Comment utiliser le protocole HTTPS et les certificats SSL pour protéger votre boutique en ligne

Lorsque les clients achètent quelque chose dans votre magasin, ils partagent avec vous leurs données privées (nom, e-mail, détails de leur carte de crédit). En tant que commerçant, vous souhaitez protéger ces données vulnérables contre les pirates informatiques, les escrocs et les voleurs de données. C’est crucial pour établir la confiance avec votre public.

Vous pouvez et devez protéger les données de vos clients et accroître la confiance dans votre entreprise grâce au protocole HTTPS et à un certificat SSL. Non seulement ces outils peuvent améliorer la sécurité et accroître votre fiabilité, mais ils peuvent également aider votre boutique à mieux se classer dans les moteurs de recherche.

Si tu vendre en ligne avec Ecwid, vous serez heureux de savoir que les données de vos clients sont déjà protégées. Pourtant, l’utilisation d’un certificat SSL peut présenter quelques avantages supplémentaires.

Dans cet article, nous allons vous montrer comment fonctionnent le protocole HTTPS et les certificats SSL, et comment vous pouvez les obtenir pour votre site Web.

Comprendre les certificats SSL et le protocole HTTPS

Sur Internet, toutes les données sont transférées d'un appareil à l'autre selon certaines règles ou protocoles.

Pour les sites Web, ce protocole est appelé Protocole de transfert hypertexte (HTTP). Il transfère les données que vos clients saisissent sur votre site Web au serveur qui héberge votre site Web, puis aide à envoyer la réponse au navigateur. Par exemple, l'utilisateur appuie sur un bouton et une nouvelle page s'ouvre, ou il remplit le formulaire d'inscription par courrier électronique et voit la confirmation d'une inscription réussie.

Le problème avec HTTP est qu'il ne protège pas les données transférées des navigateurs vers les serveurs. Toutes les données transitant par HTTP sont essentiellement « nues ».

Une bonne analogie serait de penser à deux élèves se passant des notes dans une classe. N'importe lequel de leurs camarades de classe peut lire, copier ou même remplacer la note. C'est la même chose avec vos données clients : un méchant peut y voler les détails de votre carte de crédit et de l'argent.

C'est pourquoi un nouveau protocole a été créé pour protéger les données : HTTPS (Protocole de transfert hypertexte Sécurisés). Avec HTTPS, tous les transferts de données entre un utilisateur et un serveur Web sont cryptés. Ce cryptage est si complexe qu'il est presque impossible de pirater et d'utiliser les données.

Afin d'utiliser le protocole HTTPS, votre site a d'abord besoin d'un certificat SSL (Secure Socket Layer).

Un certificat SSL est essentiellement une clé pour crypter les données. Il protège les données à trois niveaux :

1. Chiffrement de données. Les pirates ne pourront pas voir les informations qu'un utilisateur a saisies sur le site ni suivre les actions de l'utilisateur sur une page. Considérez-le comme une note écrite avec un chiffre : elle ne peut être lue que par quelqu'un qui connaît la clé.
2. Intégrité des données. Les pirates ne peuvent pas remplacer ou déformer les données transmises. De plus, sans connaître la clé, il est impossible d’écrire, de modifier ou de manipuler les données, tout comme dans le cas d’une note chiffrée.
3. Authentification. SSL garantit qu'un utilisateur se trouve sur un site de confiance et non sur la page d'un pirate informatique. Si seulement deux participants connaissent la clé, ils sauront certainement de qui ils ont reçu la note. Un étranger ne peut pas transmettre sa propre note et obtenir l'information en trichant.

Vous pouvez voir si un site est protégé par un certificat SSL via le protocole HTTPS dans l'adresse URL. La plupart des navigateurs l'indiquent visuellement sous la forme d'une icône de cadenas :

Les certificats SSL sont distribués par des organisations spéciales – centres de certification.

Qui devrait utiliser SSL (et pourquoi)

SSL est requis pour les sites sur lesquels les utilisateurs saisissaient des informations sensibles, telles que les détails de leur carte de crédit. E-commerce Les magasins qui ne veulent pas perdre leurs clients utilisent déjà le protocole HTTPS depuis un certain temps.

Mais souvent, les boutiques en ligne ne protègent que pages d'inscription et de paiement avec SSL, car ce sont les seuls endroits où leurs clients partagent des données personnelles. Le reste du site Web fonctionne souvent sur le protocole HTTP non sécurisé.

Aujourd'hui, HTTPS est un must pour chaque page Web. Il y a plusieurs raisons à cela.

