Certificats SSL gratuits avec Let's Encrypt : guide pratique complet

Pourquoi le HTTPS n’est plus une option en 2025

Il fut un temps où le cadenas vert dans la barre d’adresse était réservé aux sites bancaires et aux plateformes e-commerce. Ce temps est révolu. En 2025, plus de 95 % du trafic web mondial transite en HTTPS, selon les données de Google Transparency Report.

Les raisons de cette adoption massive sont multiples :

• Google favorise le HTTPS dans ses algorithmes de classement depuis 2014, et cette pondération n’a cessé de croître.
• Les navigateurs marquent les sites HTTP comme « Non sécurisé », ce qui fait fuir les visiteurs.
• La conformité RGPD exige la protection des données en transit.
• Les performances HTTP/2 et HTTP/3 ne fonctionnent qu’avec une connexion chiffrée.

Le problème historique ? Les certificats SSL coûtaient entre 50 € et plusieurs centaines d’euros par an. Puis Let’s Encrypt est arrivé en 2015 et a tout changé.

Qu’est-ce que Let’s Encrypt exactement ?

Let’s Encrypt est une autorité de certification (CA) à but non lucratif, fondée par l’Internet Security Research Group (ISRG). Son objectif : démocratiser le chiffrement web en fournissant des certificats SSL/TLS gratuits et automatisés.

Quelques chiffres qui parlent d’eux-mêmes :

• Plus de 380 millions de certificats actifs en 2025
• Plus de 300 millions de domaines protégés dans le monde
• Soutenu par Mozilla, Google, Meta, Cisco, l’EFF et bien d’autres
• Aucun frais, aucun engagement, aucune contrepartie commerciale

Let’s Encrypt délivre des certificats de type DV (Domain Validation), c’est-à-dire qu’ils vérifient que vous contrôlez bien le nom de domaine. Le chiffrement est strictement identique à celui d’un certificat DV payant : TLS 1.2 et 1.3 avec des clés RSA 2048 bits ou ECDSA.

Ce que Let’s Encrypt ne fait pas

Il est important de comprendre les limites :

• Pas de validation d’organisation (OV) ni de validation étendue (EV)
• Pas de garantie financière en cas de compromission (les certificats payants offrent parfois une assurance)
• Durée limitée à 90 jours (renouvelable automatiquement)
• Pas de support technique dédié (communauté uniquement)

Pour la très grande majorité des sites web — blogs, sites vitrines, boutiques PrestaShop, applications web — un certificat Let’s Encrypt est parfaitement adapté.

Comparaison : Let’s Encrypt vs certificats SSL payants

Avant de passer à l’installation, voici un comparatif clair pour vous aider à choisir.

Critère	Let’s Encrypt (gratuit)	SSL DV payant	SSL OV/EV payant
Prix annuel	0 €	10 € – 80 €	100 € – 500 €+
Niveau de chiffrement	TLS 1.2/1.3 – 256 bits	TLS 1.2/1.3 – 256 bits	TLS 1.2/1.3 – 256 bits
Type de validation	Domaine (DV)	Domaine (DV)	Organisation (OV) / Étendue (EV)
Durée de validité	90 jours	1 an	1 à 2 ans
Renouvellement auto	Oui (Certbot)	Selon le fournisseur	Souvent manuel
Wildcard	Oui (DNS-01)	Oui	Oui
Garantie financière	Non	10 000 € – 50 000 €	250 000 € – 1 750 000 €
Compatibilité navigateurs	99,9 %	99,9 %	99,9 %
Support technique	Communauté	Oui	Oui (prioritaire)

En résumé : à moins d’avoir besoin d’une validation d’organisation pour des raisons réglementaires ou d’une garantie financière, Let’s Encrypt couvre 100 % des besoins techniques.

Pré-requis avant l’installation

Avant de lancer la moindre commande, vérifiez ces points :

• Un nom de domaine pointant vers votre serveur (enregistrement DNS A ou AAAA configuré)
• Un accès SSH à votre serveur (root ou sudo)
• Un serveur web installé : Apache, Nginx, ou un reverse proxy
• Les ports 80 (HTTP) et 443 (HTTPS) ouverts dans votre pare-feu
• Un système d’exploitation supporté : Ubuntu, Debian, CentOS, Rocky Linux, etc.

Si vous êtes sur un hébergement mutualisé avec cPanel ou Plesk, la procédure est souvent intégrée dans le panneau d’administration — nous y reviendrons plus bas.

Installation pas à pas avec Certbot

Certbot est l’outil officiel recommandé par Let’s Encrypt. Développé par l’Electronic Frontier Foundation (EFF), il automatise la demande, l’installation et le renouvellement des certificats.

