Remarque : même si nos guides les plus populaires ont été traduits en français, certains guides sont uniquement disponibles en anglais.
Squarespace et SSL

Squarespace offre des certificats SSL gratuits pour tous les Domaines Squarespace et les domaines externes connectés et dirigeant vers un site Squarespace. Grâce au protocole SSL activé automatiquement, vos visiteurs profiteront d'une connexion sécurisée et stable sur chaque page de votre site. C'est l'icône du cadenas verrouillé située à côté de votre URL dans le navigateur qui leur montre que leurs données sont sécurisées.

Utilisez la section Sécurité et SSL afin de personnaliser vos paramètres et suivez ce guide pour apprendre comment garantir une connexion sécurisée sur l'ensemble de votre site. 

Astuce : si vous utilisez un fournisseur de sécurité SSL externe, tel que CloudFlare, vous pouvez choisir le certificat Squarespace à la place. Consultez la FAQ ci-dessous pour en savoir plus. 
Remarque : pour l'instant, nous n'offrons pas la possibilité d'installer des certificats SSL personnalisés.

Qu'est-ce que le SSL ?

Le protocole SSL, ou Secure Sockets Layer, est une technologie sécurisant la connexion entre votre navigateur et le site Web sur lequel vous naviguez. Pour vérifier qu'une page est protégée par protocole SSL, regardez si l'URL commence par https:// au lieu de http://, et si une icône de cadenas vert verrouillé apparaît à côté. Cela garantit aux visiteurs qu'ils sont en train de naviguer et de soumettre des informations via une connexion sécurisée.

Le protocole SSL offre trois avantages de sécurité importants :

  • La confidentialité : il chiffre la connexion entre le navigateur et le serveur Web, et transmet de façon sécurisée les informations (telles que les identifiants de connexion) afin d'empêcher des parties non autorisées à espionner.
  • L'intégrité des données : il empêche les parties non autorisées de modifier les données pendant la transmission (par exemple lors de l'envoi de données via un Bloc Formulaire).
  • L’authentification : il protège contre l'usurpation d'identité en demandant des preuves d'identité au serveur Web.

Activer le SSL peut accélérer le chargement de votre site car Squarespace utilise le protocole HTTP/2 pour les sites possédant la protection SSL. Cela peut également aider les visiteurs à trouver votre site : en 2014, Google a annoncé que les sites Web protégés par protocole SSL pourraient être favorisés dans leur référencement.

Squarespace et l'utilisation du protocole SSL

Si vous disposez de noms de domaine personnalisés associés à votre site Squarespace et dirigés vers ce dernier, nous générons automatiquement un certificat SSL pour votre site. Cela permet à vos visiteurs de consulter votre site via une connexion HTTPS. Cette option est automatiquement incluse pour les domaines Squarespace et externes. Nous utilisons un encodage SSL 2 048 bits sur toutes les pages à l'exception des pages de paiement et nous prenons en charge tous les protocoles de sécurité jusqu'à TLS 1.2.

Si vous utilisez un domaine externe, vérifiez qu'il est correctement connecté et qu'il dirige bien vers votre site afin de pouvoir mettre en place une connexion SSL sécurisée. Assurez-vous plus particulièrement que vous utilisez nos réglages CNAME et réglages A obligatoires et que le domaine dirige bien vers Squarespace.

Astuce : il se peut que vos réglages DNS soient périmés. Si vos réglages ne correspondent pas aux réglages CNAME et A mentionnés ci-dessus, déconnectez le domaine, puis reconnectez-le.

Lorsque votre site est chargé avec une protection SSL, vous pouvez voir une icône de cadenas verrouillé ainsi que les lettres https:// situés à côté de l'URL dans la barre de navigateur :

Votre site comprend deux paramètres de sécurité liés au SSL, que vous pouvez choisir en fonction de vos besoins.

  • Secure (Preferred) [Sécurisé (Préféré)] - Tous les visiteurs sont redirigés vers l'adresse HTTPS même s'ils ont saisi la version HTTP dans leur navigateur. Les sitemaps contiennent des liens HTTPS et les moteurs de recherche référencent la version HTTPS. Les navigateurs non pris en charge ne pourront pas afficher votre site.
  • Insecure (Non sécurisé) - Les visiteurs peuvent accéder à votre site via une connexion standard (HTTP) ou une connexion SSL sécurisée (HTTPS). Les sitemaps contiennent des liens HTTP et les moteurs de recherche référencent la version HTTP. 
Remarque : Les flux RSS utilisent toujours des liens HTTP et non pas des liens HTTPS, même lorsque l'option Secure (Sécurisé) est activée. Grâce à cela, votre flux reste visible aux yeux de vos lecteurs et d'autres services.

