Tous les articles SSL SSL et certificats

Qu'est-ce que le HTTPS ? Guide complet

HTTPS (Hypertext Transfer Protocol Secure) est la version chiffree de HTTP — le protocole que les navigateurs utilisent pour communiquer avec les sites web. Lorsqu’un site utilise HTTPS, toutes les donnees entre votre navigateur et le serveur sont chiffrees, empechant quiconque au milieu de les lire ou de les modifier.

Vous pouvez identifier qu’un site utilise HTTPS par le prefixe https:// dans l’URL et l’icone de cadenas dans la barre d’adresse de votre navigateur. En 2026, 86,9 % des sites web utilisent HTTPS et les navigateurs signalent tous les sites HTTP comme « Non securise ».

Comment fonctionne HTTPS

HTTPS ajoute le chiffrement TLS (Transport Layer Security) par-dessus le HTTP classique. Lorsque vous visitez un site HTTPS, un handshake TLS se produit en quelques millisecondes :

  1. Le navigateur se connecte — envoie les versions TLS supportees, les suites de chiffrement et un nombre aleatoire au serveur
  2. Le serveur repond — envoie sa suite de chiffrement choisie, son certificat SSL/TLS (contenant sa cle publique) et un nombre aleatoire
  3. Le navigateur verifie — verifie que le certificat n’est pas expire, correspond au domaine et est signe par une Autorite de Certification de confiance
  4. Negociation de la cle de session — les deux parties utilisent le chiffrement asymetrique (echange de cles Diffie-Hellman) pour convenir d’une cle de session secrete partagee
  5. La communication chiffree commence — toutes les donnees suivantes sont chiffrees avec la cle de session symetrique

Apres le handshake, tout est chiffre : HTML, images, CSS, JavaScript, soumissions de formulaires, cookies, reponses API et chemins d’URL.

Approfondir : Comment SSL/TLS fonctionne →

HTTP vs HTTPS

HTTPHTTPS
ChiffrementAucun — donnees envoyees en clairToutes les donnees chiffrees avec TLS
Port par defaut80443
Prefixe URLhttp://https://
Certificat requisNonOui (certificat SSL/TLS)
Indicateur navigateurAvertissement « Non securise »Icone de cadenas
Integrite des donneesNon — les donnees peuvent etre modifiees en transitOui — la falsification est detectee
AuthentificationAucune — pas de preuve que le serveur est authentiqueLe certificat prouve l’identite du serveur
Signal SEONegatif (depuis 2014)Positif (facteur de classement Google)
Support HTTP/2Non (en pratique)Oui — chargement des pages plus rapide
Requis pourRien de moderneService workers, geolocalisation, APIs camera/micro, formulaires de paiement

La difference n’est pas que la securite — HTTPS permet des fonctionnalites web modernes que HTTP ne peut pas utiliser. Les navigateurs restreignent les service workers, l’API Geolocation, l’API Clipboard et d’autres APIs puissantes aux origines HTTPS uniquement.

Pourquoi chaque site web a besoin de HTTPS

Confidentialite

Sans HTTPS, n’importe qui sur le meme reseau peut voir exactement ce que vous faites. Un operateur Wi-Fi de cafe, un proxy d’entreprise, un FAI — ils peuvent lire chaque page que vous visitez, chaque formulaire que vous soumettez, chaque cookie qui passe. HTTPS chiffre tout cela.

Ce n’est pas theorique. Des FAI ont ete documentes en train d’injecter des publicites et du code de suivi dans le trafic HTTP non chiffre.

Integrite des donnees

HTTPS garantit que les donnees que vous recevez n’ont pas ete modifiees en transit. Sans lui, un operateur reseau malveillant pourrait :

  • Injecter des publicites ou des mineurs de cryptomonnaie dans vos pages
  • Remplacer les liens de telechargement par des logiciels malveillants
  • Modifier les prix ou les conditions sur votre site web
  • Inserer des scripts de suivi

HTTPS detecte toute modification — le navigateur rejette les donnees falsifiees.

Authentification

Le certificat prouve que vous etes connecte au vrai serveur, pas a un imposteur. Sans HTTPS, un point d’acces Wi-Fi malveillant (nomme « Wi-Fi Gratuit Aeroport ») peut vous rediriger silencieusement vers une fausse version de n’importe quel site web. Avec HTTPS, le faux site ne peut pas presenter un certificat valide pour le domaine — le navigateur bloque la connexion.

