SERVICES ET APPLICATIONS SECURISES

(SSL, HTTPS)

UE : SECURITE DES RESEAUX MOBILES ET INTERNET DES OBJETS

Parcours : Télécommunications et Systèmes

Embarqués
Spécialité : Réseaux mobiles et Internet des Objets
Niveau : Master II

Par :
Sous la supervision de :
MAHAMAT SALEH SEID
Dr MBAIOSSOUM BERY LEOURO
MBAIRANOUDJI CHARLOT
Maitre-assistant CAMES
MBAITIBET TOGBE

ANNEE ACADEMIQUE 2021-2022

0
Table des matières

Introduction générale..............................................................................................................................2
Partie I : le SSL......................................................................................................................................2
Définition...............................................................................................................................................2
I. Les fonctionnalités SSL..................................................................................................................2
1. Cryptage.....................................................................................................................................3
2. Intégrité......................................................................................................................................3
3. Authentification..........................................................................................................................3
4. Non-répudiation..........................................................................................................................3
II. Champs d’application du SSL........................................................................................................3
III. SSL côté utilisateur.....................................................................................................................4
IV. Certificats SSL et certificats SSL Extended Validation (EV).....................................................6
V. Fonctionnement du protocole SSL.................................................................................................8
1. Clés publiques et privées............................................................................................................8
VI. Création d’une session ssl...........................................................................................................8
VII. Quelques solutions SSL dans le monde......................................................................................9
Conclusion...........................................................................................................................................10
Partie II : le https..................................................................................................................................10
Introduction..........................................................................................................................................10
I. Qu’est-ce que le http.....................................................................................................................10
II. Qu’est-ce que le https...................................................................................................................11
1. Le chiffrement..........................................................................................................................11
2. L'intégrité des données.............................................................................................................11
3. L'authentification......................................................................................................................12
III. Côté point d’accès....................................................................................................................12
IV. Configuration de service HTTP/HTTPS...................................................................................12
V. Pourquoi la Sécurité ?...................................................................................................................13
VI. Avantage de https.....................................................................................................................13
VII. Les inconvénients du protocole https........................................................................................14
VIII. La principale différence entre les protocoles HTTP.................................................................15
IX. Comment migrer de HTTP vers HTTPS...................................................................................15
Conclusion...........................................................................................................................................16
Conclusion générale.............................................................................................................................17

1
Introduction générale
Les certificats SSL (Secure Socket Layer) sont couramment utilisés pour sécuriser et
authentifier les communications sur Internet et au sein des intranets d’entreprise. L’utilisation
de certificats SSL sur des serveurs Web d’entreprise permet de recueillir en toute sécurité des
informations sensibles transmises en ligne afin de garantir aux clients et utilisateurs la
protection de leurs communications.

Dans ce projet, nous aborderons les principes de base du fonctionnement du protocole SSL,
en suite nous présenterons les protocoles HTTP et HTTPS, faire la différence qui réside entre
les deux et montrer le passage de HTTP en HTTPS, enfin nous allons présenter quelques
applications des certificats SSL et conclure.

Partie I : le SSL

Définition
Développé par Netscape en 1995, le protocole SSL s’est rapidement imposé comme le mode
de sécurisation privilégié des transmissions de données sur Internet. Intégré aux principaux
navigateurs et serveurs Web, SSL utilise des techniques de cryptage qui s’appuient sur un
système de clé publique/privée initialement développé par RSA. L’établissement d’une
connexion SSL nécessite l’installation d’un certificat numérique sur le serveur Web. Ce
certificat utilise alors les clés publiques et privées pour le cryptage, et identifie le serveur de
manière unique et définitive. Les certificats numériques s’apparentent à une forme de carte
d’identité électronique qui permet au client d’authentifier le serveur avant l’établissement
d’un canal de communication crypté.

Généralement, les certificats numériques sont délivrés par un organisme de confiance

indépendant, condition sine qua non à leur validité et leur acceptation à grande échelle.
L’organisme émetteur de certificats est appelé Autorité de certification (AC).

I. Les fonctionnalités SSL

On associe généralement SSL au cryptage. Or un certificat SSL remplit quatre fonctions bien
distinctes, toutes indispensables à la protection de la confidentialité et de la sécurité des
clients et utilisateurs : cryptage, intégrité, authentification et non-répudiation.

