Certificat SSL et HTTPS : comment sécuriser votre site web
hebergement-web

Certificat SSL et HTTPS : comment sécuriser votre site web

4 min de lecture

Si votre site affiche encore “Non sécurisé” dans la barre d’adresse de Chrome ou Firefox, c’est un problème à régler immédiatement. Le HTTPS est devenu un standard minimum — pas seulement pour la sécurité, mais aussi pour votre référencement et la confiance de vos visiteurs.

La bonne nouvelle : les certificats SSL sont gratuits depuis 2016 grâce à Let’s Encrypt. Voici comment ça fonctionne et comment l’activer.

Pourquoi le HTTPS est indispensable

Sécurité des données. Sans HTTPS, les données échangées entre votre site et vos visiteurs (formulaires de contact, identifiants, informations personnelles) transitent en clair sur le réseau. Quiconque peut intercepter la connexion peut les lire.

Google et le SEO. Google prend en compte le HTTPS comme signal de ranking depuis 2014. Un site en HTTP est légèrement pénalisé. Et Chrome affiche une alerte “Non sécurisé” visible pour tous les visiteurs sur les sites sans SSL.

RGPD et confiance. Si vous collectez des données personnelles (ne serait-ce qu’un email), la sécurisation de la transmission est une exigence du RGPD.

Les navigateurs modernes. Chrome, Firefox et Safari bloquent ou avertissent de plus en plus les contenus sur des connexions non sécurisées.

Comprendre les certificats SSL

Un certificat SSL (Secure Sockets Layer, désormais TLS — Transport Layer Security) est un fichier numérique qui authentifie l’identité de votre site web et chiffre les communications.

Les types de certificats :

DV (Domain Validation) : le plus basique, il vérifie seulement que vous contrôlez le domaine. Suffisant pour la grande majorité des sites. C’est ce que propose Let’s Encrypt gratuitement.

OV (Organization Validation) : vérifie aussi l’existence légale de l’organisation. Affiché dans les détails du certificat, mais pas visuellement différent pour les visiteurs.

EV (Extended Validation) : le niveau le plus élevé, avec vérification approfondie. Affichait auparavant le nom de l’entreprise en vert dans la barre d’adresse — un affichage que Chrome et Firefox ont supprimé, réduisant son intérêt pour les visiteurs.

Pour un site vitrine, un blog ou un e-commerce standard, un certificat DV suffit.

Let’s Encrypt : le certificat gratuit

Let’s Encrypt est une autorité de certification gratuite, automatique et ouverte, soutenue par Mozilla, Google, Cisco et de nombreuses autres organisations. Depuis son lancement, elle a émis des milliards de certificats.

Comment l’obtenir via votre hébergeur :

La plupart des hébergeurs modernes intègrent Let’s Encrypt directement dans leur panneau de contrôle.

Sur cPanel (o2switch, OVHcloud, Infomaniak…) : cherchez “SSL/TLS” ou “Let’s Encrypt” dans votre panneau. Un clic suffit pour activer le certificat sur votre domaine.

Sur Plesk : l’extension Let’s Encrypt est disponible nativement. Allez dans “Sites Web et Domaines” > votre domaine > “Let’s Encrypt”.

Sur un VPS avec Nginx ou Apache : installez Certbot (l’outil officiel Let’s Encrypt) et exécutez :

sudo certbot --nginx -d votre-domaine.fr -d www.votre-domaine.fr

Le certificat est obtenu, configuré et le renouvellement automatique est mis en place en quelques minutes.

Durée et renouvellement : les certificats Let’s Encrypt sont valables 90 jours. Certbot et la plupart des hébergeurs gèrent le renouvellement automatique.

Activer le HTTPS et forcer la redirection

Obtenir le certificat ne suffit pas. Vous devez :

  1. Activer HTTPS sur votre site. Dans votre hébergeur, il y a souvent une option “Forcer HTTPS” ou “Redirection 301 vers HTTPS”.

  2. Configurer la redirection HTTP → HTTPS. Pour que les visiteurs qui arrivent sur http://votre-site.fr soient automatiquement redirigés vers https://votre-site.fr.

Sur Apache (fichier .htaccess) :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Sur Nginx :

server {
    listen 80;
    server_name votre-domaine.fr www.votre-domaine.fr;
    return 301 https://$host$request_uri;
}
  1. Mettre à jour WordPress. Si vous utilisez WordPress, changez l’URL du site dans Paramètres > Général pour utiliser https://. Le plugin Really Simple SSL automatise cette transition.

Éviter le “contenu mixte”

Après activation du HTTPS, vérifiez l’absence de “contenu mixte” (mixed content) : des ressources (images, scripts, CSS) encore chargées en HTTP sur une page HTTPS.

Votre navigateur signale ce problème dans la console développeur (F12). Sur WordPress, le plugin Really Simple SSL corrige la plupart des cas automatiquement.

HSTS : la dernière étape

HSTS (HTTP Strict Transport Security) est un en-tête HTTP qui indique aux navigateurs de toujours utiliser HTTPS pour votre domaine, même si l’utilisateur tape http://. C’est une protection supplémentaire contre certaines attaques.

À activer une fois que vous êtes certain que votre HTTPS fonctionne parfaitement — une mauvaise configuration HSTS peut rendre votre site inaccessible pendant des mois.

Activez-le via votre hébergeur ou en ajoutant l’en-tête dans votre configuration serveur :

Strict-Transport-Security: max-age=31536000; includeSubDomains

Le HTTPS est une étape fondamentale que tout site doit franchir. Avec Let’s Encrypt et les outils modernes d’hébergement, il n’y a plus aucune raison de s’en priver.

Vous cherchez le meilleur rapport qualité-prix ?

Consultez nos comparatifs détaillés pour faire le bon choix.

Sophie Laurent

Écrit par

Sophie Laurent

Développeuse web et consultante en infrastructure depuis 10 ans. Sophie a géré des centaines de migrations d'hébergement et teste chaque fournisseur avec des benchmarks réels de performance, uptime et support technique.