SEO

Google utilise HTTPS comme signal de classement depuis 2014. Bien que ce soit un signal leger (Google le decrit comme un « tiebreaker »), c’est l’un des signaux les plus faciles a implementer. Plus important, les pages HTTP declenchent l’avertissement « Non securise » de Chrome, ce qui augmente le taux de rebond — et le taux de rebond affecte indirectement le classement.

Performance

Une idee recue courante est que HTTPS est plus lent. En realite :

  • Le handshake TLS ajoute un aller-retour (TLS 1.3) ou deux (TLS 1.2) — generalement 10-50 ms
  • HTTP/2 (qui necessite HTTPS) est nettement plus rapide que HTTP/1.1 grace au multiplexage, la compression d’en-tetes et le server push
  • La reprise de session elimine la surcharge du handshake pour les visiteurs recurrents (0-RTT en TLS 1.3)
  • Les processeurs modernes gerent le chiffrement AES en materiel (AES-NI) — le cout CPU est negligeable

En pratique, les sites HTTPS avec HTTP/2 se chargent plus rapidement que les sites HTTP/1.1.

Exigences des navigateurs

Les navigateurs modernes restreignent les APIs puissantes aux contextes securises (HTTPS uniquement) :

  • Service Workers — requis pour les PWA, le support hors ligne, les notifications push
  • API Geolocation — acces GPS et localisation
  • Camera/MicrophonegetUserMedia() pour les appels video
  • API Clipboard — lecture du presse-papiers
  • API Payment Request — interface de paiement native
  • Web Bluetooth, Web USB — acces materiel

Si votre site a besoin de l’une de ces fonctionnalites, HTTPS est obligatoire — pas optionnel.

Idees recues courantes

« HTTPS n’est necessaire que pour les pages de connexion et les paiements. » Chaque page devrait utiliser HTTPS. Meme les articles de blog statiques transmettent des cookies qui pourraient etre voles en HTTP. Les pages HTTP peuvent etre modifiees en transit pour injecter du contenu malveillant. Et les navigateurs avertissent maintenant sur toutes les pages HTTP — pas seulement celles avec des formulaires.

« HTTPS ralentit mon site. » TLS 1.3 ajoute ~10-40 ms lors de la premiere connexion. HTTP/2 (qui necessite HTTPS) compense largement avec le multiplexage et la compression. La reprise de session rend les visites suivantes encore plus rapides. Sur du materiel moderne, le chiffrement lui-meme est gere par des instructions CPU (AES-NI) et n’ajoute aucune surcharge mesurable.

« Les certificats HTTPS sont chers. » Let’s Encrypt emet des certificats gratuitement. Plus de 300 millions de sites web les utilisent — y compris de grandes entreprises et des sites gouvernementaux. Avec GetHTTPS, vous pouvez en obtenir un en 5 minutes sans installer de logiciel.

« Mon hebergeur gere HTTPS, je n’ai pas besoin de comprendre. » Probablement vrai pour les sites basiques. Mais si vous voyez un jour un avertissement « Mixed Content », une erreur de certificat, ou devez configurer une redirection — comprendre HTTPS vous aide a diagnostiquer et resoudre le probleme. Et si vous changez d’hebergeur, vous devrez savoir comment fonctionnent les certificats.

« L’icone de cadenas signifie que le site est sur. » Le cadenas signifie que la connexion est chiffree — pas que le site web lui-meme est digne de confiance. Plus de 90 % des sites de phishing utilisent desormais HTTPS. Le cadenas confirme a qui vous etes connecte (via le certificat), pas s’ils sont honnetes.

Comment activer HTTPS sur votre site web

  1. Obtenir un certificat — Utilisez GetHTTPS pour obtenir un certificat Let’s Encrypt gratuit dans votre navigateur. Pas d’installation, pas de compte.

  2. L’installer sur votre serveur — Consultez nos guides pour Nginx, Apache, cPanel, WordPress, IIS ou Docker.

  3. Rediriger HTTP vers HTTPS — Forcez tout le trafic vers la version securisee. Guide de redirection →

  4. Corriger le contenu mixte — Assurez-vous que toutes les ressources (images, scripts, CSS) se chargent en HTTPS. Guide du contenu mixte →

  5. Configurer le renouvellement — Les certificats Let’s Encrypt durent 90 jours. Guide de renouvellement →

L’avenir du HTTPS

La validite des certificats se reduit. Le CA/Browser Forum a vote pour reduire la validite maximale des certificats a 47 jours d’ici 2029. Cela rend les outils de renouvellement automatise (Certbot, acme.sh) ou les outils manuels simples (GetHTTPS) de plus en plus importants.

