Remarque : même si nos guides les plus populaires ont été traduits en espagnol, certains guides sont uniquement disponibles en anglais.
Squarespace et SSL

Tous les domaines Squarespace et les domaines externes incluent des certificats SSL gratuits lorsque vous les connectez et qu’ils dirigent vers des sites Squarespace. Grâce au protocole SSL activé automatiquement, les visiteurs bénéficient d’une connexion sécurisée et stable sur toutes les pages de votre site. L’icône cadenas située à côté de votre URL dans le navigateur indique aux visiteurs que leurs données sont sécurisées.

Utilisez le panneau SSL pour personnaliser vos paramètres et suivez ce guide pour découvrir comment sécuriser la connexion sur l’ensemble de votre site.

Astuce : si vous utilisez un fournisseur de sécurité SSL externe comme CloudFlare, vous pouvez opter pour le certificat Squarespace. Consultez la FAQ ci-dessous pour en savoir plus.
Remarque : à l’heure actuelle, vous ne pouvez pas installer de certificats SSL personnalisés.

Qu'est-ce que le SSL ?

Le protocole SSL, ou Secure Sockets Layer, est une technologie qui sécurise la connexion entre votre navigateur et le site web que vous visitez. Pour vérifier qu’une page est protégée par le protocole SSL, regardez si l’URL commence par https:// au lieu de http:// et si une icône en forme de cadenas vert verrouillé apparaît à côté. Ceci garantit aux visiteurs qu’ils peuvent naviguer et soumettre des informations dans le site web via une connexion sécurisée.

Le protocole SSL offre trois avantages de sécurité importants :

  • La confidentialité : il chiffre la connexion entre le navigateur et le serveur Web, et transmet de façon sécurisée les informations (telles que les identifiants de connexion) afin d'empêcher des parties non autorisées à espionner.
  • L'intégrité des données : il empêche les parties non autorisées de modifier les données pendant la transmission (par exemple lors de l'envoi de données via un Bloc Formulaire).
  • L’authentification : il protège contre l'usurpation d'identité en demandant des preuves d'identité au serveur Web.

Activer le SSL peut accélérer le chargement de votre site car Squarespace utilise le protocole HTTP/2 pour les sites possédant la protection SSL. Cela peut également aider les visiteurs à trouver votre site : en 2014, Google a annoncé que les sites Web protégés par protocole SSL pourraient être favorisés dans leur référencement.

Squarespace et l'utilisation du protocole SSL

Si vous disposez de noms de domaine personnalisés associés à votre site Squarespace et qui dirigent vers ce dernier, nous générons automatiquement un certificat SSL pour votre site qui permet à vos visiteurs de bénéficier d’une connexion HTTPS. Cette option est automatiquement incluse pour les domaines Squarespace et les domaines tiers qui dirigent vers Squarespace. Nous utilisons un encodage SSL 2 048 bits sur toutes les pages à l’exception des pages de paiement et nous utilisons le TLS version 1.2 pour toutes les connexions HTTPS.

Si vous utilisez un domaine tiers, vérifiez qu’il est correctement connecté et qu’il dirige bien vers votre site afin de pouvoir mettre en place une connexion SSL sécurisée. Assurez-vous plus particulièrement que vous utilisez nos enregistrements CNAME et nos enregistrements A obligatoires et que le domaine dirige bien vers Squarespace.

Astuce : il se peut que vos enregistrements DNS soient obsolètes. Si vous constatez la présence d'une étiquette Obsolète dans la colonne Enregistrements actuels des paramètres DNS de votre domaine tiers, mettez à jour les enregistrements CNAME et A auprès de votre fournisseur, selon nos exigences actuelles.

Lorsque votre site est chargé avec une protection SSL, vous pouvez voir une icône de cadenas verrouillé ainsi que les lettres https:// situés à côté de l'URL dans la barre de navigateur :

Sélectionner un paramètre de sécurité

Pour sélectionner un paramètre SSL :

  1. Dans le Menu principal, cliquez sur Paramètres, sur Avancé puis sur SSL.
  2. Dans Security Preference (Préférences de sécurité), choisissez votre paramètre.
Remarque : si vous utilisez une page de domaine garé, cliquez sur SSL dans le menu principal de la page de domaine garé, puis choisissez un paramètre.

