Dwenola
Chapitre 1 : Les fondamentaux du web

HTTPS et certificats SSL : la sécurité de base de votre site

Par Billy Rousseau7 min de lectureLeçon 3 · Chapitre 1

HTTPS est la version sécurisée du protocole HTTP qui protège les échanges de données entre le navigateur de vos visiteurs et votre serveur web. Un certificat SSL (ou TLS) chiffre ces communications pour empêcher quiconque de les intercepter. Depuis 2018, Google Chrome affiche "Non sécurisé" sur les sites sans HTTPS, et c'est un critère de référencement. En 2026, un site sans HTTPS perd des visiteurs, du référencement et de la crédibilité.

Si vous vous lancez dans la création de votre site internet, le HTTPS n'est plus une option. C'est un prérequis. La bonne nouvelle, c'est que c'est gratuit et relativement simple à mettre en place. On vous explique tout.

HTTP vs HTTPS : quelle différence ?

Quand on a expliqué le fonctionnement d'un site internet, on a parlé du protocole HTTP. C'est le langage de communication entre votre navigateur et le serveur. Le problème, c'est que HTTP envoie les données en clair : n'importe qui peut les lire s'il intercepte la communication.

HTTPS ajoute une couche de chiffrement grâce au protocole TLS (Transport Layer Security, anciennement appelé SSL). Concrètement :

  • HTTP : Votre navigateur et le serveur échangent des données en texte clair. C'est comme envoyer une carte postale : tout le monde peut la lire.
  • HTTPS : Les données sont chiffrées avant d'être envoyées. C'est comme envoyer une lettre dans une enveloppe scellée que seul le destinataire peut ouvrir.

Vous reconnaissez un site HTTPS au petit cadenas dans la barre d'adresse de votre navigateur, et à l'URL qui commence par https:// au lieu de http://.

Comment fonctionne le certificat SSL/TLS ?

Le certificat SSL est un fichier numérique qui authentifie l'identité de votre site et permet le chiffrement des communications. Voici comment ça se passe quand un visiteur accède à votre site :

  1. Le navigateur demande au serveur de s'identifier.
  2. Le serveur envoie son certificat SSL, qui contient sa clé publique.
  3. Le navigateur vérifie que le certificat est valide (non expiré, émis par une autorité de confiance).
  4. Si tout est bon, le navigateur et le serveur créent une clé de session unique et chiffrée.
  5. Toutes les données échangées sont désormais chiffrées avec cette clé.

Ce processus, appelé "handshake TLS", prend quelques millisecondes. Le visiteur ne voit rien, mais ses données sont protégées.

Les différents types de certificats

Type Vérification Indicateur visuel Prix Idéal pour
DV (Domain Validation) Propriété du domaine uniquement Cadenas Gratuit à 50 €/an Sites vitrines, blogs, PME
OV (Organization Validation) Identité de l'organisation vérifiée Cadenas 50-200 €/an Entreprises établies
EV (Extended Validation) Vérification approfondie de l'entreprise Cadenas + nom de l'entreprise 100-500 €/an Banques, e-commerce majeur
Wildcard Couvre tous les sous-domaines Cadenas 50-300 €/an Sites avec sous-domaines multiples

Pour la très grande majorité des PME, un certificat DV gratuit via Let's Encrypt est amplement suffisant. C'est ce qu'on met en place chez Dwenola pour la plupart de nos projets.

Pourquoi HTTPS est indispensable en 2026

1. Google pénalise les sites sans HTTPS

Depuis 2014, Google utilise HTTPS comme signal de classement. Un site sans HTTPS est désavantagé dans les résultats de recherche par rapport à un concurrent identique avec HTTPS. Ce n'est pas le critère le plus important, mais à contenu égal, HTTPS fait la différence.

2. Les navigateurs alertent vos visiteurs

Chrome, Firefox et Safari affichent un avertissement "Non sécurisé" sur les sites HTTP. Pour un site professionnel, c'est dévastateur. Imaginez qu'un client potentiel arrive sur votre site et voit cet avertissement. La première impression est ruinée.

3. Protection des données de vos visiteurs

Si votre site a un formulaire de contact, un espace membre, ou tout mécanisme qui collecte des données, HTTPS est une obligation légale au regard du RGPD. Les données personnelles doivent être protégées pendant leur transmission.

4. Conformité réglementaire

Le RGPD impose des mesures techniques appropriées pour protéger les données personnelles. Le chiffrement des communications via HTTPS en fait partie. Sans HTTPS, vous vous exposez à des sanctions.

5. Meilleure performance

Cela peut paraître contre-intuitif, mais HTTPS est souvent plus rapide que HTTP. Le protocole HTTP/2, qui améliore significativement les performances, nécessite HTTPS. En activant HTTPS, vous débloquez automatiquement HTTP/2 chez la plupart des hébergeurs.