Les navigateurs signalent les sites non protégés

Chrome et Firefox, deux des navigateurs les plus populaires au monde, marquent visuellement les sites qui n'utilisent pas SSL.

Pour l'instant, seule une icône d'information grise est visible. Mais à l'avenir, les navigateurs projeter de changer l'indicateur de sécurité en triangle rouge pour les pages sur HTTP. Vos clients ont l’habitude de voir cela comme un indicateur « d’avertissement ».

Par conséquent, ne pas utiliser SSL peut inciter les gens à avoir peur d’acheter sur votre site Web.

L'utilisation de SSL améliore les classements

En 2014, Google a annoncé qu'il envisagerait d'utiliser SSL comme signal de classement. Cela signifiait que les sites utilisant SSL bénéficieraient d’une augmentation du trafic des moteurs de recherche.

Exigences en matière de service de paiement

Un nombre croissant de services de paiement exigent HTTPS pour pouvoir travailler avec eux. Par exemple, Apple Pay vos contrats uniquement avec HTTPS.

Cela augmente la confiance

Les préoccupations concernant la sécurité des paiements sont l'une des 10 principales raisons d'abandon de panier. Lorsque vous ajoutez un certificat SSL à votre boutique, vous communiquez visuellement aux utilisateurs que leurs données de paiement sont en sécurité.

Bien entendu, plus de confiance équivaut à plus de ventes.

Si vous souhaitez que vos clients trouvent facilement votre boutique dans les moteurs de recherche et vous fassent plus facilement confiance, ne tardez pas à passer au HTTPS.

Comment obtenir un certificat SSL et passer à HTTPS

Pour passer au HTTPS, vous devez d'abord acheter et installer un certificat SSL sur le site Web. Ce processus peut être simple ou plus complexe pour certains magasins, selon le type de site dont vous disposez.

1. Vous utilisez un site instantané Ecwid

Toute personne inscrite sur Ecwid obtient un site Web avec un intégré boutique en ligne. Ce site est entièrement gratuit pour tous les utilisateurs.

Vous le savez peut-être sous le nom de Site instantané Ecwid.

Si vous utilisez ce site, alors vous disposez déjà d'un certificat SSL par défaut. Une boutique en ligne sur un site instantané Ecwid est conforme aux normes internationales de transmission sécurisée des données.

Essayez-le dès maintenant : rendez-vous sur votre site instantané et examinez attentivement la barre d'adresse du navigateur. Vous verrez une icône de cadenas verte avec le message « Sécurisé » à côté de l'URL. Soyez assuré que votre boutique en ligne est sécurisée.

Voulez-vous lier votre site instantané à votre domaine personnalisé (afin qu'il redirige vers mysite.com et non monsite.ecwid.com)?

Vous obtenez un certificat SSL gratuit pour cette action aussi. Suivez simplement ces étapes :

1. Connectez-vous à votre boutique Ecwid, puis allez dans Paramètres → Site instantané et cliquez sur le bouton « Modifier l'adresse ».
2. Cliquez sur le champ « Utiliser votre domaine » et suivez les instructions qui s'affichent À l'écran.

2. Vous avez ajouté Ecwid sur votre propre site Web

Vous pouvez créer une boutique Ecwid sur tous site et soyez à l'écoute de la sécurité des données client. Par exemple, il peut s'agir d'un blog WordPress, d'un site Web Adobe Muse ou de votre propre page HTML statique.

Si vous avez emprunté cette voie, vous n'avez pas du tout à vous soucier de la sécurité des données de vos clients. Étant donné que les données sont transférées via nos serveurs hautement protégés, toutes les données sont conservées et traitées par Ecwid. Protégé par SSL serveurs.

Si vous avez ajouté Ecwid à votre propre site Web qui ne dispose pas de certificat SSL, vos clients ne verront l'icône de « verrouillage » sécurisé nulle part, sauf lors du paiement, ce qu'ils pourraient trouver frustrant.

Voici quelques façons d’acheter et d’utiliser des certificats SSL pour différents créateurs de sites Web :

Wix : Vous pouvez utiliser un certificat SSL gratuitement avec Wix. Vous devrez d'abord activer ce certificat en allant dans les paramètres, puis en suivant les instructions.

Weebly : vous pouvez ajouter automatiquement unn Certificat SSL vers votre site Weebly.

