Tout savoir sur les certificats SSL (2026)

Aux débuts d'Internet, toutes les requêtes et réponses des sites web étaient transmises en « texte brut ». Cela signifiait qu'elles étaient potentiellement visibles par des espions numériques, rendant risqué la transmission d'informations comme les identifiants de connexion, les numéros de carte de crédit et autres données personnelles sensibles.

Au milieu des années 1990, Netscape a développé un protocole de sécurité pour chiffrer les informations confidentielles lors de la livraison et du transfert de contenu web. Ce protocole était appelé SSL (Secure Sockets Layer) et évoluerait plus tard vers un autre protocole, appelé TLS (Transport Layer Security).

Lorsqu'on parle de sécurité en ligne, le terme « SSL » revient souvent, surtout pour ceux qui gèrent ou envisagent de lancer un site de vente en ligne sur des plateformes comme Shopify.

Mais qu'est-ce que cela signifie réellement et pourquoi est-ce essentiel pour votre entreprise en ligne ?

Certificat SSL : définition

Un certificat SSL (Secure Socket Layer) est un certificat numérique qui authentifie l'identité d'un site web et crée une connexion chiffrée entre celui-ci et un navigateur.

Parfois appelés certificats SSL/TLS ou certificats numériques, ils protègent l'identité de la connexion distante et rendent les interactions en ligne privées.

Ce certificat garantit que les données échangées entre un utilisateur et un site web restent privées grâce à une combinaison de deux clés, publique et privée, qui sécurise les données. Un certificat SSL agit à la fois comme un passeport pour vérifier l'identité du propriétaire du site web et comme une clé pour garder les données utilisateur sécurisées via un chiffrement robuste.

Reconnaître un site web utilisant un certificat SSL est assez facile : l'URL commencera toujours par « https:// » au lieu de « http:// ». C'est cette distinction qui indiquera au visiteur avisé que sa connexion à votre site est sécurisée.

Si vous êtes propriétaire d'une boutique Shopify, l'utilisation d'un certificat SSL assure non seulement la sécurité des transactions de carte de crédit de vos clients, mais renforce également leur confiance en votre marque.

Qu'est-ce qu'une autorité de certification SSL (CA) ?

Les certificats SSL sont délivrés par des organisations appelées autorités de certification (CA). Une CA est une organisation tierce de confiance qui garantit l'identité d'un site web. Elles sont dignes de confiance car elles sont peu nombreuses, bien connues et doivent franchir des barrières d'entrée élevées. Il n'y a qu'un peu plus de 100 CA dans le monde, et elles font l'objet d'audits réguliers.

Avant de délivrer un certificat, la CA vérifie les informations du demandeur du certificat, comme la propriété du site, le nom, l'emplacement, et plus encore, selon les normes industrielles établies. La CA signe numériquement le certificat avec sa propre clé privée, permettant aux clients de le vérifier. Pour fournir ce service, la plupart des CA facturent des frais annuels modiques (bien que des certificats SSL gratuits soient disponibles auprès de certains hébergeurs web et CA à but non lucratif).

Le certificat SSL est un petit fichier numérique, généralement de quelques kilo-octets, installé sur le serveur supportant TLS et partagé avec d'autres. Ce fichier contient :

• Le nom de domaine du site pour lequel le certificat a été délivré
• L'organisation à laquelle il a été délivré (le détenteur du certificat)
• Le nom de l'autorité de certification émettrice
• La signature numérique de l'autorité de certification
• Tous les sous-domaines associés
• La date d'émission et d'expiration du certificat
• La clé publique (la clé privée n'est pas partagée)

Chaque fois que vous utilisez un navigateur pour vous connecter à une URL commençant par « https:// », ou que vous voyez une icône de cadenas vert dans la barre d'adresse du navigateur, vous savez que vous avez une connexion TLS sécurisée vérifiée par un certificat SSL délivré par une CA. Cliquer sur l'icône du cadenas affichera des informations supplémentaires sur le certificat SSL, le propriétaire du domaine et la connexion.

Bien que ce cadenas signifie que votre connexion au site est sécurisée, cela ne signifie pas nécessairement que le site est sûr. Le fait que vous puissiez vous connecter de manière sécurisée à un site ne signifie pas qu'il n'est pas contrôlé par des acteurs malveillants.

Comment fonctionnent les certificats SSL ?

Un certificat SSL utilise des algorithmes de chiffrement pour brouiller les données en transit. Cela garantit que toutes les données transférées entre un navigateur et un site web restent impossibles à lire pour un tiers.

La communication sécurisée via TLS repose sur deux certificats - un public et un privé - pour créer une connexion sécurisée.

SSL ou TLS : quelle différence ?

Vous avez peut-être aussi entendu parler du certificat TLS, qui signifie « Transport Layer Security ». En réalité, TLS est l'évolution de SSL.

