Qu’est-ce qu’un certificat SSL gratuit et comment l’obtenir ?
La navigation sur le Web via HTTPS est devenu la norme et tous les sites internet doivent être sécurisés. Le certificat SSL gratuit est-il une bonne alternative aux certificats SSL payants ? Qu'est-ce qu'un certificat SSL gratuit et comment l'obtenir ?
Avec son certificat SSL gratuit, l’autorité de certification Let’s Encrypt vous permet de sécuriser votre site web avec un certificat gratuit obtenu en moins de 5 minutes.
Est-ce qu’un certificat SSL gratuit offre le même niveau de sécurité ? Est-il vraiment gratuit ? Comment l’obtenir et l’installer ?
Nous vous apportons les réponses dans cet article.
Qu’est-ce qu’un certificat SSL gratuit ?
Le certificat SSL gratuit existe depuis longtemps, la fondation OpenSSL vous permet par exemple de créer un certificat SSL auto-signé gratuitement depuis 1998 grâce à une boite à outils de chiffrement.
Un certificat SSL ou certificat électronique ou encore certificat numérique est l’équivalent d’une carte d’identité numérique. Le certificat se matérialise par un fichier de données liant une clé cryptographique aux informations d’une personne physique ou morale. Il permet de sécuriser des échanges de données par chiffrement (128 bits, 256 bits…).
L’installation d’un certificat SSL sur votre site internet sécurise les informations échangées avec vos visiteurs. Il permet également à vos visiteurs de vous identifier en tant que propriétaire et d’être certains de l’existence de votre entreprise à la date de l’installation du certificat SSL.
Pour un site internet, la mise en place d’un certificat SSL (TLS) permet le passage du protocole HTTP au protocole HTTPS.
Le certificat SSL auto-signé
Un certificat auto-signé est un certificat gratuit créé à partir d’une boite à outils open source (OpenSSL). OpenSSL vous permet en effet de créer en quelques étapes votre certificat SSL, à condition de maîtriser Linux.
La création d’un certificat auto-signé convient pour une utilisation personnelle, à contrario, pour sécuriser votre site internet, votre certificat SSL doit être délivré par une autorité de certification (Certificate Authority, CA, AC).
Un certificat SSL auto-signé peut déclencher un message d’alerte dans les navigateurs web alors qu’un certificat SSL (de type X.509) émit par une autorité de certification vous assure le cadenas vert pour l’intégralité de votre domaine (à condition que le certificat SSL soit correctement installé).
Le certificat SSL gratuit Let’s Encrypt
À l’initiative de l’Electronic Frontier Foundation (un projet indépendant de Mozilla), le groupe de recherche sur la sécurité Internet (ISRG) a créé Let’s Encrypt.
Let’s Encrypt est une autorité de certification libre, automatisée et ouverte (A free, automated, and open certificate authority). Elle est soutenue par des donateurs tels qu’OVH, Cisco, Mozilla, Chrome, Facebook…
Let’s Encrypt est donc une autorité de certification qui délivre des certificats SSL gratuits depuis décembre 2015 (en version bêta publique). Grâce à Let’s Encrypt, il est possible d’obtenir un certificat SSL gratuit et fiable !
Le certificat SSL délivré gratuitement par Let’s Encrypt est un certificat SSL de type DV.
Les caractéristiques du certificat Let’s Encrypt :
- ils sont gratuits et délivrés par une autorité de certification,
- ils permettent une connexion sécurisée via le protocole HTTPS, ils peuvent sécuriser un serveur web, un serveur de messagerie, un serveur FTP,…
- l’émission du certificat est automatisée et prend moins de 5 minutes,
- les certificats sont valables 90 jours (il est possible d’automatiser le renouvellement),
- ils sont uniquement de type validation de domaine (DV),
- les certificats Let’s Encrypt sont reconnus et compatibles avec quasiment tous les navigateurs et toutes les applications,
- ils sont de type X.509 et utilisent la fonction de hachage SHA-2.
Pour sécuriser un site vitrine ou un blog, un certificat SSL gratuit est une bonne alternative aux certificats payant émis par les autres autorités de certification. Le certificat Let’s Encrypt est vraiment gratuit et offre un très bon niveau de sécurité.
Par contre son installation sera certainement payante, sauf si vous disposez des compétences nécessaires.
Pour un site e-commerce, il est préférable d’opter pour un certificat de type OV ou EV (OV pour validation de l’organisation ou EV pour validation étendue).
L’autorité de certification StartSSL délivre également des certificats SSL gratuits.
Pourquoi installer un certificat SSL ?
Au delà de la protection des données échangées, la sécurisation du web est une priorité de Google. Dans les faits, Google incite les éditeurs de sites web à passer en HTTPS depuis 2014.
Depuis janvier 2017, Google Chrome signale un danger dans sa barre d’adresse pour tous les sites web non accessibles en HTTPS. Le résultat des actions de Google se traduit par une croissance forte des sites sécurisés SSL. Avec la forte croissance du certificat SSL gratuit, 50 % des pages chargées en janvier 2017 étaient sécurisées.
Évolution du pourcentage des pages chargées via HTTPS
OVH a généré 2,2 millions de certificats SSL en quelques mois. Source : Let’s Encrypt
Mise à jour du 11 novembre 2024 : le pourcentage de pages chargées via HTTPS sur Chrome est de 99% (source, Google transaprencyreport.com)
Comment obtenir un certificat SSL gratuit ?
Pour obtenir un certificat SSL gratuit et sécuriser votre site web, il vous suffit d’avoir la main sur votre serveur apache. Let’s Encrypt propose un outil qui permet la mise en place automatique du certificat sur votre domaine en quelques lignes de commande.
Un certificat SSL s’installe en effet au niveau de l’hébergement de votre site et plus précisément au niveau de votre serveur web. Pour savoir si votre serveur web est compatible avec l’installation d’un certificat SSL gratuit, vous devrez prendre contact avec votre hébergeur.
En parlant d’hébergeur, si votre hébergement WordPress est chez IONOS, vous profitez d’un certificat SSL gratuit (c’était en 2017). C’est désormais la norme chez tous le hébergeurs web en 2024.
Comment l’installer ?
L’installation d’un certificat SSL est gratuite si vous la réalisez par vos propres moyens. Composée de plusieurs étapes, son installation requiert des compétences en développement web. Cela commence par vous assurer d’avoir les accès suivants :
- l’accès au FTP,
- un accès au serveur web (accès SSH ou via un panel de type Plesk ou cPanel),
- l’accès au manager du domaine,
- à la console d’administration du site internet.
L’installation d’un certificat SSL
- Étudiez votre besoin et choisissez le type de certificat SSL à installer (DV, OV, EV, SAN, SSL wildcard,…)
- Étudiez la faisabilité technique (votre serveur d’hébergement, le CMS utilisé, les redirections à prévoir, backlink,…),
- Choix de votre autorité de certification et achat du certificat SSL (payant ou gratuit),
- Génération du certificat SSL (CSR) et installation du certificat sur le serveur web,
- Réécriture de toutes les URLs du site internet, passage de HTTP à HTTPS,
- Mise en place des redirections 301,
- Contrôle des redirections 301 et de la présence du cadenas vert sur tous les pages du site.
Pour les novices en développement web, vous devrez confier l’installation de votre certificat SSL à votre hébergeur ou à une agence web.
Conclusion
La mise en place d’une connexion sécurisée à votre site web via SSL est inéluctable.
Le certificat SSL gratuit est une bonne alternative aux certificats payants pour la majorité des sites internet.
Pour les sites e-commerces ou pour une validation de votre organisation, vous devrez opter pour un certificat payant.