Pourquoi HTTPS est non négociable
Depuis 2018, Google Chrome affiche « Non sécurisé » pour tous les sites HTTP. HTTPS est devenu un facteur de classement SEO et un prérequis pour de nombreuses API web modernes (géolocalisation, caméra, notifications push).
Chez Lueur Externe, tous les sites que nous développons sont sécurisés en HTTPS dès le premier jour.
Comment fonctionne HTTPS
Le handshake TLS
- Le navigateur contacte le serveur et demande une connexion sécurisée
- Le serveur envoie son certificat SSL contenant sa clé publique
- Le navigateur vérifie le certificat auprès de l’autorité de certification
- Les deux parties négocient une clé de session symétrique
- Toutes les communications sont chiffrées avec cette clé
Ce que HTTPS protège
- Confidentialité : les données échangées sont chiffrées
- Intégrité : les données ne peuvent pas être modifiées en transit
- Authentification : le certificat prouve l’identité du serveur
Types de certificats SSL
| Type | Validation | Usage | Coût |
|---|---|---|---|
| DV (Domain Validation) | Domaine uniquement | Sites vitrines, blogs | Gratuit (Let’s Encrypt) |
| OV (Organization Validation) | Domaine + organisation | Sites d’entreprise | 50-200 €/an |
| EV (Extended Validation) | Vérification approfondie | E-commerce, banques | 200-1000 €/an |
| Wildcard | Tous les sous-domaines | Multi-sites | Variable |
Let’s Encrypt : le SSL gratuit
Let’s Encrypt fournit des certificats DV gratuits, automatiquement renouvelés :
# Installation avec Certbot
sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d monsite.fr -d www.monsite.fr
# Renouvellement automatique (cron)
0 0 1 * * certbot renew --quietAvec Caddy (que nous utilisons sur ce site), le SSL est automatique :
monsite.fr {
root * /srv
file_server
# Caddy gère automatiquement Let's Encrypt
}En-têtes de sécurité essentiels
HSTS (HTTP Strict Transport Security)
Force le navigateur à utiliser HTTPS :
Strict-Transport-Security: max-age=31536000; includeSubDomains; preloadContent Security Policy (CSP)
Contrôle les sources de contenu autorisées :
Content-Security-Policy: default-src 'self'; script-src 'self' https://www.googletagmanager.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.comAutres en-têtes importants
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: camera=(), microphone=(), geolocation=()Impact sur le SEO
HTTPS est un signal de classement Google depuis 2014. Au-delà du ranking :
- Les navigateurs affichent un cadenas rassurant
- Les données de referrer sont préservées en HTTPS
- Les API modernes nécessitent HTTPS
- La confiance utilisateur augmente le taux de conversion
Vérification et monitoring
Testez votre configuration SSL avec :
- SSL Labs (ssllabs.com) : note de A à F
- Security Headers (securityheaders.com) : vérification des en-têtes
- Mozilla Observatory : audit de sécurité complet
Chez Lueur Externe, nous visons systématiquement la note A+ sur SSL Labs pour tous nos projets.
Conclusion
HTTPS n’est plus optionnel. C’est un prérequis pour la sécurité, le SEO et la confiance de vos utilisateurs. Contactez Lueur Externe pour sécuriser votre site web.