2
 1. Cryptage
Le cryptage utilise des algorithmes mathématiques pour transformer les données et les rendre
exclusivement lisibles par les parties concernées. Dans le cadre d’une transaction sécurisée
par SSL, les clés privées et publiques fournies avec le certificat numérique du serveur jouent
un rôle déterminant dans la sécurisation des données envoyées et reçues par le navigateur
Web.

2. Intégrité
En cryptant les données pour les rendre exclusivement lisibles par les parties concernées, les
certificats SSL assurent également leur intégrité. En d’autres termes, ces données ne pouvant
être lues par aucun tiers, leur modification en cours de transit s’avère par conséquent
impossible. Si les données cryptées étaient modifiées, elles seraient de fait rendues
inutilisables, ce qui ne saurait échapper aux parties concernées. La moindre tentative
d’interférence est donc automatiquement repérée.

3. Authentification
L’émission d’un certificat numérique par une autorité de certification permet essentiellement
de valider l’identité de l’organisme ou de la personne à l’origine de la demande de certificat.
Les certificats SSL sont associés à un nom de domaine Internet. La vérification par l’AC de
l’identité du propriétaire du domaine en question permet aux utilisateurs de savoir dans un
premier temps à qui ils ont affaire. Ainsi, lorsque vous vous connectez sur un site sécurisé par
SSL comme Amazon.fr, le certificat identifie le propriétaire comme étant la société Amazon.
Inc. Vous avez ainsi l’assurance d’être sur le véritable site exploité par Amazon.

4. Non-répudiation
La non-répudiation se caractérise par l’association de fonctions de cryptage, de protection de
l’intégrité et d’authentification. En clair, aucune partie prenante à une transaction sécurisée ne
peut légitimement affirmer que ses échanges/communications provenaient d’une autre
personne ou entité. Cette caractéristique supprime toute possibilité pour l’une des parties de
répudier ou de « se rétracter » par rapport à des informations communiquées en ligne.

II. Champs d’application du SSL

Le protocole SSL peut être utilisé de diverses façons et à des fins différentes :

 Communications « de navigateur à serveur » : la plupart du temps le SSL sert à

sécuriser les communications entre un serveur Web et un navigateur, notamment dans
le cadre de transmissions d’informations sensibles (achats en ligne, dossiers médicaux

3
 ou transactions bancaires). La technologie SSL permet de confirmer à l’utilisateur
l’identité du destinataire de ses informations personnelles, tout en assurant que seule
cette entité autorisée y aura accès.
 Communications « de serveur à serveur » : le protocole SSL peut également être
utilisé pour sécuriser les communications entre deux serveurs, telles que les
transactions entre deux entreprises. Dans ce scénario, les deux serveurs possèdent
généralement un certificat qui leur permet de s’authentifier mutuellement et de
sécuriser leurs communications bilatérales.
 Respect des obligations réglementaires : de nombreuses réglementations juridiques et
sectorielles exigent des niveaux d’authentification et de confidentialité que les
certificats SSL permettent d’obtenir.

Le standard PCI DSS (Payment Card Industry Data Security Standard) exige par exemple
l’utilisation de technologies d’authentification et de cryptage pour tout paiement en ligne.

III. SSL côté utilisateur

Lors de sa visite sur un site Web sécurisé par un certificat SSL, l’utilisateur voit s’afficher
dans son navigateur Web plusieurs indices visuels attestant de l’activation du protocole SSL.
Par exemple, l’adresse dans la barre d’adresse du navigateur commencera par https:// pour les
connexions sécurisées par SSL, et par http:// pour les connexions non sécurisées.

La plupart des navigateurs affichent également un cadenas fig. 1, dont l’emplacement et

l’aspect varient d’un navigateur à un autre.

Figure 1 : cadenas affiché par un navigateur Web

Sur certains navigateurs, l’utilisateur peut également cliquer sur le cadenas pour consulter des
informations complémentaires sur le certificat. Ainsi, OperaMini™ affiche une boîte de
dialogue semblable à celle reproduite à la fig. 2 avec diverses informations sur le certificat,
son propriétaire et l’autorité émettrice.

