Introduction
Le cadenas dans la barre d'adresse de votre navigateur — ce petit symbole rassurant — est la marque visible d'un certificat SSL. Mais derrière cette icône se cache une technologie fondamentale de la sécurité web qui chiffre les échanges entre votre serveur et vos visiteurs.
En 2026, le HTTPS n'est plus une option : c'est une obligation. Google pénalise les sites en HTTP dans ses résultats de recherche, les navigateurs affichent d'inquiétants messages "Site non sécurisé" sur les pages sans SSL, et les internautes abandonnent massivement les sites qui ne chiffrent pas leurs données.
Ce guide complet vous explique ce qu'est un certificat SSL, les différents types disponibles, comment en choisir un, et comment l'installer sur votre hébergement.
SSL chez Gaprod
Tous les hébergements Gaprod incluent Let's Encrypt SSL gratuit avec renouvellement automatique. Votre site est en HTTPS dès la mise en ligne, sans configuration supplémentaire.
Qu'est-ce qu'un certificat SSL ?
Le chiffrement TLS en pratique
SSL (Secure Sockets Layer) est en réalité un terme hérité : le protocole actuel s'appelle TLS (Transport Layer Security). TLS 1.3 est la version en vigueur en 2026. Mais le terme "SSL" est resté dans le langage courant.
Un certificat SSL est un fichier de données qui lie une clé cryptographique à l'identité d'une organisation. Installé sur un serveur, il :
- Active le protocole HTTPS sur votre site
- Chiffre toutes les communications entre le serveur et le visiteur
- Garantit l'authenticité du site (vous êtes bien sur gaprod.fr et non un imposteur)
- Protège les données échangées (formulaires, paiements, identifiants)
Comment fonctionne le handshake TLS ?
Lorsqu'un visiteur accède à votre site en HTTPS, une négociation s'effectue en quelques dizaines de millisecondes :
- Le navigateur demande une connexion sécurisée
- Le serveur envoie son certificat SSL
- Le navigateur vérifie que le certificat est signé par une autorité de certification (CA) reconnue
- Les deux parties établissent une clé de session éphémère
- Toutes les données échangées pendant la session sont chiffrées avec cette clé
Cette procédure est transparente pour l'utilisateur et n'ajoute qu'une latence négligeable (quelques millisecondes).
Certificat SSL et SEO
Google a confirmé en 2014 que HTTPS est un facteur de classement. En 2026, c'est bien plus qu'un avantage : un site sans SSL est activement pénalisé. Concrètement :
- Google Chrome affiche "Site non sécurisé" sur les pages HTTP
- Firefox bloque parfois les formulaires sur les pages non sécurisées
- Google indexe préférentiellement les versions HTTPS
- Les Core Web Vitals incluent des métriques liées à la sécurité
Un site en HTTPS avec un certificat valide se comporte mieux dans les résultats de recherche, notamment pour les requêtes locales et e-commerce.
Les différents types de certificats SSL
DV (Domain Validation) — Validation de domaine
Le certificat DV est le plus simple et le plus répandu. L'autorité de certification vérifie uniquement que vous contrôlez le domaine en question, sans vérifier l'identité de votre organisation.
Délai d'émission : Quelques minutes à quelques heures.
Niveau de confiance : Basique. Le cadenas s'affiche, mais aucune information sur l'entreprise n'est accessible.
Pour qui : Sites vitrines, blogs, applications web sans transaction financière critique.
Exemples : Let's Encrypt (gratuit), Sectigo DV, Comodo DV.
OV (Organization Validation) — Validation d'organisation
Le certificat OV requiert une vérification de l'existence légale de votre organisation. L'autorité de certification contacte l'entreprise, vérifie son numéro SIRET, son adresse et ses coordonnées.
Délai d'émission : 1 à 3 jours ouvrés.
Niveau de confiance : Élevé. Les informations de l'entreprise sont accessibles dans le certificat.
Pour qui : Sites d'entreprise, plateformes professionnelles, e-commerces.
Coût : Généralement 50 à 200 €/an selon le prestataire.
EV (Extended Validation) — Validation étendue
Le certificat EV est le niveau le plus élevé de vérification. L'autorité de certification effectue une vérification approfondie de l'entreprise (existence légale, domiciliation, représentants légaux). Historiquement, les navigateurs affichaient le nom de l'entreprise en vert dans la barre d'adresse. Depuis 2019, ce comportement a été abandonné par Chrome et Firefox, réduisant l'intérêt visible de l'EV.