Choisissez un paramètre dans la section Sécurité et SSL :

  1. Dans le Menu Principal, cliquez sur Settings (Paramètres).
  2. Dans Website (Site Web), cliquez sur Security & SSL (Sécurité et SSL).
  3. Dans Security Preference (Préférences de sécurité), choisissez votre paramètre.
Remarque : si vous utilisez une page parking, cliquez sur Security & SSL (Sécurité et SSL) dans le menu de la page parking, puis choisissez un paramètre.

Une fois votre préférence de sécurité choisie, la mise à jour sur votre site peut prendre jusqu'à 72 heures. 

updated_ssl.jpg

Utiliser la norme de sécurité HSTS

Lorsque vous utilisez le paramètre de sécurité Secure SSL, vous pouvez activer en plus HSTS Secure (Norme de sécurité HSTS) pour ajouter une couche supplémentaire de protection. En activant le paramètre HSTS Secure, vous vous garantissez une connexion encodée et empêchez de potentiels pirates informatiques d'accéder à votre site et de l'altérer. Imaginez qu'une visite sur un site se présente comme une lettre envoyée par le navigateur du visiteur à votre site. La norme HSTS est là pour certifier cette lettre et garantir que seul le destinataire concerné peut l'ouvrir.

Lorsqu'un visiteur se rend pour la première fois sur un site ayant activé la norme HSTS, son navigateur garde en mémoire la version sécurisée de l'URL pour les prochaines visites. La prochaine fois qu'il se rendra sur votre site, le navigateur chargera cette version HTPPS sécurisée. Tant qu'il continuera d'accéder à votre site avec le même navigateur, il naviguera toujours sur la version HTTPS sécurisée de votre site, même s'il change de réseau. Vos visiteurs ne verront pas la différence sur votre site, à part que l'URL dans le navigateur commencera toujours par https://.

Si vous utilisez le paramètre Secure (Sécurisé) pour votre site, nous vous conseillons de conserver aussi activée la norme HSTS Secure. Cependant, vous pouvez aussi passer à l'option Insecure (Non sécurisé) si vos visiteurs ont besoin d'accéder à la version HTTP ou si votre site utilise beaucoup de contenu mélangé.

Remarque : si vous devez passer au paramètre Insecure (Non sécurisé), vérifiez que le certificat SSL du domaine est valide. Les certificats contenant des erreurs peuvent également provoquer des erreurs pour vos visiteurs.

Navigateurs plus anciens

Certains anciens navigateurs ne prennent pas en charge les standards de sécurité élevés exigés par nos certificats SSL. 

Voici une liste des navigateurs non pris en charge :

  • Toutes les versions d'Internet Explorer sur Windows XP
  • Les versions d'Internet Explorer précédant la version 7
  • Les versions de Firefox précédant la version 2.0
  • Les versions de Safari précédant la version 2.1
  • Toute version de Google Chrome précédant la version 6

Voici une liste des navigateurs mobiles non pris en charge :

  • Toutes les versions de Safari fonctionnant sur une version iOS antérieure à la version 4.0
  • Tout navigateur Android fonctionnant sur une version antérieure à la version 3.0 (Honeycomb)
  • Tout navigateur de Windows Phone fonctionnant sur une version antérieure à la version 7

Les visiteurs consultant votre site sur ces navigateurs risquent de rencontrer des difficultés pour charger la version HTTPS sécurisée de votre site. Dans certains cas, il se peut qu'ils n'y parviennent pas du tout.

Pour éviter ce problème, nous vous conseillons d'utiliser un navigateur pris en charge pour consulter ou modifier tout site Squarespace.

Contenu mélangé

Certaines pages de votre site peuvent contenir du contenu mélangé :bien que la page se charge via une connexion HTTPS sécurisée, elle peut contenir du contenu intégré ou des personnalisations externes qui se chargent via une connexion HTTP non sécurisée. Avoir du contenu mélangé sur votre site Web diminue le niveau de sécurité HTTPS. 

