Certificats SSL expliqués : Types, installation et dépannage
· 12 min de lecture
Table des matières
- Qu'est-ce qu'un certificat SSL ?
- Comment fonctionne le chiffrement SSL/TLS
- Types de certificats : DV, OV et EV
- Let's Encrypt : SSL gratuit pour tous
- Installation des certificats SSL
- Résolution des problèmes de contenu mixte
- Renouvellement et expiration des certificats
- Problèmes SSL courants et solutions
- Meilleures pratiques de sécurité SSL
- Questions fréquemment posées
- Articles connexes
Les certificats SSL/TLS sont le fondement de la communication web sécurisée. Ils chiffrent les données transmises entre les navigateurs et les serveurs, authentifient l'identité du site web et sont devenus essentiels pour le référencement SEO et la confiance des utilisateurs. Si vous avez déjà vu une icône de cadenas dans la barre d'adresse de votre navigateur, vous avez rencontré un certificat SSL en action.
Ce guide complet couvre tout ce que vous devez savoir sur les certificats SSL—de la compréhension des différents types à l'installation, au dépannage et à la maintenance. Que vous sécurisiez votre premier site web ou que vous gériez une infrastructure d'entreprise, vous trouverez ici des informations pratiques et des solutions concrètes.
🔒 Vérification rapide : Testez votre configuration SSL avec notre Vérificateur SSL pour identifier les problèmes instantanément.
Qu'est-ce qu'un certificat SSL ?
Un certificat SSL (Secure Sockets Layer) est un document numérique qui lie une paire de clés cryptographiques à un nom de domaine ou une organisation. Malgré le nom, les certificats modernes utilisent en réalité le protocole TLS (Transport Layer Security)—le successeur de SSL—mais le terme « certificat SSL » reste largement utilisé.
Fondamentalement, un certificat SSL remplit trois fonctions critiques :
- Chiffrement : Brouille les données pour que seul le destinataire prévu puisse les lire
- Authentification : Prouve que le site web est bien celui qu'il prétend être
- Intégrité des données : Garantit que les données n'ont pas été altérées pendant la transmission
Lorsque vous visitez un site web avec HTTPS (le « S » signifie Sécurisé), votre navigateur effectue une poignée de main TLS avec le serveur. Pendant ce processus, le navigateur vérifie que le certificat est valide, émis par une autorité de certification (CA) de confiance, correspond au domaine que vous visitez et n'a pas expiré.
Sans certificat SSL valide, les navigateurs affichent des avertissements « Non sécurisé » bien visibles qui peuvent faire fuir les visiteurs. Les navigateurs modernes restreignent également les fonctionnalités puissantes—comme la géolocalisation, l'accès à la caméra et les service workers—aux contextes HTTPS uniquement pour des raisons de sécurité.
Conseil de pro : Google a confirmé HTTPS comme signal de classement depuis 2014. Les sites sans certificats SSL peuvent être moins bien classés dans les résultats de recherche, ce qui rend SSL essentiel à la fois pour la sécurité et le SEO.
Comment fonctionne le chiffrement SSL/TLS
Comprendre le processus de poignée de main TLS aide à démystifier comment les certificats SSL protègent vos données. Voici ce qui se passe dans les millisecondes après que vous ayez demandé une page web sécurisée :
- Client Hello : Votre navigateur envoie les versions TLS et suites de chiffrement prises en charge au serveur
- Server Hello : Le serveur répond avec sa version de protocole et suite de chiffrement choisies
- Transmission du certificat : Le serveur envoie son certificat SSL et sa clé publique
- Vérification du certificat : Votre navigateur valide le certificat auprès des CA de confiance
- Échange de clés : Les deux parties établissent une clé de session partagée en utilisant le chiffrement asymétrique
- Communication sécurisée : Toutes les données suivantes sont chiffrées avec le chiffrement symétrique en utilisant la clé de session
Ce processus utilise deux types de chiffrement. Le chiffrement asymétrique (paires de clés publique/privée) sécurise la poignée de main initiale, tandis que le chiffrement symétrique (clé de session partagée) gère le transfert de données réel car il est beaucoup plus rapide.
