Une introduction aux certificats SSL pour WooCommerce

Publié: 2015-12-24

Une partie du processus de démarrage d'une boutique en ligne consiste à trouver un moyen de sécuriser l'expérience de vos acheteurs. Vous voulez que vos clients potentiels se sentent en sécurité, bien sûr, et qu'ils sachent que leurs données ne tomberont pas entre de mauvaises mains.

Si vous débutez dans le commerce électronique, vous avez peut-être entendu des discussions sur les certificats SSL ou HTTPS dans le cadre de ce processus de sécurité. Et vous pourriez être complètement confus par cela. Détendez-vous, c'est normal et nous pouvons vous aider.

SSL semble être un sujet compliqué, mais une fois que vous avez compris le principe et pourquoi votre magasin pourrait en avoir besoin, vous n'aurez plus à vous en soucier . En fait, pour la plupart des propriétaires de magasins, vous pouvez obtenir un certificat pour ajouter SSL à votre magasin en quelques minutes seulement.

Voyons ce qu'est SSL, pourquoi vous pourriez en avoir besoin et comment vous pouvez obtenir un certificat pour votre magasin. À la fin de cet article, votre confusion devrait avoir disparu et vous devriez être encore plus préparé à commencer à vendre en ligne.

Le certificat SSL expliqué

Pour comprendre ce qu'est un certificat SSL et pourquoi vous pourriez en avoir besoin, examinons d'abord rapidement la technologie qui le sous-tend.

Une leçon rapide sur SSL

SSL signifie «Secure Sockets Layer», bien qu'il soit aussi parfois appelé «Transport Layer Security» (ou TLS). SSL à lui seul est un protocole utilisé pour sécuriser et protéger les transactions - mais pas nécessairement financières - entre les destinations sur un réseau .

SSL s'appuie sur le cryptage pour rendre ces transactions privées. Chaque message transmis doit réussir une vérification interne de l'intégrité de ce cryptage avant de réussir. Si la vérification échoue (en raison d'une corruption des données ou de toute tentative inattendue de modification ou de capture des données), les données chiffrées ne seront pas exposées.

Nous utilisons SSL tous les jours lorsque nous naviguons sur des sites Web courants tels que Facebook, YouTube et des boutiques en ligne. Le cryptage utilisé empêche les personnes malveillantes d'intercepter des transactions aussi innocentes que vos requêtes de recherche… ou aussi dangereuses que les informations de votre carte de crédit.

Comment SSL s'applique aux certificats de site Web

Lorsqu'un site Web souhaite sécuriser ses transactions, il obtient un certificat SSL pour ce domaine. Le certificat SSL applique le cryptage décrit ci-dessus à toutes les activités du site Web , y compris les soumissions de pages et de formulaires, les transactions financières, etc. Cela empêche le vol de données ou d'autres attaques de ce type.

Les certificats SSL contiennent également des informations de sécurité importantes , notamment :

  • Nom de l'entreprise
  • Emplacement de la société
  • Durée pendant laquelle le certificat est valable
  • Coordonnées de l'autorité qui a délivré le certificat

Cela permet aux personnes qui ne sont pas certaines de l'authenticité ou de la fiabilité d'un site Web de cliquer sur l'icône de « cadenas » verte de leur navigateur pour consulter plus d'informations. S'ils ne se sentent toujours pas en sécurité, ils peuvent quitter le site.

Un exemple du type d'informations que vous pouvez voir lors de l'examen d'un certificat SSL - dans ce cas, le blog Webmaster Central de Google.
Un exemple du type d'informations que vous pouvez voir lors de l'examen d'un certificat SSL - dans ce cas, le blog Webmaster Central de Google.

Comment savoir si un site Web utilise SSL/TLS

Il existe deux façons rapides de savoir si un site Web donné possède un certificat SSL. Chercher:

  • Une icône « cadenas » verte dans la barre d'adresse, et
  • Une URL qui commence par https au lieu de http

Selon la manière dont le site utilise SSL, cela peut ne pas s'appliquer à toutes les pages, comme vous le découvrirez ci-dessous.

Comment l'utilisation de SSL évolue

Pendant un certain temps, la norme Internet était que les certificats SSL n'étaient recommandés que pour des domaines ou des pages spécifiques de sites Web où des informations sensibles (telles que des données financières) seraient transmises ou reçues. Cependant, cette recommandation évolue lentement.

