Tous les jours, nous révélons des informations personnelles sur internet. Rien que pendant la dernière heure, j’ai utilisé ma carte de crédit, acheté un livre, sauvegardé une copie de l’adresse de mes amis, envoyé des mails et fait quelques courses.
Partager nos informations est devenu tellement commun que l’on n’y pense même plus.
C’est là que SSL entre en jeu. SSL protège les données que l’on partage en ligne, les empêchant de tomber entre de mauvaises mains.
Utiliser SSL – de pair avec HTTPS- pour protéger votre site WordPress et ses visiteurs n’est pas difficile ni compliqué. Dans cet article, nous allons voir qu’est-ce que SSL et comment l’utiliser. C’est parti.
Qu’est-ce que SSL ?
SSL (Security Socket Layer) était à l’époque, en 1994, une méthode pour augmenter la sécurité entre un site web et ses utilisateurs, utilisée par Netscape Communication car ce dernier avait observé la nécessité d’une telle technologie. SSL fut plus tard modifié et lancé pour la première fois en version 3.0 en 1996, mais il possédait des failles. En 1999, il a été officiellement repris et grandement amélioré par IETF (Internet Engineering Task Force).
A cette époque, SSL fut renommé TLS (Transport Layer Security), mais il est toujours largement appelé SSL ou TLS/SSL. Son but est resté le même jusqu’à aujourd’hui et cette technologie est devenu le standard en termes de sécurité des sites web.
Quand devriez-vous utiliser SSL ?
L’année dernière, Google a annoncé qu’il favoriserait les sites utilisant SSL dans les classements de son moteur de recherche. Au fil du temps, le moteur de recherche prévoit d’améliorer ce coup de pouce, mais en attendant vous ne verrez qu’une augmentation de 1%, laissant à tout le monde une chance de basculer.
De plus, si votre site web nécessite de la part des utilisateurs de se connecter ou de fournir des informations personnelles comme leur nom, leur adresse, les détails de leur carte de crédit, etc.. vous aurez besoin d’une protection SSL. Sans cela, les informations de votre utilisateur peuvent être facilement compromises.
Comment fonctionne SSL ?
SSL fonctionne en cryptant les informations passées entre le serveur du site et le navigateur plutôt que de les laisser visible telles quelles, ce qui signifie qu’un texte sera réorganisé en une série de chiffres et de lettres supposés aléatoirement disposés plutôt qu’en mots lisibles.
Pour créer une connections SSL sur un site web, le propriétaire du site doit obtenir un certificat d’authentification SSL d’une société émettrice, qualifiée d’Autorité de Certification. Une fois l’achat du service effectué, les informations du site web et de l’entreprise, comme le nom, l’adresse et le numéro de téléphone, sont transmises à l’Autorité de Certification.
En retour, le propriétaire du site reçoit une clé publique et une clé privée. La clé privée ne doit être divulguée à personne – un peu comme un mot de passe- mais la clé publique n’a pas besoin de rester parfaitement cachée.
C’est une série de chiffres et de lettres cryptées qui coïncident mathématiquement – comme une serrure et sa clé. Ces séries sont créées pas par des algorithmes particuliers (Secure Hash Algorithm).
La clé publique est ensuite ajoutée aux informations fournies à l’Autorité dans un dossier appelé Demande de Signature de Certificat (Certificate Signing Request).
L’Autorité vérifie les informations pour être sur qu’elles sont correcte – et que vous n’êtes pas un escroc ou un hacker – et si tout est en ordre, le certificat SSL est signé avec un SHA.
Le certificat réel est ensuite délivré. C’est à ce stade que le site web peut utiliser une connections cryptée SSL.
Quand un utilisateur visite un site protégé, le serveur du site fait coïncider son certificat SSL avec la clé privé et lorsque qu’ils coïncident, un lien crypté entre le site et le serveur, et entre l’utilisateur et son navigateur, est créé.
Pour en savoir davantage sur les étapes à suivre pour installerun certificat SSL à partir de WHM lisez notre article
D'où acheter un certificat SSL?
Il existe plusieurs sites qui offrent des Certificats SSL pas cher. Voici quelques exemples :
A quoi ressemble un site protégé par SSL ?
Le préfixe https apparaitra devant l’URL au lieu de http. On peut aussi observer un petit cadenas vert dans la barre de recherche du navigateur.
Si le site a choisi d’acheter une Extension de Validation du Certificat SSL, soit votre barre d’adresse sera complètement verte soit le nom de l’entreprise apparaitra sur un fond vert juste avant l’URL. L’Extension de Validation du Certificat SSL est plus sûre et est délivrée une fois que l’entreprise a passé un examen plus approfondi. Il leur est demandé des preuves de leur adresse physique et de leurs activités légales, en plus des informations standards.
Quand SSL ne marche plus
Si un certificat SSL a expiré, est auto-signé ou bien si il est invalide, le cadenas devient rouge et est parfois barré d’un trait rouge.
Lorsque le certificat a expiré, le propriétaire du site doit simplement renouveler le SSL via l’Autorité, et l’encryptage sera renouvelé. Il est mieux de ne pas laisser le temps au certificat d’expirer de manière à garder une sécurité constante pour votre site.