Le certificat lui-même contient plusieurs informations clés :
- Nom(s) de domaine pour lesquels le certificat est valide
- Détails de l'organisation (pour les certificats OV et EV)
- Clé publique
- Autorité de certification émettrice
- Période de validité (dates d'émission et d'expiration)
- Signature numérique de la CA
Votre navigateur maintient une liste de CA racines de confiance. Lorsqu'il reçoit un certificat, il vérifie la signature numérique de la CA pour s'assurer que le certificat est légitime et n'a pas été altéré.
Types de certificats : DV, OV et EV
Les certificats SSL existent en trois niveaux de validation, chacun offrant la même force de chiffrement mais différents niveaux de vérification d'identité. Le choix du bon type dépend de l'objectif de votre site web et des attentes de vos visiteurs.
Certificats à validation de domaine (DV)
Les certificats DV vérifient uniquement que vous contrôlez le domaine. La CA confirme la propriété en vérifiant les enregistrements DNS ou en vous demandant de télécharger un fichier spécifique sur votre serveur web. Ce processus est entièrement automatisé et se termine généralement en quelques minutes.
Idéal pour : Blogs, sites web personnels, sites de petites entreprises, environnements de développement
Avantages :
- Émis en quelques minutes, souvent instantanément
- Émission et renouvellement entièrement automatisés
- Options gratuites disponibles (Let's Encrypt)
- Même force de chiffrement que OV/EV
Limitations :
- Aucune vérification de l'identité de l'organisation
- Les détails du certificat n'affichent que le nom de domaine
- Peut ne pas inspirer confiance pour les sites e-commerce
Certificats à validation d'organisation (OV)
Les certificats OV vérifient à la fois le contrôle du domaine et la légitimité de l'organisation. La CA effectue une vérification commerciale, en consultant les bases de données gouvernementales et en contactant directement l'organisation. Ce processus prend généralement 1 à 3 jours ouvrables.
Idéal pour : Sites web d'entreprise, sites corporatifs, organisations souhaitant afficher une identité vérifiée
Avantages :
- Le nom de l'organisation apparaît dans les détails du certificat
- Fournit une assurance d'identité aux visiteurs
- Convient aux transactions interentreprises
Limitations :
- Nécessite un processus de vérification manuel
- Coûte plus cher que les certificats DV
- Prend plus de temps à émettre
Certificats à validation étendue (EV)
Les certificats EV nécessitent le processus de vérification le plus rigoureux, incluant des vérifications juridiques, physiques et opérationnelles. La CA vérifie le statut juridique de l'organisation, l'adresse physique et que la personne demandant le certificat a l'autorité pour le faire.
Idéal pour : Institutions financières, plateformes e-commerce, sites gouvernementaux, applications haute sécurité
Avantages :
- Plus haut niveau d'assurance d'identité
- Démontre l'engagement envers la sécurité
- Peut réduire la fraude et augmenter la confiance des clients
Limitations :
- Option la plus coûteuse
- La vérification prend 1 à 2 semaines
- Les navigateurs ont supprimé l'indicateur de barre d'adresse verte en 2019
- Nécessite une revérification annuelle
Conseil rapide : Pour la plupart des sites web, les certificats DV offrent une sécurité adéquate. La force de chiffrement est identique pour tous les niveaux de validation—la différence réside uniquement dans la vérification d'identité.