Étape 1 : Installer Certbot

Sur Ubuntu 22.04 / 24.04 avec Nginx :

# Mise à jour du système
sudo apt update && sudo apt upgrade -y

# Installation de Certbot et du plugin Nginx
sudo apt install certbot python3-certbot-nginx -y

# Vérification de l'installation
certbot --version

Sur Ubuntu avec Apache :

sudo apt install certbot python3-certbot-apache -y

Sur Rocky Linux / AlmaLinux (RHEL) avec Nginx :

sudo dnf install epel-release -y
sudo dnf install certbot python3-certbot-nginx -y

Étape 2 : Obtenir et installer le certificat

La commande la plus simple avec Nginx :

sudo certbot --nginx -d votredomaine.com -d www.votredomaine.com

Avec Apache :

sudo certbot --apache -d votredomaine.com -d www.votredomaine.com

Certbot va :

1. Vérifier que le domaine pointe bien vers votre serveur (challenge HTTP-01)
2. Générer une paire de clés et une demande de signature (CSR)
3. Obtenir le certificat auprès de Let’s Encrypt
4. Modifier automatiquement la configuration de votre serveur web
5. Configurer la redirection HTTP → HTTPS si vous le souhaitez

Vous serez invité à fournir une adresse email (pour les notifications d’expiration) et à accepter les conditions d’utilisation.

Étape 3 : Vérifier l’installation

Une fois le certificat installé, testez-le :

# Test de renouvellement (simulation)
sudo certbot renew --dry-run

# Vérification des certificats installés
sudo certbot certificates

Vous pouvez également vérifier votre configuration SSL avec l’outil en ligne SSL Labs (ssllabs.com/ssltest). Visez une note A ou A+.

Étape 4 : Configurer le renouvellement automatique

Les certificats Let’s Encrypt expirent après 90 jours. Certbot installe généralement une tâche automatique, mais vérifions :

# Vérifier si le timer systemd est actif
sudo systemctl status certbot.timer

# Ou vérifier la présence d'une tâche cron
cat /etc/cron.d/certbot

Si aucun mécanisme automatique n’est en place, ajoutez manuellement une tâche cron :

# Ouvrir l'éditeur cron
sudo crontab -e

# Ajouter cette ligne (renouvellement deux fois par jour)
0 3,15 * * * certbot renew --quiet --deploy-hook "systemctl reload nginx"

Le flag --quiet supprime les sorties inutiles, et le --deploy-hook recharge Nginx uniquement si un certificat a été renouvelé.

Cas particuliers et configurations avancées

Certificat Wildcard

Pour protéger tous les sous-domaines (*.votredomaine.com), vous devez utiliser la validation DNS :

sudo certbot certonly --manual --preferred-challenges dns \
  -d votredomaine.com -d *.votredomaine.com

Certbot vous demandera de créer un enregistrement TXT _acme-challenge.votredomaine.com dans votre zone DNS. Pour automatiser ce processus, utilisez un plugin DNS compatible avec votre registrar (Cloudflare, OVH, Route 53, etc.).

Exemple avec Cloudflare :

sudo apt install python3-certbot-dns-cloudflare -y

# Créer le fichier de credentials
sudo nano /etc/letsencrypt/cloudflare.ini

Contenu du fichier :

dns_cloudflare_api_token = VOTRE_TOKEN_API_CLOUDFLARE

sudo chmod 600 /etc/letsencrypt/cloudflare.ini

sudo certbot certonly --dns-cloudflare \
  --dns-cloudflare-credentials /etc/letsencrypt/cloudflare.ini \
  -d votredomaine.com -d *.votredomaine.com

Chez Lueur Externe, nous utilisons cette méthode sur nos infrastructures AWS avec Route 53 pour gérer automatiquement les certificats Wildcard de nos clients, sans aucune intervention manuelle.

Installation sur un serveur sans serveur web (standalone)

Si vous n’utilisez pas Apache ou Nginx directement (par exemple avec un reverse proxy ou un conteneur Docker) :

sudo certbot certonly --standalone -d votredomaine.com

Certbot lance temporairement son propre serveur web sur le port 80 pour effectuer la validation. Assurez-vous qu’aucun autre service n’occupe ce port.

Utilisation avec Docker

Pour les architectures conteneurisées, plusieurs approches existent :

• Traefik : gère nativement Let’s Encrypt en tant que reverse proxy
• Nginx Proxy Manager : interface graphique avec Let’s Encrypt intégré
• Certbot en conteneur Docker : montez les volumes de certificats

# docker-compose.yml (extrait)
services:
  certbot:
    image: certbot/certbot
    volumes:
      - ./certbot/conf:/etc/letsencrypt
      - ./certbot/www:/var/www/certbot
    entrypoint: "/bin/sh -c 'trap exit TERM; while :; do certbot renew; sleep 12h & wait $${!}; done;'"

Optimiser la sécurité SSL après l’installation

Obtenir un certificat est une chose. Configurer correctement le chiffrement en est une autre. Voici les bonnes pratiques que nous appliquons systématiquement chez Lueur Externe sur les projets que nous déployons :