4
Figure 2 : renseignements sur un certificat, y compris son propriétaire et l’autorité émettrice.

Pour obtenir d’autres informations comme la date d’expiration, les empreintes de vérification
etc., il suffit de cliquer sur « Afficher le certificat » (fig. 3) sur le chemin d’accès de certificat.

5
Figure 3 : renseignements complémentaires sur un certificat

Plusieurs éléments d’informations essentiels sont proposés :

 Nom du domaine pour lequel le certificat est délivré. Le certificat n’est valide que s’il
est utilisé avec ce domaine. Toute demande associée à un autre nom de domaine fait
l’objet d’un refus systématique par le navigateur.
 Propriétaire du certificat : les utilisateurs peuvent ainsi voir le nom de l’entité
détentrice du site.
 Période de validité du certificat : correspond à la date de début et de fin de validité du
certificat.

À l’instar d’autres formes d’identification, les certificats numériques ont une date d’expiration
et doivent être renouvelés. Objectif : permettre à l’AC de vérifier à nouveau l’identité du
propriétaire du certificat.

IV. Certificats SSL et certificats SSL Extended Validation (EV)

Le maintien du processus rigoureux de vérification des identités préalable à l’émission de
certificats SSL représente un coût conséquent pour les autorités de certification. À l’origine, le
prix des premiers certificats SSL reflétait donc la qualité de ce processus de vérification. Or,
sous la pression du marché, les AC ont commencé à proposer des certificats plus abordables
avec « validation de domaine uniquement ».

Dépourvus de toute vérification poussée de l’identité de la société propriétaire du domaine,

ces certificats à bas prix ne vérifient que le nom de domaine pour lequel ils sont émis. Moins
coûteux, ils offrent inévitablement moins de garanties à l’utilisateur final. Ces certificats
conviennent généralement à des usages à faible niveau de sécurité qui ne nécessitent pas la
validation détaillée d’un certificat SSL classique.

Cette segmentation a toutefois fini par entraîner une certaine confusion entre les différents
types de certificats SSL. Les utilisateurs ont donc exigé la mise en place de moyens de
distinction entre certificats économiques et certificats renforcés soumis à une vérification plus
poussée des identités. Le CA Browser Forum un regroupement professionnel indépendant n’a
pas tardé à répondre à cette demande avec une série de principes directeurs pour l’élaboration
d’un certificat à validation renforcée ou certificat Extended Validation (EV).

6
Un certificat EV est un certificat SSL pour lequel l’autorité de certification émettrice valide
l’identité du demandeur du certificat à travers un processus encore plus détaillé et rigoureux.
Les AC doivent également soumettre leurs procédures de validation à un audit indépendant
pour conserver leurs droits d’émission de certificats EV. Les certificats EV ne sont
généralement proposés que par des autorités de certification de premier plan comme Thawte.

La présence de certificats EV sur les sites Web est signalée visuellement de différentes
manières par les navigateurs Web, qui proposent également des informations d’identité plus
complètes et plus facilement accessibles fig. 4.

Figure 4 : indices visuels indiquant la présence d’un certificat EV.

Ces indices visuels spécifiques (comme la barre de navigation verte) renforcent la distinction
entre certificats ultra fiables pour les applications haute sécurité, et les autres. Les utilisateurs

7
ont ainsi tous les éléments en main pour s’assurer avec certitude de l’identité de l’entité avec
laquelle ils communiquent fig. 5.

Figure 5 : accès aux informations d’un certificat EV.

V. Fonctionnement du protocole SSL

Le protocole SSL est relativement simple... malgré la complexité de ses algorithmes.

1. Clés publiques et privées

Le protocole SSL utilise des clés de cryptage publiques et privées. Lors de l’émission d’un
certificat numérique pour un serveur Web, ce certificat contient deux clés : l’une, détenue de
manière privée par le serveur Web (« clé privée »), et l’autre, rendue publique à toute
personne en faisant la demande (« clé publique »).

Ces deux clés sont asymétriques :

 Les données cryptées par la clé privée ne peuvent être décryptées que par la clé
publique.
 Les données cryptées par la clé publique ne peuvent être décryptées que par la clé
privée.