Comment activer HTTPS sur votre site

Option 1 : Let's Encrypt (gratuit)

Let's Encrypt est une autorité de certification gratuite, automatique et ouverte. C'est la solution la plus populaire et celle que nous recommandons pour la majorité des sites.

La plupart des hébergeurs modernes intègrent Let's Encrypt directement dans leur panneau de contrôle. Chez OVH, o2switch, Infomaniak ou PlanetHoster, l'activation se fait en quelques clics dans l'interface d'administration.

Si votre hébergement propose cPanel ou Plesk, vous trouverez généralement une option "SSL/TLS" ou "Let's Encrypt" dans le panneau de gestion.

Option 2 : Certificat payant via votre hébergeur

Certains hébergeurs proposent des certificats payants (Comodo, DigiCert, Sectigo) avec des garanties financières en cas de faille. C'est rarement nécessaire pour une PME, mais ça peut rassurer dans des secteurs sensibles comme la santé ou la finance.

Option 3 : Cloudflare (gratuit)

Cloudflare propose un certificat SSL gratuit dans le cadre de son service de CDN (Content Delivery Network). En plus du HTTPS, vous bénéficiez d'un cache global qui accélère votre site et d'une protection contre les attaques DDoS. C'est une excellente option complémentaire.

Les étapes après l'activation

Activer le certificat SSL ne suffit pas. Il faut aussi :

  1. Forcer la redirection HTTP vers HTTPS : configurez votre serveur pour que toute requête HTTP soit automatiquement redirigée vers HTTPS (redirection 301).

  2. Mettre à jour les liens internes : vérifiez que tous les liens, images et ressources de votre site utilisent https:// et non http://. Les contenus mixtes (page HTTPS chargeant des ressources HTTP) posent des problèmes de sécurité et d'affichage.

  3. Mettre à jour Google Search Console : ajoutez la version HTTPS de votre site comme nouvelle propriété dans Google Search Console.

  4. Mettre à jour votre sitemap : assurez-vous que votre fichier sitemap référence les URL en HTTPS.

  5. Vérifier les redirections : testez que toutes les variantes de votre URL (http://, http://www., https://www.) redirigent correctement vers votre URL canonique en HTTPS.

Les erreurs SSL courantes et comment les résoudre

  • "Votre connexion n'est pas privée" : le certificat est expiré ou mal configuré. Renouvelez-le ou vérifiez son installation.
  • Contenu mixte : certaines ressources de la page sont chargées en HTTP. Mettez à jour les URL concernées en HTTPS.
  • Erreur de nom : le certificat a été émis pour un domaine différent de celui que vous utilisez. Régénérez le certificat avec le bon nom de domaine.
  • Chaîne de certificats incomplète : il manque un certificat intermédiaire. Votre hébergeur peut généralement corriger cela.

Besoin d'aide ? Chez Dwenola, on crée votre site pro dès 49€/mois. On en discute ?

Questions fréquentes

Le certificat SSL gratuit Let's Encrypt est-il aussi sécurisé qu'un payant ?

Oui, techniquement le niveau de chiffrement est identique. La différence entre un certificat gratuit et un payant ne concerne pas la sécurité du chiffrement, mais le niveau de vérification de l'identité du propriétaire du site et les garanties financières associées. Pour 99 % des PME, Let's Encrypt offre exactement le même niveau de protection.

Mon site n'a pas de formulaire, ai-je quand même besoin de HTTPS ?

Absolument. HTTPS protège la vie privée de vos visiteurs (les pages qu'ils consultent ne sont pas visibles par un tiers), améliore votre référencement, et évite l'avertissement "Non sécurisé" qui fait fuir les visiteurs. En 2026, il n'y a aucune raison valable de ne pas avoir HTTPS.

À quelle fréquence faut-il renouveler un certificat SSL ?

Les certificats Let's Encrypt sont valides 90 jours et se renouvellent automatiquement si votre hébergeur est bien configuré. Les certificats payants sont généralement valides un an. Dans les deux cas, le renouvellement devrait être automatique. Vérifiez régulièrement que c'est bien le cas.

HTTPS ralentit-il mon site ?

Non, c'est même le contraire. Le surcoût du chiffrement TLS est négligeable (quelques millisecondes) et est largement compensé par l'accès au protocole HTTP/2, qui améliore significativement la vitesse de chargement grâce au multiplexage des requêtes et à la compression des en-têtes.

Résumer l'article avec

ChatGPTChatGPTClaudeClaudeGeminiGeminiPerplexityPerplexity
Leçon précédente

Hébergement web : les différentes options expliquées

Leçon suivante

Nom de domaine : comment choisir et acheter le bon