Votre site comprend deux paramètres de sécurité liés au SSL, que vous pouvez choisir en fonction de vos besoins.

Sécurisé (recommandé)

  • Chaque visiteur est redirigé vers l'adresse HTTPS, même s'il a entré la version HTTP dans son navigateur.
  • Les plans de site contiennent des liens HTTPS et les moteurs de recherche référencent la version HTTPS.
  • Les navigateurs non pris en charge ne pourront pas charger votre site.
  • Tout domaine enregistré ou connecté à partir du 24 octobre 2016 est défini sur Sécurisé par défaut.

Non sécurisé

  • Les visiteurs peuvent accéder à votre site via une connexion standard (HTTP) ou une connexion SSL sécurisée (HTTPS).
  • Les plans de site contiennent des liens HTTP et les moteurs de recherche référencent la version HTTP.
  • Tout domaine enregistré ou connecté avant le 24 octobre 2016 est défini sur Non sécurisé par défaut.
Remarque : Les flux RSS utilisent toujours des liens HTTP et non pas des liens HTTPS, même lorsque l'option Secure (Sécurisé) est activée. Grâce à cela, votre flux reste visible aux yeux de vos lecteurs et d'autres services.

Une fois votre préférence de sécurité activée, la mise à jour sur votre site peut prendre jusqu’à 72 heures. Pour les domaines tiers qui ne sont pas encore correctement connectés, le délai peut être un peu plus long.

ssl-UI.jpg

Utiliser la norme de sécurité HSTS

Lorsque vous utilisez le paramètre de sécurité Secure SSL, vous pouvez activer en plus HSTS Secure (Norme de sécurité HSTS) pour ajouter une couche supplémentaire de protection. Activer le paramètre HSTS Secure garantit une connexion encodée et empêche de potentiels pirates informatiques d'accéder à votre site et de l'altérer. Imaginez qu'une visite sur un site se présente comme une lettre envoyée par le navigateur du visiteur à votre site. La norme HSTS est là pour certifier cette lettre et garantir que seul le destinataire concerné peut l'ouvrir.

Lorsqu'un visiteur se rend pour la première fois sur un site ayant activé la norme HSTS, son navigateur garde en mémoire la version sécurisée de l'URL pour les prochaines visites. La prochaine fois qu'il se rendra sur votre site, le navigateur chargera cette version HTTPS sécurisée. Tant qu'il continuera d'accéder à votre site avec le même navigateur, il naviguera toujours sur la version HTTPS sécurisée de votre site, même s'il change de réseau. Vos visiteurs ne verront pas la différence sur votre site, à part que l'URL dans le navigateur commencera toujours par https://.

Si vous utilisez le paramètre Secure (Sécurisé) pour votre site, nous vous conseillons de conserver aussi activée la norme HSTS Secure. Cependant, vous pouvez aussi passer à l'option Insecure (Non sécurisé) si vos visiteurs ont besoin d'accéder à la version HTTP ou si votre site utilise beaucoup de contenu mélangé.

Remarque : si vous devez passer au paramètre Insecure (Non sécurisé), vérifiez que le certificat SSL du domaine est valide. Les certificats contenant des erreurs peuvent également provoquer des erreurs pour vos visiteurs.

Navigateurs plus anciens

Certains navigateurs moins récents ne prennent pas en charge les normes de sécurité élevées exigées par nos certificats SSL.

Voici une liste des navigateurs non pris en charge :

  • Toutes les versions d'Internet Explorer sur Windows XP
  • Les versions d'Internet Explorer précédant la version 7
  • Les versions de Firefox précédant la version 2.0
  • Les versions de Safari précédant la version 2.1
  • Toute version de Google Chrome précédant la version 6

Voici une liste des navigateurs mobiles non pris en charge :

  • Toutes les versions de Safari fonctionnant sur une version iOS antérieure à la version 4.0
  • Tout navigateur Android fonctionnant sur une version antérieure à la version 3.0 (Honeycomb)
  • Tout navigateur de Windows Phone fonctionnant sur une version antérieure à la version 7

Les visiteurs consultant votre site sur ces navigateurs risquent de rencontrer des difficultés pour charger la version HTTPS sécurisée de votre site. Dans certains cas, il se peut qu'ils n'y parviennent pas du tout.

Pour éviter ce problème, nous vous conseillons d'utiliser un navigateur pris en charge pour consulter ou modifier tout site Squarespace.