En août 2014, Google a annoncé que la sécurité des sites Web serait ajoutée en tant que « signal de classement léger » pour les résultats dans son moteur de recherche . Cela signifiait qu'un site Web sécurisé avec SSL/TLS avait une meilleure chance de se classer plus haut pour une requête qu'un site non sécurisé, en supposant que tous les autres facteurs étaient les mêmes.

Depuis l'annonce :

[N]ous avons effectué des tests en prenant en compte si les sites utilisent des connexions sécurisées et cryptées comme signal dans nos algorithmes de classement de recherche. Nous avons vu des résultats positifs, nous commençons donc à utiliser HTTPS comme signal de classement. Pour l'instant ce n'est qu'un signal très léger […] alors que nous laissons le temps aux webmasters de passer en HTTPS. Mais avec le temps, nous pourrions décider de le renforcer, car nous aimerions encourager tous les propriétaires de sites Web à passer du HTTP au HTTPS pour assurer la sécurité de tous.

Au cours de l'année écoulée, les implications potentielles de ce changement ont amené de nombreux propriétaires de sites Web - et pas seulement des propriétaires de magasins - à chiffrer leurs sites avec des certificats SSL complets, en modifiant leurs URL en "https" au lieu de "http".

Cependant, cela n'oblige personne à sécuriser l'intégralité de son site avec SSL . S'ils le souhaitent, les propriétaires de sites Web et de magasins peuvent toujours placer toutes leurs pages sensibles sur un sous-domaine et acheter un certificat pour ce domaine uniquement, laissant le reste des pages non cryptées.

Comment savoir si votre boutique en ligne a besoin de SSL

En lisant tout cela, vous pourriez être convaincu que vous avez besoin d'un certificat SSL. Après tout, la sécurité est importante pour vous, n'est-ce pas ?

Toutefois, si vous ne capturez ni ne stockez aucune donnée sensible, vous n'aurez peut-être pas besoin d'un certificat . Cela peut sembler étrange, alors creusons.

Le scénario le plus courant qui dispense les propriétaires de magasins d'avoir besoin de SSL est l'utilisation d'un processeur de paiement hors site, par exemple PayPal. En effet, PayPal est responsable de la capture et du stockage de toutes les informations de paiement sensibles de vos clients, elles ne sont donc jamais stockées dans votre base de données .

Les processeurs de paiement hors site ont leurs propres normes de sécurité, certificats et méthodes de transmission sécurisée des données depuis et vers votre magasin. Par conséquent, vous n'avez pas nécessairement besoin de SSL, car ils le couvriront.

Si vous ne stockez aucune information de paiement sensible, vous n'aurez peut-être pas besoin de SSL.
Si vous ne stockez aucune information de paiement sensible, vous n'aurez peut-être pas besoin de SSL.

Un autre scénario est si vous n'autorisez pas les clients à créer des comptes ou des connexions impliquant des mots de passe de quelque nature que ce soit. Même si vous utilisez une passerelle de paiement tierce, entièrement hors site, il se peut que des clients créent toujours des comptes avec vous pour enregistrer leurs adresses de livraison et de facturation .

Bien qu'il s'agisse d'informations beaucoup moins sensibles, de nombreux clients ont tendance à utiliser le même mot de passe pour chaque compte. Ainsi, un peu d'ingénierie inverse pourrait conduire un pirate informatique à accéder, par exemple, au compte de messagerie, au compte bancaire d'un acheteur, etc. Cela signifie qu'à moins que la création de compte ne soit désactivée sur votre boutique, vous aurez besoin de SSL pour protéger ces mots de passe et ces identifiants .

Pour récapituler, les deux facteurs qui peuvent éliminer SSL en tant qu'exigence sont :

  • Utilisation d'une passerelle de paiement entièrement hors site, et
  • Absolument aucune fonctionnalité de compte ou de mot de passe autorisée par les clients

Si vous ne disposez pas de ces deux facteurs, vous aurez besoin d'un certificat pour votre magasin. Et même si vous le faites, vous devriez quand même l'envisager , étant donné la possibilité que le HTTPS devienne plus important pour les classements - et la tranquillité d'esprit des clients - à l'avenir.

