HTTPS, qu'est-ce que c'est ? et comment l'avoir sur son site ?
Publié le : 23/05/2022
HTTPS, qu'est-ce que c'est ? et comment l'avoir sur son site ?
Publié le : 23/05/2022
Publié par : Alexis M.
Temps de lecture
Sommaire
HTTPS, qu'est-ce que c'est ?
Le HTTPS a été créé en 1994 par Netscape, c'est un protocole web basé sur le HTTP avec une surcouche de chiffrement (SSL ou TLS).
Ce protocole sert à sécuriser les "transactions" de données entre le navigateur web de l'utilisateur et le serveur web du site internet. Plus précisément, quand un utilisateur, par exemple, soumet un formulaire de paiement sur un site marchand, les données envoyées via le navigateur au serveur sont :
- Chiffrées, les données sont rendus illisibles par quiconque, n'ayant pas la clé dé déchiffrement
- Protégées, les données ne sont ni modifiables ni corruptible pendant le transfert entre le navigateur et le serveur
Un site étant protégé par HTTPS est identifiable sur votre navigateur via la présence d'un petit cadena dans la barre d'adresse web (URL) et l'adresse du site commence par https://.
Cependant un site avec le protocole HTTPS n'est pas pour autant un gage de fiabilité ou de sécurité du site ! En effet un site malveillant peut très bien être sécurisé en HTTPS, nous allons voir dans la suite de l'article comment créer un certificat HTTPS valide en quelques secondes et gratuitement !
Comment sécuriser par HTTPS son site web
Plusieurs méthodes existent pour sécuriser votre site:
- Passer par votre hébergeur qui généralement propose ce service (souvent payant)
- Acheter un certificat auprès d’une autorité de certification / revendeur agréé et faire l’installation sur son serveur manuellement (payant et souvent assez complexe)
- Utiliser Let’s Encrypt et Certbot
Nous allons nous concentrer dans cet article sur Let’s Encrypt qui est une méthode assez simple pour avoir le HTTPS sur votre site .
Let’s Encrypt qu’est-ce que c’est et comment l’utiliser ?
Let’s encrypt est une autorité de certification créée en Décembre 2015, son objectif est de rendre accessible et gratuit la sécurisation de son site. En 2019 54,67 % des sites français étaient sécurisés avec un certificat Let’s Encrypt.
Pour installer un certificat fourni par cette autorité sur votre site, rien de plus simple !
Identifier votre hébergement, en fonction de votre offre d’hébergement vous ne serez peut-être pas en mesure de passer par cette méthode, souvent pour les serveurs mutualisés vous ne pourrez pas accéder au serveur via SSH, vous pouvez via ce lien https://certbot.eff.org/hosting_providers vérifier si votre hébergeur vous propose un certificat Let’s Encrypt.
Si vous avez accès à votre serveur via SSH vous pouvez suivre les étapes suivantes !
Pour installer votre certificat nous allons utiliser Cerbot (petit package qui va installer / renouveler automatiquement vos certificats pour vos sites internet.
Plusieurs configurations de serveurs sont possibles vous pouvez accéder à la liste ici : https://certbot.eff.org/instructions , dans notre exemple nous allons vous montrer pour un serveur Apache 2 installé sur Ubuntu 20.
Première étape, tout d'abord il faudra se connecter en SSH avec des privilèges sudo à votre serveur.
Vérifier la présence de snapd, c’est un package essentiel pour installer et utiliser Cerbot, il est installé par défaut sur Ubuntu 20.
sudo snap install core; sudo snap refresh core
Si vous n’avez pas snapd d’installé sur votre serveur il faudra utiliser cette commande .
sudo apt install snapd
Un fois snapd bien présent sur votre serveur il faut installer Certbot qui va nous permettre d’installer le certificat pour votre site.
sudo snap install --classic certbot
Puis rendre la commande “certot” accessible sur tout le serveur .
sudo ln -s /snap/bin/certbot /usr/bin/certbot
Dernière étape, maintenant que Certbot est installé sur votre serveur il ne vous reste plus qu’à taper la commande suivante et suivre les instructions.
sudo certbot --apache
Votre site est dès à présent accessible via HTTPS !