| Fonctionnalité | DV | OV | EV |
|---|---|---|---|
| Niveau de validation | Domaine uniquement | Domaine + Organisation | Domaine + Organisation complète |
| Délai d'émission | Minutes | 1-3 jours | 1-2 semaines |
| Force de chiffrement | 256 bits | 256 bits | 256 bits |
| Coût | Gratuit - 50 $/an | 50 $ - 200 $/an | 150 $ - 500 $/an |
| Automatisation | Entièrement automatisé | Vérification manuelle | Vérification manuelle |
| Idéal pour | La plupart des sites web | Sites d'entreprise | Finance/Gouvernement |
Let's Encrypt : SSL gratuit pour tous
Let's Encrypt a révolutionné la sécurité web en offrant des certificats SSL gratuits et automatisés, approuvés par tous les principaux navigateurs. Lancé en 2016 par l'Internet Security Research Group (ISRG), il a émis plus de 3 milliards de certificats et a aidé à chiffrer plus de 300 millions de sites web.
La mission du projet est simple : faire de HTTPS la norme par défaut pour l'ensemble du web en supprimant les obstacles de coût et de complexité. Les certificats Let's Encrypt sont des certificats DV avec des périodes de validité de 90 jours, conçus spécifiquement pour l'automatisation.
Pourquoi 90 jours ?
La courte période de validité peut sembler peu pratique, mais c'est en fait une fonctionnalité de sécurité :
- Limite l'exposition : Si une clé privée est compromise, la fenêtre de vulnérabilité est plus courte
- Encourage l'automatisation : Force les meilleures pratiques autour du renouvellement automatisé
- Réduit l'impact de la révocation : Les certificats expirent rapidement de toute façon, réduisant la dépendance à la vérification de révocation
Configuration de Let's Encrypt avec Certbot
Certbot est le client officiel Let's Encrypt qui automatise l'émission et le renouvellement des certificats. Voici comment le configurer sur les plateformes courantes :
Pour Nginx sur Ubuntu/Debian :
sudo apt update
sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d example.com -d www.example.comPour Apache sur Ubuntu/Debian :
sudo apt update
sudo apt install certbot python3-certbot-apache
sudo certbot --apache -d example.com -d www.example.comCertbot va automatiquement :
- Vérifier la propriété du domaine via un défi HTTP-01 ou DNS-01
- Générer une clé privée et une demande de signature de certificat (CSR)
- Obtenir le certificat auprès de Let's Encrypt
- Installer le certificat dans la configuration de votre serveur web
- Configurer le renouvellement automatique via cron ou un timer systemd
Conseil de pro : Testez votre processus de renouvellement manuellement avec sudo certbot renew --dry-run pour vous assurer que l'automatisation fonctionne avant l'expiration de votre certificat.
Clients ACME alternatifs
Bien que Certbot soit le plus populaire, d'autres clients ACME (Automatic Certificate Management Environment) offrent différentes fonctionnalités :
- acme.sh : Script shell léger, dépendances minimales
- Caddy : Serveur web avec HTTPS automatique intégré
- Traefik : Proxy inverse avec intégration automatique Let's Encrypt
- cert-manager : Gestion de certificats native Kubernetes
Certificats génériques
Let's Encrypt prend en charge les certificats génériques (par ex., *.example.com) qui couvrent tous les sous-domaines. Ceux-ci nécessitent une validation DNS-01, où vous ajoutez un enregistrement TXT à votre zone DNS :
sudo certbot certonly --manual --preferred-challenges dns -d *.example.comPour les renouvellements automatiques de certificats génériques, utilisez un plugin DNS qui s'intègre avec votre fournisseur DNS :
sudo certbot certonly --dns-cloudflare --dns-cloudflare-credentials ~/.secrets/cloudflare.ini -d *.example.comInstallation des certificats SSL
L'installation d'un certificat SSL varie selon le serveur web et l'environnement d'hébergement. Voici des instructions détaillées pour les scénarios les plus courants.
Installation manuelle sur Nginx
Si vous utilisez un certificat commercial ou avez besoin d'une installation manuelle, suivez ces étapes :
- Obtenez vos fichiers de certificat : Vous recevrez un fichier de certificat (
certific