Si vous choisissez le paramètre SSL Secure (Sécurisé) pour votre site, votre navigateur risque d'afficher un avertissement lors du chargement de contenu mélangé. Pour éviter cela, vous pouvez utiliser le paramètre Insecure (Non sécurisé) ou faire des tests avec d'autres blocs qui prennent en charge votre contenu en toute sécurité.

SSL et Commerce

Si vous vendez des produits avec Squarespace Commerce, votre page de paiement est protégée par SSL, assurant la sécurité des données de carte de crédit de vos clients. Nous garantissons un niveau 1 conforme PCI et utilisons un encodage SSL 128 bits sur les pages de paiement.

Au moment de payer sur votre boutique en ligne, vos clients verront une icône de cadenas s'afficher dans leur navigateur. Si votre site repose sur le plan Commerce Basique ou Premium, et que le paramètre SSL Secure (Sécurisé) est activé, ils verront aussi votre nom de domaine personnalisé dans l'URL de paiement. Pour en savoir plus, rendez-vous sur Paiement sur votre domaine.

Remarque : si votre site utilise le paramètre Insecure (Non sécurisé), votre URL commencera par https://secure.squarespace.com, même si le site est géré avec le plan Commerce Basique ou Premium. La page de paiement restera sécurisée pour vos clients, mais elle ne prendra pas en charge votre nom de domaine personnalisé.

Erreurs dues au statut du certificat

Si vous avez des difficultés à configurer un certificat pour votre domaine, vous verrez un message d'erreur dans votre Section Sécurité et SSL.

Bleu : en progression

Si le message est accompagné d'un ! bleu, cela signifie que nous sommes toujours en train de traiter le certificat SSL. Il faut parfois jusqu'à 72 heures  aux nouveaux domaines pour se connecter complètement et générer le certificat, donc, la plupart du temps, il faut patienter un peu plus.

Généralement, cela se produit si vous avez récemment :

  • enregistré un Domaine Squarespace ;
  • transféré un domaine sur Squarespace ;
  • connecté un domaine tiers.

Vous pouvez tenter d'actualiser le certificat pour voir si cela aide. En ouvrant ses Paramètres DNS, vous actualisez automatiquement le statut :

  • Si vous utilisez un Domaine Squarespace, cliquez sur le domaine dans la Section Domaines, puis sur Advanced Settings (Paramètres avancés).
  • Si vous utilisez un domaine externe, cliquez sur le domaine dans la section Domaines, puis cliquez sur Paramètres DNS

Si le statut ne change pas après l'actualisation, c'est qu'il va falloir encore plus de temps pour générer le certificat. 

 

ssl_pending_status.jpg

Rouge : il y a un problème à résoudre

Si le message d'erreur contient un ! rouge, cela signifie que nous n'avons pas pu générer le certificat SSL pour le nom de domaine répertorié. Cela peut arriver lorsque le domaine ne dirige pas correctement vers votre site.

ssl_certificate_error.jpg

 

FAQ

Quel paramètre dois-je utiliser ?

Le meilleur paramètre pour votre site dépend du contenu de votre site et du type de visiteur que vous attendez. La plupart des utilisateurs profiteront davantage du paramètre Secure (Sécurisé) associé à la norme HSTS activée, qui offre une connexion sécurisée à tous les navigateurs pris en charge.

Ai-je besoin d'un domaine Squarespace pour pouvoir utiliser le protocole SSL ?

Non. Le protocole SSL est disponible pour tous les domaines Squarespace et les domaines externes connectés à votre site. Si vous possédez un domaine externe, assurez-vous que le domaine est correctement connecté à votre site en confirmant vos réglages CNAME et vos réglages A.

Puis-je utiliser un certificat personnalisé ?

Il est actuellement impossible d'installer un certificat SSL personnalisé sur un site Squarespace.

Le protocole SSL fonctionne-t-il pour les sous-domaines ?

Oui. Squarespace génère un certificat pour chaque Nom de Domaine et de Sous-domaine Personnalisé connecté à votre site Web, qu'il s'agisse d'un Domaine Squarespace ou d'un domaine hébergé par un tiers. C'est également le cas pour la version « www » de votre domaine, si vous l'utilisez séparément de votre Domaine de Niveau Supérieur. 

Si vous utilisez votre sous-domaine comme Domaine Principal de votre site, n'oubliez pas de décocher Utiliser préfixe WWW pour éviter les erreurs de certificat. 