Délai d'émission : 3 à 7 jours ouvrés.
Niveau de confiance : Maximum. Inspection complète de l'organisation.
Pour qui : Banques, institutions financières, grandes entreprises pour lesquelles la confiance est critique.
Coût : 200 à 600 €/an.
EV en 2026 : toujours utile ?
Depuis que Chrome et Firefox ont supprimé l'affichage du nom d'entreprise en vert, l'intérêt visible des certificats EV pour les visiteurs a diminué. La majorité des sites, y compris les banques en ligne, utilisent des certificats DV ou OV modernes avec des algorithmes robustes. Un DV Let's Encrypt correctement configuré est techniquement aussi sécurisé qu'un EV.
Wildcard (joker)
Un certificat Wildcard couvre un domaine et tous ses sous-domaines de premier niveau. Exemple : *.gaprod.fr couvre www.gaprod.fr, blog.gaprod.fr, shop.gaprod.fr, etc.
Avantage : Un seul certificat pour tous vos sous-domaines.
Limite : Ne couvre que les sous-domaines d'un seul niveau (pas sub.blog.gaprod.fr).
Coût : 80 à 300 €/an selon le type (DV Wildcard, OV Wildcard).
Let's Encrypt propose des certificats Wildcard gratuits, mais leur renouvellement nécessite une validation DNS manuelle ou automatisée (certbot avec le plugin DNS).
Multi-domaine (SAN)
Un certificat SAN (Subject Alternative Name) couvre plusieurs domaines différents dans un seul certificat. Utile pour les entreprises gérant plusieurs domaines.
Exemple : Un certificat couvrant gaprod.fr, gaprod.com, hebergement-gaprod.fr.
Let's Encrypt : le SSL gratuit qui a révolutionné le web
Lancée en 2015 par l'ISRG (Internet Security Research Group) avec le soutien de Mozilla, EFF, Cisco et d'autres acteurs, Let's Encrypt a démocratisé le HTTPS en proposant des certificats DV gratuits et automatisés.
Pourquoi Let's Encrypt est gratuit
Let's Encrypt est une autorité de certification à but non lucratif financée par des dons et sponsors. Elle a pour mission de rendre le web chiffré par défaut. En supprimant le coût des certificats, elle a contribué à faire passer le taux de chiffrement web de 40% en 2015 à plus de 90% en 2026.
Durée de validité et renouvellement
Les certificats Let's Encrypt ont une durée de validité de 90 jours, beaucoup plus courte que les certificats commerciaux (1 à 2 ans). Cette courte durée est intentionnelle : elle pousse à l'automatisation du renouvellement (via Certbot ou l'API ACME) et limite l'exposition en cas de compromission d'une clé.
Chez Gaprod, le renouvellement est entièrement automatique. Vous n'avez rien à faire.
Limites de Let's Encrypt
- Pas de certificats OV ou EV : Let's Encrypt ne valide que le domaine, pas l'organisation
- Limites de taux : 50 certificats par domaine racine par semaine (suffisant pour la quasi-totalité des usages)
- Wildcards nécessitent un challenge DNS : plus complexe à automatiser
Pour la grande majorité des sites (vitrines, blogs, WooCommerce jusqu'à quelques millions d'euros de CA), Let's Encrypt est parfaitement adapté. Les banques et grandes institutions choisissent des certificats OV ou EV pour des raisons de conformité et de communication de marque.
Comment installer un certificat SSL
Sur un hébergement cPanel (Gaprod)
L'installation de Let's Encrypt sur cPanel se fait en quelques clics :
- Connectez-vous à cPanel
- Section "Sécurité" → "SSL/TLS Status"
- Sélectionnez les domaines à sécuriser
- Cliquez "Run AutoSSL"
Le certificat est installé automatiquement et renouvellement est géré par cPanel. Chez Gaprod, AutoSSL s'exécute quotidiennement pour vérifier l'état des certificats.
Forcer le HTTPS avec .htaccess
Après installation, forcez la redirection HTTP → HTTPS pour éviter le contenu mixte et consolider votre SEO :
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Ajoutez ces lignes dans votre fichier .htaccess à la racine de votre site.
Sur WordPress
Sur WordPress, modifiez l'URL du site dans Réglages → Général :
- Adresse web de WordPress :
https://votresite.fr - Adresse web du site :
https://votresite.fr
Puis installez le plugin "Really Simple SSL" pour gérer la migration HTTP → HTTPS (liens internes, images, scripts) en un clic.
