Qu'est-ce qu'un certificat SSL ?

Un certificat SSL (techniquement un certificat TLS, puisque SSL a été remplacé par TLS il y a plusieurs années) est un petit fichier de données installé sur votre serveur web qui établit une connexion chiffrée entre le serveur et le navigateur de vos visiteurs. Lorsqu'un certificat est correctement installé, votre site se charge en HTTPS au lieu de HTTP, et les navigateurs affichent l'icône de cadenas dans la barre d'adresse pour signaler que la connexion est sécurisée.

Comment fonctionne réellement le chiffrement TLS/SSL

Lorsque quelqu'un saisit votre URL et appuie sur Entrée, son navigateur et votre serveur passent par un processus appelé la poignée de main TLS (TLS handshake). Cela ne prend que quelques millisecondes, mais beaucoup de choses se passent en coulisses :

1. Hello : le navigateur envoie un message « Client Hello » au serveur, en listant les méthodes de chiffrement qu'il prend en charge.
2. Certificat : le serveur répond avec son certificat TLS, qui contient la clé publique du serveur et les informations sur l'autorité de certification (CA) qui l'a émis.
3. Vérification : le navigateur compare le certificat à sa liste intégrée d'autorités de certification de confiance. Il vérifie que le certificat n'a pas expiré, qu'il correspond au nom de domaine et qu'il n'a pas été révoqué.
4. Échange de clés : le navigateur et le serveur s'accordent sur une clé de session partagée à l'aide d'un chiffrement asymétrique (paires de clés publique/privée). Cette clé de session servira à chiffrer les données réelles.
5. Communication chiffrée : à partir de ce moment, toutes les données échangées entre le navigateur et le serveur sont chiffrées avec la clé de session via un chiffrement symétrique, beaucoup plus rapide que le chiffrement asymétrique.

À retenir : la paire de clés publique/privée n'est utilisée que pour établir la connexion de manière sécurisée. Le contenu réel des pages, les soumissions de formulaires et les cookies sont chiffrés avec une clé de session temporaire, unique pour chaque connexion.

Types de certificats SSL/TLS

Les certificats existent en trois niveaux de validation, et les différences concernent la confiance et la vérification, pas la force du chiffrement. Le chiffrement lui-même est tout aussi solide pour tous les types.

• Validation de domaine (DV) : la CA vérifie uniquement que vous contrôlez le domaine, généralement en vous demandant de configurer un enregistrement DNS ou de répondre à un e-mail envoyé au domaine. Cela prend quelques minutes et est souvent gratuit (Let's Encrypt, par exemple). Les certificats DV conviennent parfaitement à la plupart des sites WordPress, blogs et petits sites professionnels.
• Validation d'organisation (OV) : la CA vérifie l'existence légale de votre organisation. Cela implique de contrôler les documents d'enregistrement de l'entreprise et prend généralement quelques jours. Les certificats OV affichent le nom de l'organisation dans les détails du certificat (mais pas de manière visible dans la barre du navigateur). Ils sont plus courants pour les sites d'entreprise et les plateformes SaaS.
• Validation étendue (EV) : le processus de vérification le plus strict. La CA effectue un examen approfondi de l'organisation, y compris son statut juridique, son adresse physique et ses contacts autorisés. Les certificats EV affichaient autrefois le nom de l'entreprise sur fond vert dans le navigateur, mais la plupart des navigateurs ont supprimé cette distinction visuelle ces dernières années. Ils sont encore utilisés par les banques, les institutions financières et les grands sites e-commerce, même si leur valeur pratique a diminué.

Let's Encrypt et les certificats gratuits

Let's Encrypt a transformé le paysage SSL lors de son lancement en 2015. Avant cela, même un certificat DV de base coûtait de l'argent et nécessitait une installation manuelle. Let's Encrypt fournit des certificats DV gratuits et automatisés, valables 90 jours et renouvelables automatiquement.

Aujourd'hui, pratiquement tous les hébergeurs prennent en charge Let's Encrypt. Beaucoup l'incluent dans leurs offres d'hébergement et gèrent l'installation et le renouvellement automatiquement. Si votre hébergeur ne propose pas de SSL automatique, des outils comme Certbot peuvent gérer le cycle de vie du certificat sur votre serveur.

Il n'y a véritablement aucune raison d'exploiter un site WordPress sans HTTPS en 2025. Le certificat est gratuit, la mise en place est automatisée et les bénéfices (sécurité, SEO, confiance des utilisateurs) sont considérables.

Certificats wildcard

Un certificat standard couvre un seul domaine (par exemple example.com) et parfois aussi www.example.com. Si vous gérez plusieurs sous-domaines (shop.example.com, blog.example.com, app.example.com), il vous faudrait normalement un certificat distinct pour chacun.