Ainsi, pour garantir la confidentialité des échanges, le navigateur Web s’adresse à la clé
publique du serveur. Le navigateur l’utilise ensuite pour crypter les informations à
transmettre, informations qui pourront ensuite être décryptées par le serveur Web à l’aide de
sa propre clé privée. Dans la pratique, le processus de cryptage fait parfois intervenir des clés
de session aléatoires, valables pour une courte durée entre le navigateur et le serveur. Ces clés
de session sont utilisées car bien souvent, le navigateur ne possède pas son propre certificat
numérique et sa propre paire de clés.

VI. Création d’une session ssl

Le début d’une session SSL est marqué par l’envoi d’une requête par le navigateur au serveur
Web à l’aide du protocole https:// fig. 6.

8
Figure 6 : création d’une session SSL.

Le serveur Web répond avec son identifiant numérique qui comprend sa clé de cryptage
publique. Le navigateur vérifie l’identifiant numérique, en consultant par exemple l’autorité
de certification pour une vérification en ligne, et en contrôlant également les dates de validité
et d’autres informations relatives au certificat lui-même. Une fois ces vérifications terminées,
le navigateur génère une clé de session qu’il crypte à l’aide de la clé publique du serveur,
avant de renvoyer l’ensemble au serveur.

Le serveur décrypte alors la clé de session à l’aide de sa clé de cryptage privée qu’il est le seul
à posséder. La clé de session n’appartient qu’au navigateur et au serveur qui peuvent alors
utiliser cette clé commune pour crypter leurs échanges. Généralement, les serveurs rejettent
les clés de session après quelques minutes d’inactivité.

VII. Quelques solutions SSL dans le monde

Il existe un grand nombre de certificats ssl se distinguant par ses caractéristiques, ses
organismes délivreurs, les prix y afférents ainsi les offres ou packs solutions. Quelques
solutions sont données ici à titre d’exemple :

9
Figure 7 : Les solutions de SSL dans le monde

 Comodo SSL est une solution qui utilise un cryptage de 256bits mais la validation
peut prendre un certain temps si l’information nécessaire à Comodo SSL pour
compléter le processus de vérification n’est pas disponible en ligne.
 GeoTrust était autrefois la propriété de VeriSign, puis de Symantec, et en raison de la
vente de cette dernière, elle fait désormais partie du groupe DigiCert. L’activité couvre
trois domaines principaux : les certificats SSL, les services de signature et SSL pour
les services d’entreprise.
 RapidSSL est la propriété de GeoTrust, un autre fournisseur SSL que nous avons déjà
mentionné dans cette liste. La logique commerciale sous-jacente est que, alors que
GeoTrust se concentre sur les géants de l’entreprise, RapidSSL cible les petites
entreprises qui sont plus sensibles aux coûts.

En dehors des solutions payantes, il y a aussi celle gratuite acceptée par google qui permet de
proposer une navigation sécurisée : c’est le Let’s Encrypt, une autorité de certification de
confiance, le procédé étant ouvert et libre d’utilisation. Malheureusement, elle n’émet que des
certificats validés par domaine ou DNS et ne prévoit pas de les étendre aux certifications OV
ou EV.

Conclusion
En résumé, le certificat SSL est une sorte de pièce d’identité numérique qui identifie un site et
son serveur. De par sa configuration et son principe de fonctionnement, il constitue un
véritable moyen de sécuriser la commutation de données ou informations confidentielles. Il
est à ce titre autant important pour les sites Internet que pour les internautes. Cette couche de
connexion sécurisée se présente sous plusieurs formes offrant une grande variété de choix. En
plus de cela, le Secure Sockets Layer existe en version gratuite et payante. C’est donc un
excellent moyen de protection numérique qui ne se refuse à personne.

10
Partie II : le https
Introduction

I. Qu’est-ce que le http

HTTP est un acronyme signifiant « HyperText Transfer Protocol » et est un protocole créé au
début des années 1990 permettant de transférer les données d’un serveur web à un navigateur,
pour permettre aux utilisateurs de consulter ces pages web.

