À propos des certificats SSL

Informations importantes sur le protocole SSL et étapes à suivre pour modifier les paramètres SSL afin de répondre à vos besoins en matière de sécurité.

Tout domaine correctement connecté à votre site Squarespace est automatiquement protégé par un certificat SSL gratuit pour renforcer sa sécurité. Le SSL sécurise les connexions et empêche les hackers d'emprunter votre identité ou de voler les informations des visiteurs.

Ce guide vous propose de découvrir comment sélectionner les paramètres SSL selon vos besoins. Vous y trouverez aussi d’autres informations importantes concernant votre certificat SSL. Si vous recevez un avertissement concernant la sécurité de votre site, suivez ces étapes de dépannage.

Regarder une vidéo

Conditions requises

Les certificats SSL sont automatiquement inclus pour :

• Les domaines Squarespace (enregistrés dans Squarespace ou transférés vers Squarespace)
• Les domaines tiers connectés
• Les sous-domaines
• Noms de domaine prédéfinis

En cas de problème lié à votre connexion de domaine, les certificats SSL ne fonctionneront pas. Pour vérifier si votre domaine peut disposer d'un certificat SSL :

• Si vous utilisez un domaine tiers, ce dernier doit être correctement connecté. Pour vérifier si un problème empêche le SSL de fonctionner sur votre domaine, consultez vos enregistrements DNS dans Squarespace.
• Si vous utilisez un domaine Squarespace, il doit pointer vers un site Squarespace. Si votre domaine ou sous-domaine ne pointe pas vers Squarespace, contactez l'hébergeur de votre site web pour obtenir un certificat SSL à la place.

Les noms de domaine doivent comporter 63 caractères au maximum pour recevoir un certificat SSL.

Sélectionner les paramètres SSL

Le protocole SSL est activé automatiquement. Aucune action n’est requise de votre part pour le configurer. Si vos besoins en matière de sécurité sont plus complexes, il vous faudra probablement modifier d’autres paramètres.

Pour sélectionner un paramètre SSL :

1. Ouvrez le panneau Outils de développement. (Pour les pages de domaine garé, cliquez sur SSL dans le menu principal.)
2. Cliquez sur SSL.
3. Dans Préférences de sécurité, sélectionnez vos paramètres. En règle générale, il est conseillé de choisir Sécurisé et Sécurité HSTS. L’option Non sécurisé peut s’avérer nécessaire dans certaines situations. Pour en savoir plus, consultez la section Comprendre les paramètres SSL.
4. Cliquez sur Enregistrer.
5. La mise à jour peut prendre jusqu’à 72 heures. Pour les domaines tiers qui ne sont pas encore connectés, le délai peut être un peu plus long.
6. Pendant le traitement du certificat, un message d’erreur peut apparaître dans les paramètres de votre domaine. C’est tout à fait normal. Si vous voyez toujours le message d’erreur au bout de 72 heures, suivez ces étapes de dépannage.

Comprendre les paramètres SSL

Sécurisé (recommandé)

Avec l’activation du HSTS, Sécurisé (préféré) est par défaut le paramètre qui convient à la plupart des sites. Certains fournisseurs de domaines et d’extensions l’exigent.

« Sécurisé » signifie que :

• Une fois le certificat émis, les visiteurs seront systématiquement redirigés vers HTTPS, même s’ils ont entré HTTP dans leur navigateur.
• Le plan du site comporte des liens HTTPS.
• Pour favoriser le SEO, les moteurs de recherche indexent la version HTTPS.
• Votre site ne se chargera pas dans les navigateurs qui ne prennent pas en charge le SSL.

Sécurité HSTS

Si vous utilisez le paramètre Sécurisé, nous vous conseillons de garder le protocole HSTS activé. Le protocole HSTS garantit une connexion chiffrée et empêche toute personne malveillante d’accéder à votre site ou d’en faire une fausse copie. Nous vous recommandons de sécuriser votre site avec le protocole HSTS Secure activé sur votre site, car cela garantit que  votre site se charge en toute sécurité. Le fait de disposer d’un site sécurisé HSTS empêche également le chargement de messages d’erreur tels que « Votre connexion n’est pas privée ».