Un certificat wildcard couvre tous les sous-domaines d'un même domaine. Il utilise le motif *.example.com et sécurise tout sous-domaine à ce niveau. Let's Encrypt prend en charge les certificats wildcard, mais ils nécessitent une validation par DNS plutôt que la méthode plus simple de validation HTTP. La plupart des hébergeurs managés gèrent cela automatiquement si vous en avez besoin.

Expiration et renouvellement des certificats

Chaque certificat TLS a une date d'expiration. Les certificats Let's Encrypt expirent au bout de 90 jours, tandis que les certificats commerciaux durent généralement un an (durée maximale autorisée depuis 2020). Lorsqu'un certificat expire, les navigateurs affichent un avertissement plein écran qui empêche la plupart des visiteurs d'accéder à votre site. C'est un problème majeur qui peut couper entièrement votre trafic.

Le renouvellement automatique est essentiel. Si vous utilisez Let's Encrypt via votre hébergeur, le renouvellement se fait généralement en arrière-plan sans intervention de votre part. Si vous gérez votre serveur directement, assurez-vous que Certbot ou votre client ACME est configuré pour renouveler automatiquement les certificats, et vérifiez que cela fonctionne réellement. Un problème courant est une tâche cron mise en place pour le renouvellement mais qui échoue silencieusement à cause d'un problème de permissions ou d'un changement de configuration du serveur.

Comment vérifier votre certificat SSL

Plusieurs moyens existent pour vérifier que votre certificat fonctionne correctement :

• Cadenas du navigateur : cliquez sur l'icône du cadenas dans la barre d'adresse de votre navigateur. Vous pouvez voir l'émetteur du certificat, sa date d'expiration et le domaine qu'il couvre.
• SSL Labs (ssllabs.com/ssltest) : l'outil en ligne de référence du secteur pour tester votre configuration SSL. Il vérifie non seulement le certificat, mais aussi les versions du protocole TLS, les suites de chiffrement et les vulnérabilités connues. Visez la note A ou A+.
• Outils en ligne de commande : openssl s_client -connect example.com:443 affiche des informations détaillées sur le certificat à des fins de débogage technique.

WordPress et HTTPS

Installer un certificat sur votre serveur ne représente que la moitié du travail. Vous devez également vous assurer que WordPress utilise HTTPS de manière cohérente :

• Paramètres d'URL du site : dans Réglages > Général, « Adresse web de WordPress » et « Adresse web du site » doivent toutes deux utiliser https://. Une mauvaise configuration entraîne des boucles de redirection et des problèmes de connexion.
• Forcer le SSL : ajoutez define('FORCE_SSL_ADMIN', true); à votre fichier wp-config.php pour garantir que la zone d'administration utilise toujours HTTPS.
• Redirections 301 : mettez en place des redirections au niveau du serveur (via .htaccess sur Apache ou un server block sur Nginx) pour rediriger toutes les requêtes HTTP vers HTTPS. Cela garantit que les visiteurs et les moteurs de recherche atterrissent toujours sur la version sécurisée.
• Contenu mixte : après le passage à HTTPS, vous pouvez avoir des images, scripts ou feuilles de style encore chargés en HTTP. Les navigateurs bloquent ou avertissent à propos de ces ressources non sécurisées. Utilisez une extension comme « Better Search Replace » pour mettre à jour les anciennes URL HTTP dans votre base de données, et vérifiez votre thème à la recherche de références HTTP codées en dur.
• En-tête HSTS : l'en-tête Strict-Transport-Security indique aux navigateurs d'utiliser systématiquement HTTPS pour votre site, même si quelqu'un saisit http:// dans la barre d'adresse. Cela élimine le bref instant pendant lequel un visiteur pourrait se connecter en HTTP avant d'être redirigé.

Pourquoi « SSL » est en réalité TLS

Le terme « certificat SSL » est resté ancré dans les usages alors que le protocole SSL lui-même est obsolète depuis 2015. SSL 3.0 a été la dernière version, et elle présentait des vulnérabilités de sécurité connues (l'attaque POODLE, entre autres). Son remplaçant est TLS (Transport Layer Security), actuellement en version 1.3. Les navigateurs modernes ne prennent plus du tout en charge SSL ; ils n'utilisent que TLS 1.2 et TLS 1.3.

Lorsque les hébergeurs, les autorités de certification ou les extensions WordPress parlent de « SSL », ils veulent en réalité dire TLS. Les termes sont utilisés de manière interchangeable en pratique, même s'il s'agit techniquement de protocoles différents. Si votre serveur prend encore en charge TLS 1.0 ou 1.1, vous devriez également les désactiver, car ils sont eux aussi considérés comme non sécurisés.

Ce que vérifie InspectWP

InspectWP vérifie si votre site WordPress dispose d'un certificat TLS valide, contrôle la date d'expiration du certificat et détecte les problèmes de contenu mixte lorsque des ressources HTTP sont chargées sur des pages HTTPS. Il examine également vos en-têtes de sécurité, dont HSTS, pour confirmer que votre configuration HTTPS est complète et correctement paramétrée.