Le protocole HTTP se trouve au début de chaque URL et est assez simple, et fonctionne sous
forme de requête/réponse, et permet donc de créer des connexions et d’échanger des données
à la demande entre navigateurs et serveurs. Cependant, ces échanges se font sans cryptage, et
les données et informations échangées sont donc vulnérables et visibles par tous. 

Figure 8 : Illustration du protocole http

II. Qu’est-ce que le https

HTTPS (HyperText Transfer Protocol Secure ou protocole de transfert hypertexte sécurisé)
est un protocole de communication Internet qui protège l'intégrité et la confidentialité des
données de vos visiteurs lors du transfert d'informations entre l'ordinateur de l'internaute et le
site. Par exemple, lorsqu'un internaute saisit des informations dans un formulaire en ligne afin
de recevoir des notifications ou d'acheter un produit, le protocole HTTPS protège les
informations personnelles de cet internaute lors du transfert d'informations entre l'internaute et
le site. Les données envoyées à l'aide du protocole HTTPS sont sécurisées via le protocole
Transport Layer Security (TLS), qui offre trois niveaux clés de protection :

11
 1. Le chiffrement

Consiste à coder les données échangées pour les protéger des interceptions
illicites. Cela signifie que lorsqu'un internaute navigue sur un site Web, personne ne peut
"écouter" ses conversations, suivre ses activités sur diverses pages ni voler ses informations.

2. L'intégrité des données

Les informations ne peuvent être ni modifiées, ni corrompues durant leur transfert, que ce soit
délibérément ou autrement, sans être détectées.

3. L'authentification

Prouve que les internautes communiquent avec le bon site Web.

L'authentification protège contre les attaques des intercepteurs et instaure un climat de
confiance pour l'internaute qui se traduit par d'autres retombées pour votre activité.

III. Côté point d’accès

Le Point d'accès peut être géré par les deux connexions sécurisées de HTTP et de HTTPS
quand les serveurs HTTP/HTTPS sont configurés. Le texte hyper Transfer Protocol sécurisé
HTTPS est un protocole sécurisé de transfert que le HTTP. Un Point d'accès doit avoir un
certificat ssl valide pour utiliser le service HTTPS. Un certificat ssl est un certificat
digitalement signé par une autorité de certification qui permet au navigateur Web pour avoir
une transmission chiffrée sécurisée avec le web server. La suite de ce travail explique
comment configurer le service HTTP/HTTPS et comment créer un certificat de Protocole SSL
(Secure Socket Layer) sur les Points d'accès WAP551 et WAP561.

En dehors des AP, les serveurs web peuvent aussi être configurés pour un accès sécurisé ou
non.

IV. Configuration de service HTTP/HTTPS

12
Étape 1. Ouvrez une session à l'utilitaire de configuration Web et choisissez la gestion, le
service HTTP/HTTPS. La page de service HTTP/HTTPS s'ouvre :

Figure 9 : Interface de configuration du point d’accès.

Étape 2. Présentez le nombre maximal de sessions Web dans le domaine maximum de
sessions. Ceci signifie le nombre maximal d'utilisateur qui peut être ouvert une session à
l'utilitaire de configuration Web.
Étape 3. Dans le domaine de Session Timeout, écrivez la durée maximale qu'un utilisateur
inactif peut rester ouvert une session à l'utilitaire de configuration Web AP.
Étape 4. Cochez la case d'enable du serveur HTTP pour activer l'accès de Web par
l'intermédiaire du HTTP. Le serveur HTTP est activé par défaut.
Remarque : Si le serveur HTTP est désactivé, toutes les connexions en cours qui utilisent le
HTTP sont déconnectées.
Étape 5. Dans le domaine de port HTTP, introduisez le numéro de port pour l'utiliser pour
des connexions HTTP. Le numéro de port 80 est utilisé généralement pour des connexions
HTTP.
Étape 6. (Facultative) si vous souhaitez réorienter des tentatives d'accès HTTP de Gestion
sur le port HTTP au contrôle de port HTTPS le HTTP de réorientation dans la case HTTPS.
Ce champ est disponible pour activer seulement quand l'accès HTTP est désactivé.
Étape 7. Cochez la case d'enable du serveur HTTPS pour activer l'accès de Web par
l'intermédiaire de HTTPS. Le serveur HTTPS est activé par défaut.