Si vous possédez un domaine externe, vérifiez qu'il est connecté à la section Domaines de votre site et qu'il n'est pas renvoyé depuis un autre emplacement.

Le protocole SSL fonctionnera-t-il sur les navigateurs mobiles ?

Oui. Votre site sera protégé par SSL tant que vos visiteurs utilisent un navigateur pris en charge.

Le protocole SSL risque-t-il de ralentir mon site ?

Les sites utilisant le protocole HTTPS peuvent mettre un tout petit peu plus de temps à se charger car la connexion sécurisée doit authentifier le certificat et valider le site. Dans la plupart des cas, la différence n'est que de quelques secondes.

Si le temps de chargement est beaucoup plus long, suivez nos étapes de dépannage afin d'éliminer d'autres problèmes potentiels tels que des pages au contenu trop lourd ou des intégrations de code personnalisé. 

Je vois une erreur de certificat pour mon domaine tiers, mais mes paramètres DNS sont corrects. 

Si vous voyez une erreur pour votre domaine tiers mais que vous avez déjà vérifié vos réglages, il est possible que nous ne puissions pas délivrer de certificat en raison d'un problème avec votre fournisseur de domaine. Pour résoudre ce problème, nous vous recommandons l'une des options suivantes :

Je vois un avertissement du navigateur lorsque je me rends sur mon domaine. 

Il se peut que vous ayez un avertissement de confidentialité en vous rendant sur votre nom de domaine après avoir activé le paramètre Secure (Sécurisé) dans la section Sécurité et SSL. Le message peut varier selon votre navigateur : cela peut être « Votre connexion n'est pas privée », « Votre connexion n'est pas sécurisée » ou quelque chose de semblable. Cela se produit lorsque votre navigateur détecte du contenu non sécurisé sur la page.

Pour résoudre ce problème, vous pouvez suivre nos étapes de résolution de problèmes afin de vérifier la présence de contenu mélangé ou d'une erreur de certificat sur votre site. Si le problème persiste, recherchez des problèmes potentiels liés à votre navigateur

J'utilise un fournisseur SSL externe pour mon site. Dois-je le désactiver ?

Si vous utilisez un fournisseur externe pour le SSL, comme CloudFlare par exemple, vous pouvez le désactiver et utiliser la protection automatique de Squarespace pour les noms de domaine personnalisés. Cependant, sachez que Squarespace ne peut pas générer de certificat pour votre domaine tant que vous n'avez pas redirigé votre domaine vers nos serveurs. Le trafic existant de votre site HTTPS sera inaccessible pendant que vos modifications DNS se propagent et que Squarespace génère le certificat. Pendant ce temps, il se peut que vous voyiez une erreur de certificat dans votre section Sécurité et SSL. 

Mon nom de domaine personnalisé apparaîtra-t-il pendant les paiements sur Squarespace Commerce ?

Oui. Si votre site est géré avec le plan Commerce Basique ou Premium et que le paramètre SSL Secure (Sécurisé) est activé, vos clients verront votre nom de domaine personnalisé pendant le paiement. Si vous utilisez le paramètre Insecure (Non sécurisé), ils verront à la place une URL commençant par https://secure.squarespace.com .

Les sites ayant activé le protocole SSL prennent-ils en charge l'extension HPKP ?

Non, Squarespace ne prend pas en charge la fonctionnalité de sécurité HTTP Public Key Pinning (HPKP).

Dois-je créer un CSR afin d'utiliser le protocole SSL avec Squarespace ?

Vous n'avez pas besoin de créer une demande de certificat (Certificate Signing Request ou CSR) car Squarespace génère automatiquement un certificat SSL pour tout domaine correctement connecté à votre site.

Puis-je activer la protection SSL sur mon site Squarespace 5 ?

Non. Squarespace ne peut activer la protection SSL que pour les noms de domaine personnalisés des sites Squarespace 7.

Puis-je désactiver la protection SSL ?

Il est impossible de retirer les certificats SSL pour vos noms de domaine personnalisés car ils garantissent la sécurité de votre site et une expérience de qualité pour vos visiteurs. Vous pouvez néanmoins choisir l'option Insecure (Non sécurisé) pour votre site, qui autorise le trafic entrant via des connexions standard HTTP.

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 87 sur 163