Non sécurisé

Tout domaine enregistré ou connecté avant octobre 2016 est configuré sur Non sécurisé. Si vous décidez de ne pas sécuriser votre site, assurez-vous que le certificat SSL du domaine est valide. « Non sécurisé » signifie que :

• Les visiteurs peuvent accéder à votre site via une connexion HTTP ou HTTPS.
• Le plan du site comporte des liens HTTP.
• Les moteurs de recherche indexent la version HTTP.

La désactivation du HSTS ou la sélection du paramètre Non sécurisé peuvent temporairement empêcher l’accès à votre site. Les personnes ayant visité le site lorsque le HSTS était activé seront bloquées jusqu’à l’expiration de la politique HSTS de ce site web, soit un délai pouvant aller jusqu’à 72 heures.

SSL et paiement Commerce

Votre page de paiement est protégée par SSL afin de sécuriser les données des cartes de paiement. Les pages de paiement garantissent également le niveau 1 de conformité aux normes PCI et utilisent un encodage SSL 128 bits. La page de paiement est toujours sécurisée, même si votre site utilise le paramètre SSL non sécurisé.

Si votre site dispose du forfait Commerce Basique ou Avancé et que le paramètre Sécurisé est sélectionné, les visiteurs verront votre domaine personnalisé dans l’URL de la page de paiement.

Avertissements liés au code personnalisé et au SSL (contenu mixte)

Certaines pages de votre site peuvent comporter du contenu mixte. En d’autres termes, ces dernières se chargent via une connexion HTTPS sécurisée, mais une partie de leur contenu est chargé via une connexion HTTP non sécurisée. Le contenu non sécurisé peut provenir de contenu mixte tel que :

• Intégrations
• Personnalisations basées sur du code
• Code personnalisé

Si vous choisissez le paramètre Sécurisé, les visiteurs peuvent voir des avertissements du navigateur lorsqu’ils chargent du contenu mixte provenant de votre site. Pour éviter cela, modifiez votre contenu mixte afin de corriger les messages d’erreur et les problèmes de chargement.

Remarque : les modifications de code personnalisé et de contenu mixte ne sont pas prises en charge par notre service d’assistance. Nous ne sommes pas en mesure de vous aider ni pour leur configuration ni pour leur dépannage. En outre, si vous utilisez une solution basée sur du code, nous ne pouvons garantir sa fonctionnalité ni son entière compatibilité avec Squarespace, c’est-à-dire son fonctionnement avec notre design réactif et plus particulièrement son affichage sur les appareils mobiles, ainsi que son fonctionnement sur l’ensemble des templates. Le code personnalisé peut également causer des problèmes d’affichage lors des futures mises à jour de notre plateforme. À défaut de pouvoir vous assister pour ces éventuels problèmes, nous vous recommandons les ressources suivantes :

• Découvrez les bonnes pratiques pour ajouter un code personnalisé.
• Consultez notre guide général sur les personnalisations tierces.
• Rendez-vous sur le forum Squarespace, notre communauté qui regroupe clients et développeurs.
• Trouvez un Squarespace Expert qui vous aidera à créer du code personnalisé pour votre site.

Vérifier le certificat SSL d'un site

Pour vérifier si une page est protégée par le protocole SSL, regardez si l’URL commence par https:// et si une icône en forme de cadenas verrouillé apparaît à côté.

Vous pouvez afficher les détails SSL d’un domaine dans la plupart des navigateurs. Il s’agit d’informations comme l’autorité de certification émettrice et la durée de validité du certificat. Pour savoir comment vérifier si la connexion d’un site est sécurisée, consultez la documentation de votre navigateur :

• Google Chrome
• Firefox

Détails techniques

Voici quelques détails techniques à propos de nos certificats SSL :

• Let’s Encrypt est notre autorité de certification partenaire chargée de fournir les certificats SSL.
• Encodage SSL 2 048 bits sur toutes les pages à l’exception des pages de paiement.
• TLS version 1.2 pour toutes les connexions HTTPS.
• L’épinglage de clé publique HTTP (HPKP) n’est actuellement pas pris en charge.
• Aucune demande de signature de certificat (Certificate Signing Request ou CSR) n’est nécessaire pour obtenir un certificat SSL, puisque nous émettons les certificats automatiquement.

