Ça y est, nous y sommes, le géant Google va très bientôt sanctionner les boutiques en ligne n’ayant pas fait (encore) le choix du certificat SSL. Qu’il s’agisse d’une solution Woocommerce (WordPress), Magento, PrestaShop ou autre, si vous n’avez pas encore passé votre site en HTTPS, il va falloir vous pencher sur la question. 
Pour ceux qui souhaitent avoir plus de précisions sur le protocole HTTPS (“S” pour “Secured”), je vous invite à lire cette page Wikipedia qui vous donnera tous les détails.
Dès novembre 2016, j’avertissais mes clients en leur précisant qu’il était de plus en plus important de passer leur site en HTTPS.
En ce qui vous concerne :
- Si vous l’avez fait, vous allez vous réjouir en lisant la suite (et vos concurrents risquent bien de vous céder quelques clients) ;
- Si vous ne l’avez pas fait, vous devriez vite lire la suite, car c’est vous qui risquez de céder quelques clients à vos concurrents…
Pourquoi faut-il passer votre PrestaShop en HTTPS ?
À partir de janvier 2017, le navigateur Chrome (version 56 et versions ultérieures) signalera les pages qui collectent des mots de passe ou des données de cartes de paiement comme n’étant pas sécurisées, sauf si ces pages utilisent le protocole HTTPS. Autrement dit, tous les sites e-commerce (entre autres).
Si vous ne possédez pas encore de certificat SSL et que votre site s’affiche via HTTP et non HTTPS : vous êtes concerné par cette alerte.
Cet avertissement est la première étape d’un objectif à long terme de Google consistant à signaler toutes les pages utilisant le protocole HTTP non chiffré comme n’étant pas sécurisées.
Aujourd’hui, si votre site n’est pas en HTTPS, vos visiteurs voient ça :
D’ici quelques jours, si votre site n’est toujours pas en HTTPS, vos visiteurs verront ça :
En passant votre site en HTTPS, vos visiteurs verront ça :
Inutile de vous dire que le message d’alerte risque de faire fuir vos visiteurs, à juste tire ou non (mais là n’est pas le problème).
Pour résoudre ce problème (et éviter de perdre des clients) :
Il vous faut acquérir un certificat SSL auprès d’un organisme de certification comme GeoTrust, Symantec, Comodo etc. Ce certificat SSL devra ensuite être installé sur votre serveur et vous devrez paramétrer votre site PrestaShop afin qu’il soit accessible en HTTPS.
Il existe plusieurs types de certificats, et les prix vont de 30€ à 2000€ par an (car un certificat SSL doit être renouvelé tous les ans). Pour un site e-commerce, le certificat de type EV (Extended Validation) permet de rassurer au mieux vos visiteurs en leur indiquant que votre société est bien réelle et légitime.
La particularité de ce type de certificat réside dans le fait de voir apparaître le nom de la société éditrice du site internet dans la barre d’adresse du navigateur comme c’est le cas dans l’exemple ci-dessous pour le site officiel d’OVH.
En lisant la suite, je vous propose le meilleur rapport qualité/prix selon moi.
Quelle différence entre un certificat “standard” et un certificat EV ?
Si vous faites le tour des organismes de certification, vous verrez qu’il existe une grande différence de prix entre un certificat dit “standard” et un certificat de type EV (Extended Validation). Là où le premier ne coûte que quelques dizaines d’euros par an, le second coûte plusieurs centaines d’euros.
Plusieurs raisons à cela !
Obtenir un certificat SSL “standard”
Pour délivrer un certificat standard, l’organisme de certification ne va se contenter que de vérifier la propriété du nom de domaine. Ainsi, pour obtenir un tel certificat, il vous suffit parfois de cliquer sur un lien qui vous est envoyé par email à une adresse du type contact@VOTRE-DOMAINE.COM.
Dans d’autres cas, comme avec RapidSSL par exemple, vous devrez placer à la racine de votre site web un fichier qui vous sera envoyé par l’organisme de certification. La présence de ce fichier sur votre site prouve ainsi à RapidSSL que vous êtes propriétaire du site.
Voilà, c’est tout pour un certificat standard.
Obtenir un certificat SSL Extended Validation
Dans le cas d’un certificat de type EV, c’est une tout autre affaire !
Pour délivrer un certificat de type EV, l’organisme de certification (comme GeoTrust dans notre exemple), ne va pas se contenter de vérifier la propriété de votre site. Une vérification poussée de l’entreprise qui édite le site sera faite.
Ainsi, les agents compétents de l’organisme vérifieront :
- les mentions légales présentes sur votre site ;
- votre numéro de téléphone sera vérifié (vous serez susceptible de recevoir un appel de lap art d’un agent GeoTrust) ;
- votre kBis pourra vous être demandé afin de vérifier la concordance entre ce qui est déclaré sur votre site et ce qui est réellement enregistré auprès de votre chambre du commerce ;
- dans certains cas, GeoTrust pourra également être amené à vous réclamer une lettre d’un avocat ou d’un expert comptable attestant la véracité de vos informations.
De ce fait, les certificats de type EV sont facilement identifiables par la mention verte du nom de l’entreprise qui édite le site comme vu ci-dessus avec l’exemple d’OVH.
Bien entendu, le nom de votre entreprise peut tout à fait être différent du nom de votre site, ce n’est absolument pas un problème.
Enfin, ces deux types de certificats (standard et EV) se différencient par un montant de garantie de dédommagement possible (en cas de fuite de données censées être protégées par le certificat) bien plus élevé dans le cas d’un certificat de type EV.
Maintenant que vous connaissez le principales différences entre les deux types de certificat [je vous ai épargné les différences techniques qui résident entre autres dans des clés de chiffrement plus avancées – et donc plus sécurisées – dans certains cas], vous vous posez probablement la question suivante :
Quel type de certificat SSL faut-il choisir ?
D’un point de vue purement SEO (référencement), il n’y a à l’heure actuelle aucune preuve concluante que l’un des deux certificats influencera votre positionnement plus que l’autre.
Cependant, il convient de rester logique !
En partant du principe qu’en théorie, n’importe qui peut acquérir n’importe quel nom de domaine pour n’importe quelle activité, selon vous, lequel des deux certificats garantit avec le plus de crédibilité l’authenticité d’une activité :
- Celui où seul le nom de domaine est vérifié ?
- Celui où la vérification est poussée jusqu’au fin fond de votre kBis ?
Pour ma part, j’ai plutôt tendance à penser que ce qui semble logique pour le commun des mortels l’est également pour Google… À vous d’en tirer vos conclusions !
Ainsi, mon conseil serait de vous orienter vers un certificat de type EV dans le cas d’une activité de vente en ligne. Dans les autres cas, le choix vous appartient, en ayant conscience des différences et de ce que cela est susceptible d’engendrer dans la tête de vos visiteurs (notamment en termes de crédibilité).
Combien coûte un certificat SSL ?
En tant que revendeur, Digiactif est en mesure de vous faire profiter de ses tarifs préférentiels en ce qui concerne l’acquisition de certificats SSL auprès des plus grands organismes de certification !
Prenons l’exemple d’un certificat de type EV délivré par GeoTrust. Vous pouvez très bien gérer cela vous-même ou passer par un autre prestataire en vous rendant sur le site de GeoTrust : https://www.geotrust.com/fr/ssl/extended-validation-ssl
En choisissant Digiactif comme intermédiaire, vous paierez votre certificat GeoTrust de type EV moins cher qu’en passant directement par GeoTrust…