13
Remarque : Si le serveur HTTPS est désactivé, toutes les connexions en cours qui utilisent
HTTPS sont déconnectées.
Étape 8. Introduisez le numéro de port pour l'utiliser pour des connexions HTTPS dans le
domaine de port HTTPS. Le numéro de port par défaut 443 est typiquement utilisé avec
HTTPS.
Étape 9. Sauvegarde de clic pour sauvegarder les configurations.

V. Pourquoi la Sécurité ?
La principale différence entre Sécurisé et non sécurisé est que le protocole HTTPS comprend
une lettre « S ». Fait référence à l’utilisation du certificat SSL (Secure Sockets Layer). Cela
explique son inclusion sur les sites Web WordPress. Ce qui vous donne un avantage de
sécurité clair lors de la transmission d’informations cryptées sur le réseau. Malgré les
avantages, il existe des différences entre SSL et le protocole.

VI. Avantage de https

14
Le premier avantage de mettre son site en HTTPS est qu’il renforce la sécurité de votre site.
Certes, il ne suffit pas à lui seul à assurer l’entière sécurité de votre site, mais il y contribue de
manière non négligeable. Grâce à la mise en place de ce protocole de communication crypté,
les hackers ont désormais plus de mal à s’approprier les données échangées à travers votre
site. En effet pour que les données soient lisibles, il est indispensable de posséder la clé de
décryptage, or, seuls l’utilisateur et le serveur disposent de cette clé. Ils seront alors plus
difficiles pour les hackers de faire des usurpations d’identité pour s’approprier des données
délicates telles que les données bancaires, par exemple. En passant en HTTPS, vous évitez
aussi de vous classer comme « unsafe » ou peu sécurisé par Google. L’autre avantage d’avoir
un site sécurisé HTTPS est que vous pouvez améliorer votre référencement. Les robots de
Google ont en effet une préférence pour un site web HTTPS. S’ils se trouvent en présence de
deux pages au contenu équivalent, mais l’une avec un HTTPS et un autre avec un HTTP, ils
indexent par défaut les pages en HTTPS. Le fait de passer en HTTPS vous permet également

d’augmenter le taux de clic de votre site. Pour l’internaute lambda, la présence du HTTPS est
rassurante, puisque c’est pour lui, un signe de sécurité. Quand les résultats de recherche
s’affichent, les internautes ont tendance à aller en priorité vers les pages qui portent un
HTTPS dans leur URL.

Figure 10 : Illustration du protocole https

VII. Les inconvénients du protocole https

Malgré ses nombreux avantages, le fait de passer en HTTPS présente quelques inconvénients
qui méritent l’attention. Tout d’abord, la procédure n’est pas gratuite. Vous devez acheter le
certificat de sécurité HTTPS (le certificat SSL). Ensuite, vous devez faire une quasi-refonte de

15
 votre site puisque vous serez amené à changer toutes vos URL HTTP en HTTPS. Cela peut
prendre du temps surtout si votre hébergeur ne dispose pas des fonctionnalités permettant
d’effectuer cette démarche de manière automatique. En effet, si la démarche n’est pas
automatisée, vous devez mettre en place des redirections 301 et réaliser des modifications
dans Google Analytics et Google Search Console. Le passage au HTTPS peut aussi freiner
quelque peu la vitesse d’affichage de vos pages. Le serveur sera beaucoup plus sollicité, car,
avant d’afficher une page, il doit décoder les données cryptées. Notez toutefois qu’à moins
que votre serveur ne soit pas adapté au trafic de votre site, cette perte de vitesse d’affichage
n’a pas de répercussion visible à l’œil nu. En d’autres termes, malgré que vos pages se
chargent moins rapidement qu’en HTTP, cela n’aura pas d’incidence grave sur l’expérience
de navigation des internautes.

VIII. La principale différence entre les protocoles HTTP

Le protocole HTTPS est en bref un protocole HTTP mais avec une couche de sécurité
complémentaire comprise dans la lettre « S ».

Ce sont deux protocoles permettant de communiquer et transmettre des données entre

navigateur et serveur pour l’utilisateur souhaitant consulter une page web, mais un site
internet utilisant un protocole HTTPS permettra de crypter et sécuriser les données
transmises.