HTTP/3 et QUIC. La prochaine generation de HTTP fonctionne sur QUIC, qui integre le chiffrement dans la couche de transport — il n’y a pas de version non chiffree. HTTPS n’est plus seulement une couche ; il devient inseparable du protocole lui-meme.

Encrypted Client Hello (ECH). TLS 1.3 chiffre la majeure partie du handshake, mais le SNI (Server Name Indication) — qui revele a quel domaine vous vous connectez — est encore visible. ECH chiffre aussi le SNI, rendant impossible pour les observateurs du reseau de voir quel site specifique vous visitez sur un serveur partage.

Questions frequemment posees

HTTPS est-il vraiment securise ?

HTTPS avec un TLS moderne (1.2 ou 1.3) est extremement securise contre l’ecoute et la falsification. Aucune attaque pratique n’existe contre TLS 1.3 correctement configure. Les risques restants se situent aux points d’extremite (logiciels malveillants sur votre appareil, serveur compromis), pas au niveau de la connexion chiffree elle-meme.

Ai-je besoin de HTTPS pour un site statique ?

Oui. Meme sans formulaires ni connexion, HTTPS empeche l’injection de contenu (publicites, logiciels malveillants), protege la confidentialite des visiteurs (quelles pages ils consultent), active HTTP/2 (chargement plus rapide) et evite l’avertissement « Non securise » du navigateur.

HTTPS affecte-t-il le SEO ?

Oui. Google a confirme HTTPS comme signal de classement en 2014. C’est un signal leger, mais combine avec l’avertissement « Non securise » (qui augmente les taux de rebond), les sites HTTP subissent un desavantage SEO mesurable.

Quelle est la difference entre SSL et TLS ?

SSL (Secure Sockets Layer) etait le protocole de chiffrement original, cree par Netscape dans les annees 1990. TLS (Transport Layer Security) l’a remplace. Toutes les versions de SSL sont obsoletes et non securisees. Quand on dit « certificat SSL » aujourd’hui, on designe un certificat utilise avec TLS. Les termes sont utilises de maniere interchangeable en pratique.

Combien coute HTTPS ?

Zero — si vous utilisez Let’s Encrypt. GetHTTPS emet des certificats Let’s Encrypt gratuitement, directement dans votre navigateur. Les certificats payants (50-500 $/an) existent mais offrent la meme force de chiffrement — la difference reside dans le niveau de validation d’identite, pas dans la securite.

HTTPS protege-t-il contre toutes les attaques ?

Non. HTTPS protege les donnees en transit — il empeche l’ecoute, la falsification et l’usurpation de serveur. Il ne protege PAS contre : les logiciels malveillants sur l’appareil de l’utilisateur, les vulnerabilites dans votre code applicatif (XSS, injection SQL), le phishing (le cadenas ne signifie pas que le site est honnete), ou les violations cote serveur.

Articles connexes

SSL et certificats 2026-05-08
SSL vs TLS : quelle est la différence ?
SSL est obsolète. TLS est ce qui sécurise réellement le web. Découvrez l'histoire complète de SSL 2.0 à TLS 1.3, les différences techniques, pourquoi on dit encore 'SSL', et ce que vous devez faire (probablement rien).
SSL et certificats 2026-05-07
Comment fonctionne SSL/TLS : Le handshake TLS expliqué
Un guide visuel du handshake TLS — comment votre navigateur et un serveur établissent une connexion chiffrée en quelques millisecondes. Couvre TLS 1.2, TLS 1.3, la reprise de session et le Forward Secrecy.
Premiers pas 2026-05-08
Comment obtenir un certificat SSL gratuit (guide étape par étape)
Obtenez un certificat SSL gratuit de Let's Encrypt en 5 minutes — aucun logiciel à installer, aucun compte à créer. Guide complet couvrant 4 méthodes, les deux types de challenge, l'installation sur 6 plateformes et le dépannage.
Comparer 2026-05-08
Les meilleurs fournisseurs de certificats SSL gratuits en 2026 (comparaison)
Comparez 9 fournisseurs de certificats SSL gratuits sur la confidentialite, les limites, le support wildcard et l'automatisation. Inclut des CA autonomes, des hebergeurs et des CDN -- avec une analyse de confidentialite qu'aucune autre comparaison ne couvre.
Obtenez un certificat SSL gratuit dans votre navigateur
Aucune installation, aucun compte. Votre clé privée ne quitte jamais votre appareil.
Obtenir un certificat