Remarque : même si nos guides les plus populaires ont été traduits en français, certains guides sont uniquement disponibles en anglais.
Démarrer avec le SSL

Tous les domaines connectés à Squarespace sont protégés par un certificat SSL gratuit. Avec le protocole SSL activé, les visiteurs bénéficient d’une connexion sécurisée et stable sur chaque page. Le SSL empêche les hackers de créer une fausse copie de votre site ou de voler les informations fournies par vos clients (comme leur adresse e-mail ou leur numéro de carte bancaire).

Les certificats SSL sont automatiquement inclus pour :

  • Les domaines Squarespace (enregistrés dans Squarespace ou transférés vers Squarespace)
  • Les domaines tiers connectés
  • Les sous-domaines
  • Domaines intégrés

Ce guide explique comment activer le SSL et personnaliser vos paramètres.

Regarder une vidéo

Qu'est-ce que le SSL ?

Le protocole SSL, ou Secure Sockets Layer, est une technologie qui sécurise la connexion entre votre navigateur et le site web que vous visitez. Tous les navigateurs de bureau et les navigateurs mobiles actuels prennent en charge le SSL. Pour vérifier si une page est protégée par le protocole SSL, regardez si l’URL commence par https:// et si une icône en forme de cadenas verrouillé apparaît à côté.

La protection SSL présente de nombreux avantages, notamment :

  • Elle suscite la confiance des visiteurs en garantissant que leurs informations sont sécurisées et chiffrées sur votre site.
  • Elle empêche les hackers de voler les informations (y compris les données personnelles) que les visiteurs fournissent par le biais des formulaires et de la page de paiement de votre site.
  • Elle peut faciliter le chargement de votre site.
  • Elle facilite le SEO.

Avant de commencer

  • Il est impossible d’installer des certificats SSL personnalisés. Pour en savoir plus, consultez l’article Fournisseurs de SSL tiers.
  • Si vous utilisez un domaine tiers, ce dernier doit être correctement connecté et diriger vers votre site pour que le SSL fonctionne. Pour vérifier si un problème empêche le SSL de fonctionner dans votre domaine tiers, consultez vos enregistrements DNS dans Squarespace. Si vous constatez la présence d’une étiquette Obsolète dans la colonne Enregistrements actuels, mettez à jour les enregistrements CNAME et les enregistrements A en respectant nos exigences actuelles.
  • La demande de signature de certificat (Certificate Signing Request ou CSR) n’est pas nécessaire pour obtenir un certificat SSL, puisque nous émettons les certificats automatiquement.
  • Pour que votre flux reste visible pour les lecteurs de flux et pour d’autres services, le flux RSS utilise toujours le protocole HTTP et non HTTPS, même lorsque le paramètre Sécurisé est activé.
  • Quel que soit le paramètre SSL, votre mot de passe de connexion au site est toujours chiffré et vous êtes automatiquement redirigé(e) vers une session sécurisée afin de modifier les informations sensibles du compte.
  • Le SSL est également inclus dans Squarespace 5. Pour en savoir plus, consultez l’article Squarespace 5 et le SSL.

Sélectionner les paramètres SSL

Le protocole SSL étant activé automatiquement, aucune action n’est requise de votre part pour le configurer. Cependant, il vous faudra peut-être le personnaliser selon vos besoins.

Pour sélectionner un paramètre SSL :

  1. Dans le Menu principal, cliquez sur Paramètres, puis sur Avancé. (Pour les pages de domaine garé, cliquez sur SSL dans le menu principal.)
  2. Cliquez sur SSL.
  3. Dans Préférences de sécurité, sélectionnez vos paramètres. Dans la plupart des cas, il est conseillé de choisir Sécurisé et Sécurité HSTS. L’option Non sécurisé peut toutefois s’avérer nécessaire dans certaines situations. Pour en savoir plus, consultez la section Comprendre les paramètres SSL ci-dessous.
  4. Cliquez sur Enregistrer.
  5. La mise à jour peut prendre jusqu’à 72 heures. Pour les domaines tiers qui ne sont pas encore connectés, le délai peut être un peu plus long.
  6. Pendant le traitement du certificat, un message d’erreur avec un ! rouge peut apparaître dans les paramètres de votre domaine. C’est tout à fait normal. Si vous voyez toujours le message d’erreur au bout de 72 heures et après avoir actualisé la page, suivez nos étapes de dépannage.

Comprendre les paramètres SSL

Sécurisé (recommandé)

Sécurisé (préféré) est le paramètre sélectionné par défaut pour les domaines connectés ou enregistrés avec Squarespace depuis octobre 2016. Avec l’activation du HSTS, c’est le paramètre qui convient à la plupart des sites. Certains fournisseurs de domaines et d’extensions l’exigent.

« Sécurisé » signifie que :

  • Les visiteurs sont systématiquement redirigés vers HTTPS, même s’ils ont entré « HTTP » dans leur navigateur.
  • Le plan du site comporte des liens HTTPS.
  • Pour favoriser le SEO, les moteurs de recherche indexent la version HTTPS.
  • Votre site ne se chargera pas dans les navigateurs qui ne prennent pas en charge le SSL.

Non sécurisé

Si votre site comporte une quantité importante de code personnalisé ou d’intégrations tierces incorporées, vous pouvez cocher l’option Non sécurisé pour permettre aux visiteurs de charger votre site via HTTP. Tout domaine enregistré ou connecté avant octobre 2016 est configuré sur Non sécurisé.

Si vous cochez l’option Non sécurisé, vérifiez si le certificat SSL du domaine est valide.