Joomla, WordPress, Drupal : vous devrez acheter un certificat SSL auprès de votre registraire de domaine ou d'un fournisseur d'hébergement et l'installer sur votre site Web en suivant les instructions (vous aurez probablement besoin d'un développeur) :

• Pour Joomla
• Pour Drupal
• Pour WordPress

Auto-construit sites Internet: achetez un certificat SSL auprès de votre fournisseur d'hébergement/domaine et installez-le vous-mêmes ou avec l'aide de votre informaticien.

Suivez les instructions ci-dessous pour en savoir plus sur les différents types de certificats SSL et où les acheter.

Types de certificats SSL

Il existe essentiellement 3 types de certificats. Ils diffèrent par la rapidité d'émission et l'étendue des inspections du vendeur.

1. Certificats avec validation de domaine (DV)

L'option la plus simple. Une fois que vous aurez acheté un certificat SSL DV, vous recevrez un lien pour vérifier la propriété du domaine sur votre adresse e-mail indiquée.

Le DV est délivré presque instantanément. C’est également l’option la moins chère, certains vendeurs la proposant même gratuitement.

2. Certificats avec validation d'organisation (OV)

Pour obtenir un certificat SSL OV, vous devez confirmer l'existence de votre société ou LLC, en donnant le délivrance de certificats autorité les documents nécessaires.

Un certificat SSL OV peut prendre 1-3 jours pour obtenir. Ce certificat doit toujours être payé.

3. Certificat avec validation étendue (EV)

Un certificat EV est reconnaissable au nom de l’entreprise sur fond vert à côté de l’adresse du site Web. Vous les avez peut-être vus sur des sites financiers :

Avant qu'un EV SSL puisse être délivré, l'autorité de certification effectue un contrôle approfondi. Cela peut prendre 3 à 10 jours, et et encore plus, pour obtenir un certificat EV.

Ce certificat est particulièrement adapté aux banques et aux systèmes de paiement.

DV, VO, EV - indépendamment de du type de certificat SSL que vous choisissez, comprenez qu'ils protègent tous vos données de la même manière. C'est pourquoi vous pouvez utiliser l'option la moins chère – un SSL de base avec vérification de domaine – sans vous soucier de votre sécurité. Vous devrez renouveler votre certificat SSL régulièrement. Si le certificat n'est pas renouvelé l'année prochaine, non seulement vous perdrez votre protection, mais le site pourrait même ne pas s'ouvrir à la plupart des utilisateurs.

Un certificat SSL coûtera environ 50 $/an. Certains fournisseurs vendent des variantes plus chères, mais vous devez éviter de dépenser trop. La sécurité de base des données offerte reste la même, que vous achetiez un SSL à 50 $ ou à 150 $.

Bien que certains fournisseurs proposent des certificats SSL gratuits, il s’agit de variantes sévèrement « édulcorées » sans aucun avantage. Vous ne devriez pas acheter le premier que vous voyez.

Les certificats SSL sont émis par des « centres de confiance ». Certains des centres de confiance les plus populaires sont :

• Comodo
• Symantec
• DigiCert
• Géoconfiance

Vous pouvez acheter des certificats émis par ces centres auprès des bureaux d'enregistrement de domaines, des sites Web d'hébergement et des revendeurs SSL. De plus, il existe également des certificats gratuits.

Ci-dessous, nous vous aiderons à mieux comprendre les options.

1. Achetez un certificat SSL auprès d'un registraire de domaine ou d'un service d'hébergement

La plupart des bureaux d'enregistrement de domaines et des services d'hébergement vendent également des certificats SSL. Dans certains cas, le registraire peut même délivrer un certificat gratuit à titre de cadeau ou d'achat.

L'achat auprès d'un registraire de domaine ou d'un service d'hébergement fonctionne très bien car il facilite le passage de HTTP à HTTPS.

Voici quelques options populaires :

• GoDaddy - 57 $/an par site Web
• Bluehost - gratuit à 49,9$/an
• Namecheap - à partir de 9 $/an
• eNom - $ 12,95 / an
• SiteGround - SSL gratuit lors de l'achat d'un hébergement

Si votre registraire de domaine ou votre hébergeur propose également des certificats SSL, nous vous recommandons d'en acheter un, même s'il est légèrement plus cher. Cela vous fera gagner des heures au moment d’installer le certificat et de passer au HTTPS.

2. Obtenez un certificat SSL gratuit

Si votre hébergeur/registraire ne vend pas de certificats SSL ou si votre budget est limité, vous pouvez opter pour un certificat gratuit. Les certificats gratuits n'ont qu'une seule version : la validation de domaine (DV). C'est suffisant pour protéger les données.