Headers de sécurité recommandés

Ajoutez ces directives dans votre configuration Nginx :

# Dans le bloc server {} HTTPS
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Désactiver les protocoles obsolètes

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 1d;
ssl_session_tickets off;

Activer l’OCSP Stapling

L’OCSP Stapling améliore les performances en évitant que le navigateur de l’utilisateur n’ait à contacter l’autorité de certification :

ssl_stapling on;
ssl_stapling_verify on;
resolver 1.1.1.1 8.8.8.8 valid=300s;
resolver_timeout 5s;

Let’s Encrypt sur les hébergements mutualisés et les CMS

Tout le monde n’a pas un VPS ou un serveur dédié. Voici comment procéder selon votre situation :

Hébergement mutualisé (cPanel, Plesk)

• cPanel : la plupart des hébergeurs intègrent AutoSSL, qui provisionne automatiquement des certificats Let’s Encrypt ou Sectigo. Vérifiez dans SSL/TLS Status.
• Plesk : l’extension Let’s Encrypt est installable en un clic depuis le Plesk Extensions Catalog.

WordPress

Si votre hébergeur gère le SSL, il vous suffit de :

1. Modifier l’URL du site dans Réglages > Général (https://)
2. Installer le plugin Really Simple SSL pour corriger les contenus mixtes
3. Vérifier que tout fonctionne sans erreur dans la console du navigateur

PrestaShop

Dans le back-office PrestaShop :

1. Paramètres de la boutique > Général > Activer SSL → Oui
2. Activer SSL sur toutes les pages → Oui
3. Vider le cache PrestaShop
4. Tester le tunnel d’achat complet

En tant qu’agence certifiée PrestaShop, Lueur Externe accompagne régulièrement ses clients dans la migration HTTPS de leurs boutiques en ligne, en s’assurant que les redirections 301, le sitemap et le fichier robots.txt sont correctement mis à jour pour préserver le référencement.

Les erreurs courantes à éviter

Au fil des années, nous avons identifié les pièges les plus fréquents :

• Oublier le renouvellement automatique : votre site affiche soudainement une alerte de sécurité. Testez toujours avec certbot renew --dry-run.
• Ne pas rediriger HTTP vers HTTPS : avoir un certificat ne suffit pas. Configurez une redirection 301 permanente.
• Contenus mixtes (mixed content) : des images, scripts ou CSS encore chargés en HTTP. Utilisez des URLs relatives ou le protocole // pour les ressources.
• Ne pas mettre à jour le sitemap XML : les URLs doivent passer en HTTPS dans le sitemap soumis à Google Search Console.
• Ignorer le HSTS : sans le header Strict-Transport-Security, les premières connexions restent vulnérables aux attaques de type downgrade.
• Certificat ne couvrant pas le www : pensez à inclure à la fois votredomaine.com et www.votredomaine.com dans la commande Certbot.

Impact du SSL sur le référencement (SEO)

L’impact du HTTPS sur le SEO est réel et mesurable :

• Signal de classement Google confirmé depuis 2014, renforcé avec chaque mise à jour de l’algorithme
• Core Web Vitals : le HTTPS est un prérequis pour HTTP/2 et HTTP/3, qui améliorent le Time to First Byte (TTFB)
• Taux de rebond réduit : les utilisateurs quittent moins un site affichant le cadenas de sécurité
• Données de référencement préservées : le trafic HTTPS → HTTPS conserve le referrer dans Google Analytics, contrairement au HTTP

Une étude de Semrush sur plus de 100 000 pages montre que plus de 70 % des résultats en première page de Google sont en HTTPS. Ne pas avoir de SSL en 2025, c’est se tirer une balle dans le pied SEO.

Conclusion : sécurisez votre site dès aujourd’hui

Let’s Encrypt a éliminé la dernière excuse pour ne pas passer en HTTPS : le coût. En quelques commandes, vous obtenez un certificat SSL reconnu par tous les navigateurs, renouvelé automatiquement et offrant un chiffrement de qualité professionnelle.

Que vous gériez un blog WordPress, une boutique PrestaShop ou une application web sur mesure, le passage au HTTPS est un investissement à zéro euro qui améliore votre sécurité, votre SEO et la confiance de vos visiteurs.

Si vous préférez confier cette étape à des experts plutôt que de mettre les mains dans le terminal, ou si vous avez besoin d’une configuration avancée (Wildcard, multi-domaines, infrastructure AWS), l’équipe de Lueur Externe est à votre disposition. Depuis 2003, nous accompagnons les entreprises des Alpes-Maritimes et d’ailleurs dans la sécurisation et l’optimisation de leur présence en ligne.

Contactez Lueur Externe pour un audit SSL gratuit de votre site et une mise en conformité HTTPS rapide et sans stress.