Alors que les termes sont souvent utilisés de manière interchangeable, aujourd'hui, il est plus courant d'utiliser la dénomination « TLS » dans un contexte tech. Cependant, le terme « SSL » reste le plus communément utilisé dans le domaine e-commerce, notamment pour les configurations de Shopify.

Le processus de handshake SSL

Lorsqu'un navigateur tente de se connecter à un site web sécurisé avec TLS, cette communication est établie par un « handshake », ou communication bidirectionnelle qui ne prend que quelques millisecondes. Les étapes de ce handshake sont :

1. Le client (navigateur) se connecte au site web sécurisé SSL (serveur).
2. Le client demande au serveur de s'identifier.
3. Le serveur envoie une copie de son certificat SSL.
4. Le client examine le certificat SSL pour sa fiabilité et signale au serveur s'il passe le test.
5. Le serveur initie un accord signé numériquement pour commencer une session chiffrée SSL.
6. Les données chiffrées circulent maintenant librement et en sécurité entre le navigateur et le serveur.

Cryptographie et chaînes de confiance

La mise en place d'une connexion sécurisée entre un site web et un utilisateur repose sur des principes fondamentaux de cryptographie, de vérification d'identité et de confiance. Des éléments essentiels pour protéger votre site web contre les fraudes ou les cyberattaques.

• Cryptographie. C'est l'un des éléments phares d'un certificat SSL, et un rempart permettant de protéger les informations sensibles d'un site comme d'un utilisateur. La cryptographie transforme ainsi les informations claires en un code indéchiffrable pour empêcher l'accès non autorisé. Le handshake initial utilise un chiffrement asymétrique basé sur des clés publiques et privées. Après validation, le client et le serveur échangent des clés privées temporaires utilisées uniquement pour la session. Cela permet un chiffrement et déchiffrement plus efficaces.
• Chaînes de confiance et autorités de certification (CA). Un certificat SSL n'est pas simplement une suite de chiffres et de lettres. Il est le reflet d'un réseau de confiance établi par les autorités de certification (AC). Ces organisations clés délivrent les certificats numériques après avoir vérifié l'identité de ceux qui en font la demande. Pour qu'un certificat SSL soit considéré comme valide par les navigateurs, une AC reconnue doit le signer. Ces autorités sont garantes de l'authenticité d'un site web, assurant aux utilisateurs que leurs données sont en sécurité. En optant pour une plateforme comme Shopify, vous avez la garantie que votre site est protégé par un SSL validé par des AC reconnues, renforçant la confiance de vos visiteurs.

Ces éléments distincts permettent d'assurer la fiabilité d'un certificat SSL, et donc de votre site web.

Types de certificats SSL

Votre site ne ressemble à aucun autre, et doit donc avoir ses propres caractéristiques. C'est pour cette raison même qu'il existe différents types de certificats SSL.

Comprendre leurs caractéristiques et leurs utilisations est ainsi essentiel pour choisir celui qui convient le mieux à votre entreprise ou à votre boutique en ligne. Vous voudrez choisir le bon certificat SSL pour tirer le meilleur parti de SSL. Différents certificats SSL servent différents objectifs et ont différents coûts à considérer :

Certificats de validation de domaine (DV SSL)

Coût : 0 à 99 € par an

Un certificat DV SSL implique une vérification d'identité minimale et automatisée, établissant seulement que le propriétaire a le contrôle sur le domaine ou sous-domaine. Cela se fait généralement par e-mail.

Un certificat DV SSL est le moyen le moins cher d'obtenir un certificat, et la plupart des certificats SSL gratuits sont de ce type. Cependant, il représente le niveau de sécurité de site web le plus bas. Les certificats DV sont utiles pour les blogs, les sites personnels, les petites entreprises, ou tout site web ayant les besoins de sécurité les plus basiques.

Certificats de validation de l'organisation (OV SSL)

Coût : 100 à 999 € par an

Un certificat OV SSL offre une garantie plus forte de l'identité du porteur. Pour obtenir un certificat OV, l'acheteur doit passer neuf vérifications de validation.

C'est un certificat d'entreprise de niveau intermédiaire, et la CA émettrice garantit que l'organisation affiliée au certificat est valide et en règle. C'est une bonne approche pour les entreprises qui ne conduisent pas de transactions financières ou e-commerce via leur site.

Certificats de validation étendue (EV SSL)

Coût : 1 000 € et plus par an

Un certificat EV SSL représente le plus haut niveau de vérification d'identité, le rendant le plus adapté pour les corporations, entités financières et sites web e-commerce. Seize vérifications de validation sont impliquées, incluant à la fois l'identité légale et l'emplacement physique.