Fournisseur de SSL tiers

L’installation des certificats SSL tiers n’est pas prise en charge. Si vous utilisez un autre fournisseur de sécurité SSL, comme CloudFlare, vous pouvez opter pour le certificat Squarespace.

Pour utiliser le protocole SSL de Squarespace, déconnectez votre domaine de votre fournisseur SSL et connectez-le à partir de votre fournisseur de domaine ou transférez-le vers Squarespace. Une fois que le domaine est entièrement connecté et qu’il utilise les enregistrements DNS Squarespace, nous générerons un certificat.

Le trafic HTTPS existant de votre site sera inaccessible pendant que vos modifications DNS sont traitées et que nous générons le certificat. Pendant ce temps, une erreur de certificat peut s’afficher dans votre panneau SSL.

FAQ

Qu'est-ce que le SSL ?

Le protocole SSL (Secure Sockets Layer) est une technologie qui sécurise la connexion entre votre navigateur et le site web sur lequel vous naviguez. Que ce soit sur ordinateur ou sur un appareil mobile, tous les navigateurs actuels prennent en charge le protocole SSL. L’URL des sites web protégés par le protocole SSL commence par https://.

Quels sont les avantages du SSL ?

La protection SSL présente de nombreux avantages, notamment :

• Elle suscite la confiance des visiteurs en garantissant que leurs informations sont sécurisées et chiffrées sur votre site.
• Elle empêche les hackers de voler les informations (y compris les données personnelles) que les visiteurs fournissent par le biais des formulaires et de la page de paiement de votre site.
• Elle peut faciliter le chargement de votre site.
• Elle facilite le SEO.

Puis-je désactiver la protection SSL ?

Il est impossible de retirer les certificats SSL, car ils maintiennent la sécurité de votre site et garantissent une expérience de qualité pour vos visiteurs. Vous pouvez néanmoins sélectionner le paramètre Non sécurisé pour permettre aux visiteurs d’utiliser la version HTTP même lorsque le SSL est activé.

Le protocole SSL ralentit-il mon site ?

Il faut parfois compter quelques secondes supplémentaires pour authentifier un certificat et valider un site à l’aide du paramètre « Sécurisé ». Si le délai de chargement est nettement plus long, suivez nos étapes de dépannage pour éliminer tout autre facteur susceptible de ralentir votre site.

Le protocole SSL fonctionne-t-il pour les sous-domaines ?

Oui. Squarespace génère un certificat pour chaque domaine personnalisé et chaque sous-domaine connecté à votre site web. C’est également le cas pour la version « www » de votre domaine, si vous l’utilisez séparément de votre domaine de niveau supérieur.

Si vous utilisez votre sous-domaine comme domaine principal de votre site, décochez Utiliser le préfixe WWW pour éviter les erreurs de certificat.

Si vous disposez d’un domaine tiers, vérifiez qu’il est connecté dans le panneau Noms de domaine de votre site et qu’il n’est pas transféré ou qu’il ne dirige pas vers un autre emplacement.

Dois-je définir mon SSL sur « Sécurisé » pour que les informations de mon compte restent confidentielles ?

Non. Quel que soit le paramètre SSL, votre mot de passe de connexion au site est toujours chiffré et vous êtes automatiquement redirigé(e) vers une session sécurisée afin de modifier les informations sensibles du compte.

Le protocole SSL est-il inclus dans Squarespace 5 ?

Le SSL est inclus dans Squarespace 5. Pour en savoir plus, consultez l’article Squarespace 5 et le SSL.

Dépannage

Pour plus d’informations sur les erreurs de certificat et d’autres avertissements liés au SSL que vous pourriez rencontrer sur votre site, consultez l’article Résoudre les problèmes liés au protocole SSL.