Besoin de SSL ? Comment obtenir un certificat (deux façons)

Le moyen standard de sécuriser votre boutique avec SSL jusqu'à très récemment consistait à payer un tiers pour un certificat. Il y a maintenant une autre option, cependant, comme mentionné lors de l'état de la parole au WordCamp US.

Voici deux façons de sécuriser votre magasin et de satisfaire vos clients.

Payer un certificat

Les certificats SSL peuvent être achetés auprès d'une grande variété de tiers . De nombreux revendeurs de domaines les proposent à leurs clients (parfois même groupés avec votre nom de domaine), et il existe également des sociétés indépendantes qui ne vendent que des certificats SSL.

Votre meilleur pari pourrait être de commencer par l'entreprise auprès de laquelle vous avez acheté (ou envisagez d'acheter) le nom de domaine de votre boutique pour déterminer si elle propose des certificats ou tout type d'offre groupée. Sinon, une simple recherche devrait révéler plusieurs options fiables.

Avant d'acheter, passez quelques minutes à réfléchir attentivement au type de certificat dont vous avez besoin . Les certificats SSL de base ne couvrent qu'un seul domaine - ex. exemple.com ou sous-domaine.exemple.com. Mais vous pouvez également acheter des certificats multi-domaines, ou des certificats "wildcard" pour couvrir plusieurs sous-domaines (example1.domain.com, example2.domain.com…).

Le prix des certificats payants varie généralement de 30 $ à 50 $ par an pour les domaines uniques, et jusqu'à 300 $ par an pour les options multi-domaines ou génériques.

Certificats gratuits de Let's Encrypt

Le groupe de recherche sur la sécurité Internet (ISRG) a actuellement un programme appelé Let's Encrypt en version bêta publique. Let's Encrypt permet à quiconque de sécuriser gratuitement son site avec SSL/TLS, offrant ainsi aux propriétaires de sites Web et de magasins un certificat SSL gratuit et permanent .

Le hic : Let's Encrypt n'est pas aussi simple que de travailler avec un registraire de domaine pour acheter et installer votre certificat. Il est également toujours en version bêta, donc des bugs sont possibles. Cependant, il est toujours entièrement gratuit et open source.

Un diagramme de Let's Encrypt montrant le fonctionnement de leurs certificats.
Un diagramme de Let's Encrypt montrant le fonctionnement de leurs certificats.

Si vous souhaitez emprunter cette voie, nous vous recommandons d'envoyer la documentation Let's Encrypt à votre développeur, qui pourra déterminer le plug-in et le client dont vous avez besoin pour votre serveur, et gérer le processus d'installation du certificat pour vous.

Les conséquences de ne pas avoir de certificat

Vous vous demandez peut-être "que se passe-t-il si j'ignore tout cela et que je n'obtiens tout simplement pas de certificat SSL ?"

A vrai dire, rien ne pouvait arriver. Mais il pourrait aussi y avoir des conséquences désastreuses, notamment :

  • Les acheteurs perdent confiance en vous parce que votre magasin semble non sécurisé
  • Des individus peu recommandables "usurpent" votre magasin parce qu'il n'y a aucun moyen de prouver que vous êtes le véritable propriétaire ou fabricant de vos produits
  • Un pirate utilisant l'ingénierie inverse pour détourner l'e-mail, les réseaux sociaux ou tout autre compte en ligne d'un client avec des informations obtenues à partir de votre boutique
  • Vol de données personnelles ou financières sensibles stockées sur votre serveur
  • Le contrecoup public et financier potentiel causé par l'un des événements ci-dessus

Comme vous pouvez le voir, il vaut mieux simplement payer pour un certificat SSL et avoir l'esprit tranquille que de le risquer. Même le fait que des clients potentiels vous harcèlent à propos de cette icône de cadenas manquante – et potentiellement quittez sans acheter parce qu'elle est manquante – vaut environ 30 $ par an, vous ne pensez pas ?

SSL n'a pas à être compliqué

Nous espérons que cette introduction aux certificats SSL pour le commerce électronique vous a aidé à mieux comprendre pourquoi vous pourriez - ou non - avoir besoin d'un certificat pour votre propre boutique en ligne.

Avec un peu de chance, SSL et la sécurité des magasins devraient vous sembler beaucoup plus faciles à comprendre maintenant. Mais si vous avez encore des questions, nous serons plus qu'heureux d'y répondre dans les commentaires ci-dessous ! Demandez, nous sommes toujours là pour vous aider.