« Non sécurisé » signifie que :

  • Les visiteurs peuvent accéder à votre site via une connexion HTTP ou HTTPS.
  • Le plan du site comporte des liens HTTP.
  • Les moteurs de recherche indexent la version HTTP.

Sécurité HSTS

Si vous utilisez le paramètre Sécurisé, nous vous conseillons de garder le protocole HSTS activé. Le protocole HSTS garantit une connexion chiffrée et empêche toute personne malveillante d’accéder à votre site ou d’en faire une fausse copie.

Lorsque quelqu’un visite votre site avec le HSTS activé, son navigateur charge automatiquement la version HTTPS sécurisée de l’URL à chaque visite. Tant qu’il accède à votre site sur le même navigateur, le visiteur naviguera toujours sur la version HTTPS sécurisée de votre site, même s’il change de réseau. Si le protocole HSTS n’est pas activé, les visiteurs pourront accéder à la version sécurisée de votre site, mais leur navigateur demandera le certificat SSL à chaque visite plutôt que de le mémoriser.

Remarque : la désactivation du HSTS ou la sélection du paramètre Non sécurisé peuvent temporairement empêcher l’accès à votre site. Les personnes ayant visité le site lorsque le HSTS était activé seront bloquées jusqu’à l’expiration de la politique HSTS de ce site web, soit un délai pouvant aller jusqu’à 72 heures.

SSL et Commerce

Votre page de paiement est protégée par SSL afin de sécuriser les données des cartes de paiement. Les pages de paiement garantissent également le niveau 1 de conformité aux normes PCI et utilisent un encodage SSL 128 bits. La page de paiement est toujours sécurisée, même si votre site utilise le paramètre SSL non sécurisé.

Si votre site dispose du forfait Commerce Basique ou Avancé et que le paramètre Sécurisé est activé, les visiteurs verront votre domaine personnalisé dans l’URL de la page de paiement.

Avertissements liés au code personnalisé et au SSL (contenu mixte)

Some pages on your site may have mixed content, meaning the page loads over a secure HTTPS connection, but some content loads over an insecure HTTP connection. Insecure content can come from:

Si vous sélectionnez le paramètre Sécurisé, les visiteurs peuvent voir les avertissements du navigateur lorsqu’ils chargent des contenus mixtes provenant de votre site. Pour modifier cette option, sélectionnez le paramètre SSL Non sécurisé. Sinon, vous pouvez supprimer le code personnalisé dont vous n’avez pas besoin.

Afficher un certificat SSL

Vous pouvez afficher les détails SSL d’un domaine dans la plupart des navigateurs. Il s’agit d’informations comme l’autorité de certification émettrice et la durée de validité du certificat. Pour savoir comment vérifier si la connexion d’un site est sécurisée, consultez la documentation de votre navigateur :

certificat SSL chrome

Détails techniques

Voici quelques détails techniques à propos de nos certificats SSL :

  • Let’s Encrypt est notre autorité de certification partenaire chargée de fournir les certificats SSL.
  • Encodage SSL 2 048 bits sur toutes les pages à l’exception des pages de paiement.
  • TLS version 1.2 pour toutes les connexions HTTPS.
  • L’épinglage de clé publique HTTP (HPKP) n’est actuellement pas pris en charge.

Fournisseur de SSL tiers

L’installation des certificats SSL tiers n’est pas prise en charge. Si vous utilisez un autre fournisseur de sécurité SSL, comme CloudFlare, vous pouvez opter pour le certificat Squarespace.

Pour utiliser le protocole SSL de Squarespace, déconnectez votre domaine de votre fournisseur SSL et connectez-le à partir de votre fournisseur de domaine ou transférez-le vers Squarespace. Une fois que le domaine est entièrement connecté et qu’il utilise les enregistrements DNS Squarespace, nous générerons un certificat.

Le trafic HTTPS existant de votre site sera inaccessible pendant que vos modifications DNS sont traitées et que nous générons le certificat. Pendant ce temps, une erreur de certificat peut s’afficher dans votre panneau SSL.

FAQ

Puis-je désactiver la protection SSL ?

Il est impossible de retirer les certificats SSL, car ils maintiennent la sécurité de votre site et garantissent une expérience de qualité pour vos visiteurs. Vous pouvez néanmoins sélectionner le paramètre Non sécurisé pour permettre aux visiteurs d’utiliser la version HTTP même lorsque le SSL est activé.

Le protocole SSL risque-t-il de ralentir mon site ?

Il faut parfois compter quelques secondes supplémentaires pour authentifier un certificat et valider un site à l’aide du paramètre « Sécurisé ». Si le délai de chargement est nettement plus long, suivez nos étapes de dépannage pour éliminer tout autre facteur susceptible de ralentir votre site.

Le protocole SSL fonctionne-t-il pour les sous-domaines ?

Oui. Squarespace génère un certificat pour chaque domaine personnalisé et chaque sous-domaine connecté à votre site web. C’est également le cas pour la version « www » de votre domaine, si vous l’utilisez séparément de votre domaine nu.

Si vous utilisez votre sous-domaine comme domaine principal de votre site, décochez Utiliser le préfixe WWW pour éviter les erreurs de certificat.

Si vous disposez d’un domaine tiers, vérifiez qu’il est connecté dans le panneau Domaines de votre site et qu’il n’est pas transféré ou qu’il ne dirige pas vers un autre emplacement.

Dépannage

Pour plus d’informations sur les erreurs de certificat et d’autres avertissements liés au SSL que vous pourriez rencontrer sur votre site, consultez l’article Dépannage du SSL.

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 100 sur 194