L'utilisateur final voit une barre de navigateur verte, indiquant le plus haut niveau de vérification, ainsi que des informations corporatives supplémentaires derrière le cadenas. Il permet ainsi aux visiteurs du site de voir immédiatement l'identité de son propriétaire, ce qui leur évite l'accès à des sites frauduleux.

Autres types de certificats SSL pour votre site web

Il existe d'autres types de certificats SSL assurant différents protocoles de sécurité pour votre site web :

• Certificats Wildcard : ces certificats sont parfaits pour sécuriser un nombre illimité de sous-domaines sur un seul nom de domaine ;
• Certificats multi-domaine (MDC) : des certificats idéaux pour sécuriser plusieurs noms de domaine avec un seul certificat ;
• Certificats pour les communications unifiées (UCC) : originellement conçus pour sécuriser Microsoft Exchange et Live Communications Server, ils sont aussi utilisés pour sécuriser plusieurs noms de domaine, sous-domaines, et adresses IP.

La différence entre HTTP et HTTPS

HTTP signifie Hypertext Transfer Protocol. Il envoie des informations entre un site web et ses visiteurs en texte brut que n'importe qui peut intercepter et lire. Pensez-y comme à l'envoi d'une carte postale par la poste. Quiconque manipule la carte postale - comme les facteurs ou les employés du centre de tri - peut lire ce qui est écrit dessus.

HTTPS signifie Hypertext Transfer Protocol Secure. Il utilise des certificats SSL/TLS pour créer des connexions chiffrées. Toutes les données transmises - comme les numéros de carte de crédit ou les mots de passe - sont brouillées en code complexe que seuls votre site web et le navigateur du visiteur peuvent déchiffrer. Pensez-y comme à l'envoi de cette carte postale à nouveau, mais dans une mallette verrouillée dont seuls vous et le destinataire avez la clé.

HTTPS est maintenant devenu standard. Les navigateurs modernes affichent une icône de cadenas pour les sites HTTPS, donnant aux visiteurs confiance que votre site web est légitime et sécurisé. Ils marqueront les sites HTTP comme « Non sécurisé », ce qui peut immédiatement faire fuir les clients potentiels.

Que faire si votre certificat SSL est compromis ?

Apprendre que votre certificat SSL a été compromis, c'est comme découvrir que quelqu'un a copié la clé de votre maison. C'est sérieux, mais il y a un moyen de le réparer :

• Réagissez immédiatement. Révoquez immédiatement votre certificat compromis via votre Autorité de Certification (CA). Fermez temporairement votre site web si vous soupçonnez des attaques actives.
• Enquêtez sur la brèche. Alertez votre fournisseur de sécurité et découvrez comment le certificat a été compromis. Vérifiez vos logs de serveur pour une activité inhabituelle et recherchez des signes d'accès non autorisé ou de malware, comme des tentatives de connexion depuis des adresses IP inhabituelles ou plusieurs tentatives échouées de validation de certificat.
• Obtenez un nouveau certificat. Demandez un nouveau certificat SSL à votre CA. Générez une nouvelle clé privée (très important : ne réutilisez pas l'ancienne !). Puis, installez et configurez le nouveau certificat sur vos serveurs.
• Renforcez votre sécurité e-commerce. Songez à passer à un type de certificat plus sécurisé. Mettez en place une surveillance automatisée pour détecter plus rapidement les problèmes futurs.

Que faire si vous devez sécuriser plusieurs domaines ?

Un seul certificat SSL sécurise un seul nom de domaine. Cependant, de nombreuses entreprises ont besoin d'une solution qui sécurise plusieurs noms de domaine ou sous-domaines. Pour ces entreprises, le protocole SSL fournit deux solutions différentes : un certificat SSL wildcard ou un certificat SSL multi-domaine. Voici comment ils diffèrent :

Certificat SSL Wildcard

Certaines entreprises utilisent plusieurs sous-domaines (par exemple, mail.exemple.com, boutique.exemple.com) pour servir différentes fonctions sur le même site web. Pour ces organisations, la meilleure solution SSL est généralement un certificat SSL wildcard. Un certificat SSL wildcard sécurise le domaine principal d'un site web, ainsi que tous les sous-domaines associés, réduisant les coûts et simplifiant l'administration.

Certificat SSL multi-domaine

Alors que les certificats SSL wildcard aident un propriétaire de site web à sécuriser les sous-domaines au sein d'un seul domaine, les certificats SSL multi-domaine (MDC) peuvent sécuriser plusieurs noms de domaine à la fois. Des domaines supplémentaires peuvent être ajoutés à un certificat multi-domaine via des « noms alternatifs de sujet » (SAN) sans avoir besoin d'acquérir un certificat SSL à domaine unique supplémentaire. Les certificats SSL multi-domaine sont parfois connus sous le nom de certificats de communications unifiées (UCC).

