NCSV

Cuisine, maison et vie pratique

SSL/TLS et hébergement sécurisé

SSL/TLS et hébergement sécurisé

Le chiffrement HTTPS est devenu obligatoire sur tout site web sérieux. Derrière ce cadenas dans le navigateur se cache une infrastructure complexe de certificats et de protocoles qu'il vaut mieux comprendre pour bien paramétrer son hébergement.

Qu'est-ce que SSL/TLS

SSL (Secure Sockets Layer) est le protocole historique de chiffrement, désormais remplacé par TLS (Transport Layer Security). Quand on dit « SSL » aujourd'hui, on veut dire TLS. TLS 1.2 est le standard, TLS 1.3 est la version moderne plus rapide et plus sûre.

Le rôle du certificat

Un certificat SSL/TLS remplit deux fonctions : prouver l'identité du site (c'est bien ncsv.info et pas un imposteur) et permettre le chiffrement des échanges. Il est émis par une autorité de certification (CA) reconnue des navigateurs.

Les types de certificats

DV (Domain Validation) : vérifie juste le contrôle du domaine, rapide et bon marché. OV (Organization Validation) : vérifie l'organisation, plus rassurant. EV (Extended Validation) : vérification poussée, affichait autrefois une barre verte. La différence visuelle EV a presque disparu ; DV suffit aujourd'hui pour 99 % des sites.

Let's Encrypt : SSL gratuit

Autorité de certification lancée en 2016, Let's Encrypt émet gratuitement des certificats DV valides 90 jours. Avec un outil comme Certbot, le renouvellement est automatique. Gratuit et automatisé, il n'y a plus aucune excuse de laisser un site en HTTP. La plupart des hébergeurs intègrent Let's Encrypt nativement.

Les certificats wildcard

Un certificat wildcard (*.monsite.com) couvre tous les sous-domaines. Utile pour les sites avec de nombreux sous-domaines. Let's Encrypt émet aussi des wildcards gratuits, mais la validation se fait par DNS (TXT record) au lieu de HTTP.

La configuration côté serveur

Nginx, Apache, HAProxy permettent d'activer TLS. Les bonnes pratiques : désactiver les protocoles obsolètes (SSL 3, TLS 1.0, TLS 1.1), privilégier des suites de chiffrement robustes (AES-GCM, ChaCha20), activer HSTS (force HTTPS sur les navigateurs). Mozilla SSL Configuration Generator fournit des configurations prêtes à l'emploi.

Le test SSL

Qualys SSL Labs (ssllabs.com/ssltest) analyse votre configuration et attribue une note de A+ à F. Viser A+ est facile avec une configuration moderne. L'outil pointe aussi les vulnérabilités connues (POODLE, Heartbleed, etc.).

Les autres enjeux de sécurité

HTTPS ne protège pas tout : il chiffre le transport, pas le serveur lui-même. Une application vulnérable derrière HTTPS reste vulnérable. Configuration, mises à jour, WAF restent nécessaires. Voir notre article sécurité d'hébergement, backup et DDoS.

Le certificate pinning

Technique avancée pour les applications mobiles : l'app n'accepte qu'un certificat précis (ou une CA précise). Protège contre l'interception par certificat frauduleux émis par une CA compromise. À manier avec précaution car une rotation mal gérée peut casser l'app. Pour approfondir, consultez notre guide complet de l'hébergement.

Vous aimerez aussi