Vous utilisez un certificat auto-signé si vous avez demandé et reçu votre certificat SSL mais qu’il n’a pas été validé par l’Autorité de Certification.
La plupart des navigateurs ne font confiance qu’aux certificats SSL distribués par des Autorités de Certification dignes de confiance et afficheront un avertissement pour tous les sites utilisant un certificat auto-signé. Si vous avez acheté un certificat SSL à une entreprise qui n’est pas coté comme bonne Autorité de Certification, votre site peut être reconnu comme utilisant un certificat auto-signé.
Un certificat SSL peut devenir invalide pour plusieurs autres raisons, comme par exemple si l’encryptage SHA est obsolète.
Le hachage est la conversion d’un nombre important d’information écrit sous forme de caractères en information plus compact souvent désigné comme clé, et se fait à travers un ensemble de règles mathématiques. Plus la technologie avance, plus les hachages doivent être complexes pour maintenir une bonne sécurité.
SHA0 n’est plus utilisé et SHA1 est progressivement évincé par plusieurs navigateurs. Chrome commencera à afficher des avertissements le 1er Janvier 2016 pour les sites utilisant SHA1. Le standard actuel pour les encryptages est SHA2 qui va surement se faire doubler pas SHA3.
Un certificat SSL peut aussi être invalide si le navigateur ne parvient pas à le vérifier avec l’Autorité. Cela peut arriver si le nom de domaine du certificat ne coïncide pas avec le site qui l’utilise en ce moment.
La meilleure manière de résoudre ces problèmes est de mettre à jour votre certificat avec votre Autorité et de suivre leurs instructions.
Si un cadenas jaune apparait avec une forme triangulaire, la cause probable est que le lien de votre site est considéré comme menant à une page non sécurisé. Faites en sorte que toutes vos images, vos menus et vos liens utilisent https dans l’URL.
Pour trouver facilement la source d’un certificat invalide, vous pouvez utiliser l’outil gratuit Why No Padlock. Il vous informe instantanément des problèmes spécifiques, y compris des images et des scripts invalides.
Utiliser SSL avec WordPress
Une fois que votre certificat SSL est prêt, vous pouvez l’utiliser avec votre site.
N’oubliez pas de sauvegarder la totalité de votre site avant de faire un quelconque changement pour éviter de tout perdre si quelque chose ne va pas. Une fois que c’est fait, vous pouvez continuer. Pour installer SSL sur un seul site ou sur plusieurs, éditez d’abord votre wpconfig.php et ajoutez la ligne de code suivant. Cela forcera à la fois la connexion et l’accès à la section admin de WordPress pour utiliser SSL :
define('FORCE_SSL_ADMIN', true);Faites en sorte qu’il soit placé juste au-dessus de la ligne « stop edition » comme montré ci-dessous :
/* C'est tout!, stop edition! */Maintenant nous allons mettre au point une redirection 301 pour que chaque utilisateur qui visite votre site soit automatiquement redirigé vers votre site sécurisé qui utilise https au lieu de http.
Editez votre fichier .htaccess ou créez en un nouveau s’il n’existe pas déjà. Si vous n’en avez pas encore, placez le code suivant au-dessus de tout ce qui est déjà présent.
N’oubliez pas de remplacer « mysite.com » par votre nom de domaine et faites en sorte que vous entrez le bon port de serveur, si le vôtre n’est pas 80.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.monsite.com/$1 [R,L]
</IfModule>Maintenant visitez votre site pour le tester. Si https apparait dans votre URL avec un cadenas vert à coté, vous avez réussi.
Conclusion
Avoir un certificat SSL est une étape essentielle pour protéger votre site web et ses utilisateurs, mais ce n’est pas l’unique mesure de sécurité que vous pouvez utiliser. Pour être vraiment certain que votre site est sûr pour tout le monde, vous pouvez aussi utiliser un plugin WordPress comme Wordfence ou iThemes.
Si vous avez besoin de plus d’indications concernant l’utilisation de SSL avec WordPress pour des besoins spécifiques, vous pouvez faire un tour sur la page Administration Over SSL du Codex WordPress.
Vous êtes intéressé par un certificat SSL gratuit ? Le 18 Novembre 2014, l’Electronic Frontier Foundation a annoncé qu’ils travaillaient sur un projet libre pour rendre des certificats SSL gratuits et avec la possibilité de les installer en quelques clics. Cela sera disponible mi 2015.
Il existe des plugins qui peuvent vous aider à installer SSL sur votre site, mais il faut savoir qu’ils ne sont peut-être pas à jour et compatibles avec la dernière version de WordPress.
Parfois il est plus agréable d’utiliser des plugins un peu plus vieux si plusieurs personnes, y compris vous, arrivez à les utiliser plus facilement, mais la sécurité de votre site est une chose avec laquelle vous ne devriez pas plaisanter.
Si vous voulez des informations plus précises sur la sécurité des sites web, jetez un œil à notre article sur la Sécurité WordPress.