Que se passe-t-il quand un certificat SSL expire ?

Quand un certificat SSL expire, c'est comme avoir un badge de confiance retiré de votre entreprise. Voici quelques-unes des conséquences :

• Effraie les visiteurs. Les visiteurs tentant d'accéder à votre site web verront des messages d'avertissement effrayants dans leurs navigateurs. Chrome pourrait afficher un grand écran rouge disant « Votre connexion n'est pas privée », tandis que Firefox avertit les visiteurs que la connexion n'est pas sécurisée. La plupart des gens appuieront rapidement sur le bouton retour quand ils voient ces avertissements.
• Nuit aux capacités SEO. Les moteurs de recherche comme Google n'aiment pas non plus les certificats SSL expirés, et ils feront probablement chuter le classement de votre site web dans les résultats de recherche, car ils privilégient les sites web sécurisés. Cela signifie que moins de personnes vous trouveront via les recherches en ligne.
• Nuit à la confiance des consommateurs. Quand les clients voient des avertissements de sécurité, ils se demanderont si partager leurs informations de carte de crédit ou détails personnels sur votre site est sûr. Certains clients pourraient réfléchir à deux fois avant de revenir, même après que vous ayez réparé le certificat.

💡 La bonne nouvelle : Les dates d'expiration des certificats sont prévisibles. Elles sont directement sur votre certificat SSL. La plupart des certificats durent un an, bien que certains fournisseurs offrent des certificats de deux ans. Pensez à renouveler votre certificat au moins quelques semaines avant qu'il expire.

Comment obtenir un certificat SSL

Acquérir des certificats SSL à domaine unique ou multi-domaine et sécuriser les données utilisateur sur votre site web peut être complexe. Voici comment faire :

1. Déterminez le niveau de sécurité de site web dont vous avez besoin. Choisissez entre DV, OV, ou EV SSL. (Si vous avez plusieurs domaines ou sous-domaines, vous pourriez avoir besoin d'ajouter ou substituer un certificat wildcard ou MDC.) Examinez vos besoins organisationnels et votre budget et choisissez le niveau approprié de vérification d'identité.
2. Déterminez les domaines et sous-domaines à supporter. Si vous n'en avez qu'un, vous n'aurez peut-être pas besoin d'obtenir un certificat wildcard.
3. Choisissez une autorité de certification/fournisseur. Si vous avez un site web ou blog peu exigeant en maintenance, vous pourriez juste avoir besoin de travailler avec votre service d'hébergement web et obtenir un certificat gratuit. Les certificats multi-domaine et EV impliqueront une relation payante avec une autorité de certification, auquel cas, il est sage de faire le tour.
4. Générez une demande de signature de certificat (CSR). Un fichier CSR contient des informations sur votre domaine et organisation, et il est utilisé par l'autorité de certification (CA) pour générer votre certificat SSL. Le CSR inclut votre clé publique et doit être soumis à la CA lors de la demande du certificat SSL.
5. Demandez un certificat à votre fournisseur SSL choisi. Cela implique généralement de remplir des formulaires web et de faire des paiements.
6. Vérifiez la propriété et autres détails. La CA fera un suivi pour vérifier les informations que vous avez soumises dans votre demande, exigeant au minimum une vérification par e-mail de la propriété du domaine.
7. Obtenez et installez le certificat. Selon la CA que vous choisissez et votre plateforme web, vous téléchargerez un fichier ZIP contenant la clé publique, une clé privée, et un bundle d'autorité de certification. Si vous travaillez avec un hébergeur web commercial, la console d'administration de votre site inclura généralement des outils pour l'installation de certificat ; si vous travaillez sur votre propre matériel, suivez la documentation de cet environnement.
8. Configurez d'autres applications pour utiliser le certificat. Si vous avez l'intention de supporter des connexions SSL à d'autres applications serveur (par exemple, WordPress, e-mail, etc.), configurez-les pour utiliser votre certificat et le protocole TLS.
9. Confirmez que votre connexion sécurisée fonctionne. Connectez-vous à votre site web et/ou autres applications et assurez-vous d'une connexion sécurisée. Cliquez sur le cadenas et examinez les informations affichées dans votre navigateur.
10. Soumettez votre/vos site(s) aux moteurs de recherche. Vos nouveaux sites web « https » sont distincts de vos anciens sites « http ». Si vos utilisateurs comptent sur les moteurs de recherche pour vous trouver, vous devez re-soumettre votre nouvelle adresse web https pour faire indexer vos pages web.

Pour les marchands Shopify, un certificat SSL est inclus sans frais supplémentaires, garantissant que les données des clients sont sécurisées. De plus, Shopify collabore avec des CA réputées, garantissant une acceptation universelle de votre certificat.