Nous recommandons les services suivants :

Cloudflare

Cloudflare propose des certificats SSL gratuits avec jusqu'à 15 ans d'abonnement. Outre la protection des données, il présente d'autres avantages comme une protection de base contre les attaques DDoS et l'accélération automatique de votre site Web.

Il y a aussi des inconvénients :

• Cela ne fonctionne que dans les nouveaux navigateurs. Si vos clients utilisent des navigateurs plus anciens (plus anciens qu'Internet Explorer 11, Firefox 2, Opera 8, Google Chrome v5.0.342.0, Safari 2.1, Mobile Safari pour iOS 4.0, Android 3.0 (Honeycomb), Windows Phone 7), ils ne le feront pas. Je ne vois pas «https» sur votre site Web.
• Un certificat général protège plusieurs sites en même temps. Cependant, cela protégera votre site Web comme un site Web individuel.
• Cloudflare vous demandera d'utiliser ses propres données de serveur et le trafic de votre site Web passera par les serveurs Cloudflare, ce qui peut entraîner une diminution de la vitesse de chargement (mais pas nécessairement).

Ces inconvénients ne sont pas critiques et, en général, Cloudflare est optimal pour ceux qui ne sont pas prêts à dépenser de l'argent pour un certificat SSL mais qui souhaitent commencer à protéger les données de leurs clients. Si vous choisissez entre rester sur HTTP ou obtenir un certificat SSL de Cloudflare, nous vous recommandons de choisir la deuxième option.

Pour obtenir un certificat SSL de Cloudflare, s'inscricre et suivez les instructions.

Chiffrons

Il s'agit d'un service gratuit sans les inconvénients de Cloudflare, mais il a ses propres limites.

Chiffrons propose des certificats pour trois mois seulement, vous devrez donc configurer le renouvellement automatique, qui nécessitera l'accès aux paramètres du serveur de votre site Web (disponibles sur VPS (hébergements comme Amazon AWS, Linode, Digital Ocean). Cela signifie que vous aurez probablement besoin d'un administrateur système.

Il existe deux options pour obtenir un certificat SSL de Let's Encrypt :

1. Activer manuellement Letsencrypt.org via le Rubrique « Mode manuel »
2. Semi-automatique ou automatiquement (selon le logiciel serveur de votre boutique en ligne) via Certbot.

3. Achetez un certificat SSL auprès d'un revendeur

Si vous ne voulez pas perdre de temps à ajuster un certificat Let's Encrypt et que vous n'avez pas envie d'utiliser Cloudflare, vous pouvez acheter un certificat SSL auprès de l'un des revendeurs :

• DigiCert
• RapidSSL
• SSLS
• GlobalSign

Choisissez le revendeur de votre choix et rappelez-vous qu'il n'y a pas beaucoup de sens à acheter l'option la plus chère puisqu'ils protégeront tous très bien votre site Web.

Comment ne pas perdre de trafic lorsque vous passez au HTTPS

Lorsque vous passez de HTTP à HTTPS, l'adresse du site change pour les robots de recherche (de  → https://yoursite.com). This can negatively affect your rankings in search engines.

Lire Les recommandations de Google pour maintenir votre classement, et même l'améliorer. Nous vous recommandons fortement de les lire pour éviter de perdre des clients si vous installez vous-même un certificat SSL. Vous pouvez également demander à l'équipe support de votre créateur de site si ces conditions ont été remplies avec leur migration HTTP → HTTPS.

***

Résumons nos recommandations :

• Si vous utilisez Ecwid Instant Site, tout va bien : l'intégralité du site Web est sur HTTPS.
• Pour les sites Web Wix et Weebly, activez votre certificat SSL dans les paramètres.
• Si vous vendez sur votre propre site Web, vérifiez auprès de votre fournisseur de domaine/hébergement si vous disposez d'un certificat SSL. Si non, demandez-le.
• Si votre fournisseur de domaine/hébergement ne vend pas de certificats SSL, obtenez-en un gratuitement sur Cloudflare ou achetez-le auprès d'un revendeur.

• Confidentialité des données dans le commerce électronique : tendances émergentes et meilleures pratiques pour 2024
• L'état de la sécurité des paiements dans le commerce électronique
• Comment utiliser le protocole HTTPS et les certificats SSL pour protéger votre boutique en ligne
• Fraude dans le commerce électronique : comment protéger votre boutique contre les escroqueries liées aux achats en ligne
• Comment protéger votre boutique en ligne contre les cybermenaces