Le « S » pour « Secured » veut dire que les données échangées entre le navigateur et le serveur web sont chiffrées et ne peuvent en aucun cas être espionnées ou modifiées. Ce qui implique la confidentialité et l’intégrité des données échangées. 

 

Comment fonctionne le HTTPS ?

Le HTTPS fonctionne grâce au protocole TLS (Transport Layer Security), anciennement SSL (Secure Sockets Layer), la technologie de sécurité standard qui permet d’établir une connexion chiffrée entre le navigateur et le serveur web. Lorsque le certificat TLS est activé pour un site web, cela affichera ainsi le HTTPS, le cadenas vert et le mot « Sécurisé » dans la barre d’adresse de votre navigateur.

En revanche, si le certificat de sécurité n’est pas installé sur votre site web, les données s’échangeront en clair entre le navigateur du client qui visite votre site et le serveur web. Un petit malin ou même votre fournisseur d’accès à Internet (s'il est bien entendue mal intentionné) a la capacité d’intercepter les paquets de données sur le réseau afin de lire ou modifier le contenu.

 

Pourquoi est-il recommandé d'utiliser le protocole HTTPS ? 

Avec la cybercriminalité sans cesse croissante, il est recommandé d’utiliser le protocole HTTPS pour sécuriser le flux des données comme mentionné plus haut. 

Le HTTPS protège les données entre le navigateur et le serveur web renforçant ainsi la confidentialité et l’intégrité des données échangées. 

Le HTTPS a aussi un impact considérable sur le référencement naturel d’un site web. Cette annonce a été effectué par Google en 2014 afin de promouvoir l’utilisation du HTTPS. 

De nos jours certains navigateurs (notamment Google Chrome) affichent automatiquement les sites http comme étant des sites non-sécurisés.  

 

Quel sont les niveaux de validation SSL/TLS ?

Il existe trois niveaux d’authentification lors de l’émission des certificats permettant d’afficher le HTTPS :

 

Domain Validated (DV) : c’est le certificat le plus courant car il est moins cher et facile à installer. En fait il peut être installé en quelques minute car le client doit simplement démontrer qu’il est le propriétaire du domaine sur lequel il souhaite valider le certificat. La validation peut être effectuée par mail ou par un fichier à placer à la racine du site web.

Organisation Validated (OV) : en plus de démontrer qu’on est le propriétaire du domaine, l’entreprise doit se faire identifier et prouver qu’elle existe vraiment sur le plan légal. La procédure de vérification peut prendre quelques jours et lorsqu’elle est validée, le nom de l’entreprise ou de l’organisation est affichée dans le certificat du domaine.

Extended Validated (EV) : EV est le niveau de validation le plus élevé. L’autorité de certification procède carrément à un audit de l’organisation vérifiant au passage ses antécédents et s’assure que les informations sur celle-ci sont non seulement correctes, mais qu’elle possède un droit exclusif sur l’utilisation du nom de domaine. Ceci ayant pour but de garantir un haut niveau de confiance et de d’intégrité. L’audit peut prendre plusieurs semaines et lorsque la vérification est validée, le nom de l’organisation est affiché dans le certificat du domaine et apparait permanemment en vert sur la barre d’adresse du navigateur lorsque le site web est consulté.