« Let’s Encrypt SSL » avec OVH ! Connaissez-vous les risques que ce certificat SSL gratuit fait courir à votre site web ?

Actualité du SEO ❘ 19 janvier 2018

Sécuriser sa navigation, la transmission de ses données et ses informations personnelles sur le web est primordial. Depuis quelques années, et tout particulièrement depuis début 2017, la question du certificat SSL est de ce fait au centre du débat. Les conseils et articles pleuvent sur le sujet et les prestataires de services se pressent de proposer des solutions plus ou moins pertinentes. Qu’en est-il et que faut-il savoir pour choisir la bonne solution ?

1) Quelques mots sur le certificat SSL :

a) Qu’est-ce qu’un certificat SSL ? :

Vous avez surement déjà vu le petit cadenas vert affiché au sein de la barre d’adresse de votre navigateur ! S’il s’affiche, c’est que le site web que vous consultez est en connexion HTTPS. Il vous garanti un contenu sur et non piraté et la protection des données sensibles que vous pouvez transmettre telles que vos coordonnées bancaires.

Pour obtenir ce degré de sécurité, un site doit obtenir un certificat dit SSL (Secure Sockets Layer) provenant d’une autorité reconnue de certification.
Tous les certificats ne présentent pas les mêmes degrés de garantie. Il y a en a trois types. Seuls ceux mentionnant le nom de l’entreprise à côté du cadenas vous assurent que le site web est bien administré par la société précisée. Ce sont les certificats EV SSL.

b) Les avantages d’une certification SSL pour votre site web :

Les bénéfices d’un certificat SSL pour un site web sont loin d’être négligeables.

Il augmente la confiance des clients vis-à-vis de votre entreprise. C’est un label de qualité.
Depuis 2014, le cryptage SSL fait partie des variables que Google utilise pour bien positionner un site web. Résultat des courses, la certification devrait permettre à un site web d’avoir un meilleur référencement naturel (ou SEO, Search Engine Optimization).

c) Est-il obligatoire ou conseillé ?

Cependant, il faut noter que la nécessité d’un certificat SSL pour un site web dépend pour le moment de certaines variables.
Si vous êtes propriétaire d’un site e-commerce ou proposez des services bancaires en ligne, il est incontournable et obligatoire. Peu d’internautes procèdent encore à des transactions sur des sites non-sécurisés.
Mais l’obtention d’un certificat est de plus en plus conseillée pour bien d’autres raisons :

En janvier 2017, Google qualifiait les sites web sans certificat de dangereux. Google Chrome, le navigateur le plus utilisé au monde, émet désormais un avertissement (dans sa version 56) quand une page web ne dispose pas du certificat SSL. Ce n’est pas engageant pour un internaute !
De plus en plus d’avantages échapperont aux sites non-sécurisés.
Ainsi, WordPress a annoncé que certaines nouvelles fonctionnalités ne seront accessibles qu’aux sites web proposant le protocole HTTPS. Les hébergeurs ne le proposant pas ne seront plus retenus.

2) Le certificat SSL « Let’s Encrypt » d’OVH :

Parmi les certifications SSL proposées sur le marché, il y a celle de OVH, société proposant des noms de domaine et de l’hébergement web notamment.

a) L’offre SSL d’OVH :

Le principe est que votre offre d’hébergement chez OVH installe par défaut sur votre site web une version de certification SSL basique. C’est le « Let’s Encrypt ».

b) Pourquoi pose-t-il problème ?

Comme le certificat « Let’s encrypt » est installé par défaut, votre site web hébergé chez OVH existe désormais en http mais aussi en HTTPS.
Pourquoi ces deux versions de votre site posent-elles un problème ?

Les moteurs de recherche associent le fait d’avoir le même contenu sur plusieurs URL distinctes à une volonté d’améliorer son référencement naturel. La duplication de contenu, ou duplicate content est de ce fait pénalisée par les moteurs de recherche.
Vos efforts pour bien positionner votre site web sur Google risquent de ne plus payer !
Votre site en HTTP ne s’affiche pas correctement. Vous avez peut-être un problème de mixed content. Certains de vos éléments sont encore sur une url en http et de ce fait les navigateurs comme Google Chrome ou Mozilla Firefox ne les chargent pas.

c) Que faire ?

Il y a trois solutions pour éviter ces soucis.

La redirection : Si votre site existait déjà en HTTP, vous devez vous assurer de le rediriger. Le contenu HTTP doit être redirigé en HTTPS. Une seule adresse sera disponible pour un même contenu.
Si vous utilisez un CMS, la redirection est parfois gérée automatiquement. Sinon, il faut agir au sein du fichier .htaccess
Dans le cas du mixed content, plusieurs aides en ligne proposées par les navigateurs vont vous permettent de résoudre les problèmes d’affichages de votre site.
Désactivez le certificat dans votre espace client OVH si vous n’avez pas envie de vous occuper du passage de votre site web en HTTPS pour le moment.

Si vous avez un blog ou un site vitrine, il n’est pas indispensable de se presser pour faire passer son site en HTTPS. Mais au cours des prochains mois, l’intégration d’un certificat SSL va devenir une nécessité. Ce sera un nouveau standard chez Google, Mozilla Firefox et WordPress. Si vous ne le faites pas maintenant, prévoyez de le faire à moyen terme.