Vérifier l'installation
Après installation, vérifiez votre certificat avec :
- SSL Labs (ssllabs.com/ssltest/) : Analyse complète de votre configuration TLS. Visez une note A+.
- Why No Padlock (whynopadlock.com) : Détecte le contenu mixte (ressources HTTP chargées sur une page HTTPS)
- Check-your-website.net : Vérification globale incluant SSL, DNS, et performance
Contenu mixte : le piège fréquent
Après migration vers HTTPS, des images, scripts ou CSS chargés en HTTP peuvent déclencher une erreur de "contenu mixte" qui supprime le cadenas dans le navigateur. Utilisez un outil comme "Why No Padlock" pour identifier et corriger ces ressources.
Configuration SSL optimale en 2026
Protocoles à activer
En 2026, la configuration SSL recommandée est :
- TLS 1.2 : Encore supporté pour la compatibilité avec les anciens appareils
- TLS 1.3 : Activé par défaut, plus rapide et plus sécurisé
À désactiver : SSL 3.0, TLS 1.0, TLS 1.1 — obsolètes et vulnérables.
Suites de chiffrement (cipher suites)
Privilégiez les suites qui supportent le PFS (Perfect Forward Secrecy) pour protéger les sessions passées même en cas de compromission de la clé privée future. Les suites basées sur ECDHE (Elliptic Curve Diffie-Hellman Ephemeral) sont les mieux adaptées.
HSTS (HTTP Strict Transport Security)
HSTS est un en-tête HTTP qui indique aux navigateurs de toujours accéder à votre site en HTTPS, même si un utilisateur tape l'URL en HTTP. Ajoutez cet en-tête dans votre configuration Apache ou .htaccess :
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Après un délai de stabilité, soumettez votre domaine à la liste de préchargement HSTS (hstspreload.org). Votre domaine sera ensuite codé en dur dans Chrome, Firefox et d'autres navigateurs comme "HTTPS uniquement".
Certificats SSL payants vs gratuits : que choisir ?
| Critère | Let's Encrypt (gratuit) | SSL commercial (payant) |
|---|---|---|
| Coût | 0 € | 50 à 500 €/an |
| Validation | DV uniquement | DV, OV, EV disponibles |
| Durée de validité | 90 jours | 1 an |
| Wildcard | Oui (challenge DNS) | Oui (plus simple) |
| Support | Communauté | Technique dédié |
| Garantie financière | Aucune | 10 000 à 1 750 000 $ selon le type |
| Navigateurs supportés | Tous les navigateurs modernes | Tous les navigateurs |
Pour la grande majorité des sites, Let's Encrypt est suffisant. Considérez un certificat payant uniquement si :
- Vous avez besoin d'une validation OV ou EV pour des raisons de conformité
- Votre intégrateur ou client exige un certificat commercial
- Vous avez besoin d'une garantie financière pour une raison contractuelle
Erreurs SSL courantes et solutions
ERR_CERT_COMMON_NAME_INVALID
Le domaine ne correspond pas au certificat. Vérifiez que le certificat couvre bien tous les sous-domaines utilisés (www et non-www notamment).
ERR_CERT_DATE_INVALID
Le certificat a expiré. Sur cPanel/Gaprod, forcez un renouvellement via "SSL/TLS Status" → "Run AutoSSL". Si le problème persiste, contactez le support.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Protocole incompatible entre le client et le serveur. Généralement causé par un serveur configuré avec TLS 1.0 uniquement. Mettez à jour la configuration TLS sur le serveur.
Cadenas brisé (contenu mixte)
Des ressources (images, scripts, CSS) sont chargées en HTTP sur votre page HTTPS. Utilisez "Why No Padlock" pour les identifier et corrigez les URLs en les passant en HTTPS ou en URLs relatives (sans protocole, commençant par //).
Conclusion
Le certificat SSL est aujourd'hui le minimum vital pour tout site web sérieux. Let's Encrypt a éliminé toute excuse économique : le SSL gratuit, automatique et renouvelé en continu est disponible sur tous les hébergements Gaprod.
Pour les sites commerciaux ou institutionnels nécessitant une validation d'organisation, les certificats OV apportent un niveau de confiance supplémentaire. Pour la très grande majorité des projets, un Let's Encrypt correctement configuré avec TLS 1.3, HSTS et une note A+ sur SSL Labs est la solution optimale.
Héberger mon site avec SSL gratuitSSL Let's Encrypt gratuit et automatique sur tous les hébergements Gaprod