheté auprès d’un revendeur agréé ayant le statut d’Autorité de certification.

 

Une copie du mot de passe du certificat sera stockée dans votre base de données et sa référence sera vérifiée par le trafic web entrant pour confirmer que votre adresse web est bien connectée au serveur adéquat.

3. Demandez un certificat SSL

Vous devrez ensuite activer votre crédit pour demander le certificat. Pour ce faire, connectez-vous à votre compte GoDaddy et cliquez sur Certificats SSL. Cliquez sur Configurer en regard du crédit de certificat SSL que vous voulez activer.

Lorsque vous actualisez la page, un nouveau certificat s’affiche. Si ce n’est pas le cas, essayez à nouveau après quelques minutes.

Une fois qu’il apparaît, cliquez sur Gérer en regard du nouveau certificat. Selon l’emplacement d’hébergement de votre certificat, choisissez soit le domaine hébergé sur votre compte (si le certificat est hébergé chez GoDaddy), soit Fournir un CSR (s’il est hébergé chez un autre fournisseur).

Si vous utilisez une certification UCC, entrez tous les Subject Alternate Names que vous souhaitez utiliser et cliquez sur Ajouter.

Si vous disposez d’un Standard Issuance Certificate, cliquez sur Demander un certificat. Sinon, cliquez sur Suivant et renseignez les informations demandées à la page suivante. Ces informations sont nécessaires pour que GoDaddy puisse vérifier que vous contrôlez le nom commun associé au certificat.

La procédure de validation et de vérification de votre demande de certificat prend de un à sept jours.

D’autres informations peuvent vous être demandées durant cette période.

4. Installez le certificat

C’est la dernière étape, et la plus simple. Vous avez normalement téléchargé le certificat de votre fournisseur et vous devez à présent l’installer sur votre serveur.

Si votre site web est hébergé chez GoDaddy, vous pouvez l’installer via votre cPanel. Repérez le bouton sous SSL/TLS qui vous permet d’installer un certificat SSL.

Vous n’avez plus qu’à coller le certificat dans le champ et à envoyer le formulaire.

5. Configurez votre site pour activer HTTPS

Patientez quelques instants, le temps que le site se mette à jour, puis vérifiez qu’il est possible d’en consulter la version HTTPS://. Si le site s’affiche, bravo, vous avez bien installé votre certificat SSL pour activer HTTPS.

Il reste encore une étape pour vous assurer que les visiteurs sont bien dirigés vers votre site web sécurisé.

 

Vous devez rediriger les utilisateurs de HTTP vers HTTPS sur les pages sur lesquelles des informations sécurisées seront envoyées. Vous devrez donc sans doute aussi modifier les liens vers ces pages pour vous assurer qu’elles sont bien toutes en HTTPS, et non HTTP.

Si vous souhaitez vous assurer que les utilisateurs qui consultent certaines pages sont bien redirigés vers HTTPS, et non HTTP, il vaut mieux forcer cette action côté serveur. Vous pouvez utiliser l’élément de code suivant en haut de votre page. Il est au format PHP, mais vous pouvez utiliser un autre langage si vous le souhaitez :

Vous avez aussi la possibilité de forcer la redirection avec votre fichier .htaccess. Le code suivant illustre une redirection de n’importe quel utilisateur en train de consulter son panier ou la page de paiement dans la version HTTPS s’il ne se trouve pas déjà dessus :

Et voilà, c’est tout. Si vous rencontrez des problèmes pour installer un certificat sur votre compte GoDaddy, n’hésitez pas à contacter l’équipe du support technique, qui pourra vous aider.