Par exemple, si vous remplissez un formulaire avec des données personnelles ou bien des
données bancaires, un protocole HTTP ne permettra pas leur cryptage, et les informations
partagées pourront donc être vues et volées. Cela n’arrivera pas avec un site donc l’adresse
commence par le protocole HTTPS.

IX. Comment migrer de HTTP vers HTTPS

La migration complète de votre site Web vers le HTTPS peut prendre un certain temps, mais
cela peut être bénéfique pour votre site. La liste de contrôle et de mesures ci-dessous aide à
réaliser ce changement pour votre site web.

Les quinze (15) étapes ci-dessous sont à suivre chronologiquement :

1 Décidez du type de certificat SSL dont vous avez besoin, puis achetez-le auprès de votre

16
 hébergeur
2 Installez et configurez votre certificat SSL sur votre compte d’hébergement Web
Effectuez une sauvegarde complète de votre site Web au cas où vous devriez revenir en
3
arrière.
Parcourez l’ensemble de votre site Web et mettez à jour tous les liens internes en dur, du
4
HTTP au HTTPS. Veillez également à mettre à jour votre fichier sitemap.XML
5 Mettez à jour votre fichier robots.txt afin qu’il contienne votre sitemap actualisé
Mettez à jour toutes les bibliothèques de codes, y compris JavaScript et les plugins tiers qui
6 sont utilisés sur votre site Web. Cela permettra de vous assurer que rien ne cesse de
fonctionner et que votre site ne contienne aucun élément non sécurisé.
Examinez tous les liens externes que vous contrôlez et qui renvoient vers votre site Web tel
7
que ceux apparaissant sur les listes des annuaires, et convertissez-les en HTTPS
8 Mettez à jour les paramètres SSL de votre CDN (Content Delivery Network)
Mettez à jour les liens que vous utilisez dans vos outils d’automatisation du marketing, y
9
compris les liens e-mail
Triez toutes vos pages d’atterrissage ainsi que vos liens résultant de vos campagnes SEA et
10
mettez-les en HTTPS
Assurez-vous de parcourir les anciennes URL à l’aide d’un outil comme Screaming Frog
11 pour identifier les redirections incorrectes ou toutes les chaînes de redirection et mettez-les à
jour
Assurez-vous que vous mettez en place des redirections 301 sur l’ensemble de votre site
12 Web, page par page. Cela vous permettra de faire en sorte que votre site continue de
recevoir le jus de lien lorsque les visiteurs sont redirigés vers vos nouvelles pages.
13 N’oubliez pas de mettre à jour les anciennes redirections qui sont toujours en place
Activez le HSTS (HTTP Strict Transport Security), qui indiquera au navigateur de toujours
14
utiliser le HTTPS
Activez la fonctionnalité d’agrafage OCSP (Online Certificate State Protocol), qui permet à
15 un serveur d’identifier si un certificat de sécurité a été révoqué ce qui évite au navigateur
d’avoir à contacter une tierce partie pour confirmer la validité du certificat
Tableau 1 : procédures de migration de http vers https

17
Conclusion
HTTP est un protocole extensible, facile d'utilisation. La structure client-serveur, combinée
avec la possibilité d'ajouter simplement des en-têtes, permet à HTTP de progresser au fur et
mesure de l'ajout de nouvelles fonctionnalités sur le Web.

Le HTTPS par contre est un passage d’un état non sécurisé à état sécurisé du serveur web.
Ceci passe par l’acquisition d’un certificat électronique : le SSL/TLS.

Conclusion générale

Si votre site Web manipule des informations d’internautes sensibles et privées, il sera
important que votre site soit sécurisé pour protéger ces données, et rassurer les visiteurs de
votre site internet pour que ceux-ci aient plus confiance. Le HTTPS est aujourd’hui le
protocole standard, privilégié par Google. La migration de HTTP vers HTTPS ne peut être
donc que bénéfique.

Il existe trois niveaux d’authentification lors de l’émission des certificats permettant

d’afficher le HTTPS :

 Domain Validation (DV) considéré comme de l’authentification faible ;

 Organization Validation (OV) à authentification forte ;
 Extended Validation (EV) à authentification renforcée.

18