SSL / TLS, la base de la cybersécurité
Mon petit blog n'ayant pas forcément besoin d'être bien référencé par les moteurs de recherche et les données qu'il envoie ou reçoit n'étant pas classées "Secret Defense", j'ai toujours laissé de côté ce petit "s" collé au "http" d'une URL. Du moins, jusqu'à aujourd'hui. En effet, au hasard d'un surf sans but dans les méandres du web, j'ai remarqué que presque tous les sites que je visite affichent le fameux "https" dans leurs adresses, même quand les sites en question ne proposent que de la consultation (pas de paiement ni de comptes clients à sécuriser, ce qui est le cas sur mon blog).
Quelques recherches plus tard, j'ai pu constater que beaucoup de sites parlent d'une obligation de sécuriser son site depuis 2017
. Sinon : quoi ? Et bien rien, en fait. Enfin, rien
pour un site perso comme le mien. En revanche, pour un site "pro", c'est devenu indispensable car Google a décidé unilatéralement que pour être bien référencé dans son célèbre moteur de recherche, un site se doit d'afficher le petit cadenas accompagné du sacro-saint "https" dans la barre d'adresse du navigateur client, sans quoi ledit site se retrouvera dans les limbes du référencement, perdu en 153ème page, parmi des millions de résultats.
Et Google n'a pas tort car plus que le référencement, c'est la sécurité des échanges d'informations sur le web qui est en jeu. En forçant ainsi les sites à se mettre à jour, Google oeuvre pour la sécurité de vos données. Ca n'empêchera pas la société en question d'épier nos habitudes sur internet, mais elle le fait de façon sécurisée, c'est le plus important (lol) !
Pour résumer, la technologie employée pour sécuriser nos pages web se nomme SSL / TLS et est basée sur un système de certificat et de clés de chiffrement. Elle permet au serveur (qui "donne" les pages web à votre navigateur) et au client (votre navigateur) de se "reconnaître" et ainsi de se faire confiance pour s'échanger des données.
Le certificat est délivré par une autorité de certification et doit être installé sur le serveur. Il existe des certificats payants comme ceux délivrés par la société Sectigo ou gratuits comme celui délivré par Let's Encrypt, une autorité de certification à but non lucratif. Mon hébergeur faisant bien les choses, c'est le certificat gratuit Let's Encrypt qui est à ma disposition dans ma page d'administration cPanel.
Et comme il n'est jamais trop tard pour bien faire, j'ai donc activé le TLS sur neoeon.net et mis en place une redirection permanente, comme l'atteste cette capture d'écran :
Si vous êtes webmaster et que votre site est hébergé chez un professionnel, il y a de fortes chances que votre certificat TLS soit déjà à votre disposition. Alors si ce n'est pas encore fait, il est temps de faire une petite mise à jour pour toujours plus de sécurité sur les réseaux de l'intraweb (et accessoirement pour votre référencement).
Une fois fait, vous pourrez tester votre certificat sur ssllabs.com. Le test vous donnera une note, la meilleure étant A+.
Edit du 27 Avril 2021 : Parmi les nombreux validateurs SSL existants, une utilisatrice m'a fait part d'un autre validateur plus rapide et convivial que celui de slllabs. Le certificat de votre site ne sera pas noté, mais vous saurez s'il est installé correctement : websiteplanet.