Contenu mélangé

Some pages on your site may have mixed content, meaning the page loads over a secure HTTPS connection, but some content loads over an insecure HTTP connection. Insecure content can come from:

Since mixed content on your website degrades HTTPS site security, if you choose the Secure setting, visitors may see a browser warning when they load mixed content from your site. To avoid this, use the Insecure SSL setting, or switch to other blocks that support your content securely.

SSL et Commerce

Si vous vendez des produits avec Squarespace Commerce, votre page de paiement est protégée par SSL, assurant la sécurité des données de carte de crédit de vos clients. Nous garantissons un niveau 1 conforme PCI et utilisons un encodage SSL 128 bits sur les pages de paiement.

Au moment de payer sur votre boutique en ligne, vos clients verront une icône de cadenas s'afficher dans leur navigateur. Si votre site repose sur le plan Commerce Basique ou Premium, et que le paramètre SSL Secure (Sécurisé) est activé, ils verront aussi votre nom de domaine personnalisé dans l'URL de paiement. Pour en savoir plus, rendez-vous sur Paiement sur votre domaine.

Remarque : si votre site utilise le paramètre Insecure (Non sécurisé), votre URL commencera par https://secure.squarespace.com, même si le site est géré avec le plan Commerce Basique ou Premium. La page de paiement restera sécurisée pour vos clients, mais elle ne prendra pas en charge votre nom de domaine personnalisé.

Erreurs dues au statut du certificat

Si nous ne parvenons pas à générer un certificat pour votre domaine, un message d’erreur s’affiche dans le panneau SSL.

Rouge : il y a un problème à résoudre

Si le message d’erreur est accompagné d’un ! rouge, cela signifie que nous n’avons pas pu générer de certificat SSL pour les domaines répertoriés. Le traitement du certificat nécessite parfois un peu plus de temps. Dans le cas de nouveaux domaines, la connexion et la génération du certificat peuvent prendre jusqu’à 72 heures. Ce message peut également s’afficher si le domaine ne dirige pas correctement vers votre site.

Veuillez patienter 72 heures pour permettre la génération du certificat. Au bout de 72 heures, vous pouvez actualiser le certificat pour voir si le problème est résolu. Lorsque vous ouvrez les paramètres DNS, le statut est automatiquement actualisé :

  • Si vous utilisez un Domaine Squarespace, cliquez sur le domaine dans la Section Domaines, puis sur Advanced Settings (Paramètres avancés).
  • Si vous utilisez un domaine tiers, cliquez sur le domaine dans la section Domaines, puis cliquez sur Paramètres DNS.

Si le statut ne change pas après l’actualisation, vérifiez les paramètres suivants :

Bleu : en progression

Si le message est accompagné d’un bleu et que le message Les certificats SSL n’ont pas été émis pour les domaines suivants s’affiche, cela signifie que le traitement du certificat SSL est toujours en cours. Dans le cas de nouveaux domaines, la connexion et la génération du certificat peuvent prendre jusqu’à 72 heures. Il vous faudra donc patienter encore un peu.

Généralement, cela se produit si vous avez récemment :

  • enregistré un Domaine Squarespace ;
  • transféré un domaine sur Squarespace ;
  • connecté un domaine tiers.

Vous pouvez tenter d'actualiser le certificat pour voir si cela aide. En ouvrant ses Paramètres DNS, vous actualisez automatiquement le statut :

  • Si vous utilisez un Domaine Squarespace, cliquez sur le domaine dans la Section Domaines, puis sur Advanced Settings (Paramètres avancés).
  • Si vous utilisez un domaine tiers, cliquez sur le domaine dans la section Domaines, puis cliquez sur Paramètres DNS.

Si le statut ne change pas après l’actualisation, c’est que le certificat met plus de temps à être généré.

Afficher un certificat SSL

Dans la plupart des navigateurs, vous pouvez afficher les détails du certificat SSL d’un domaine. Ces détails peuvent inclure les informations suivantes :

  • Autorité de certification émettrice
  • Durée de validité du certificat
  • Numéro de série du certificat
  • Utilisation principale
  • Empreinte digitale

Pour afficher un certificat SSL, accédez à votre site à partir de son domaine personnalisé et cliquez sur l’icône cadenas à côté de l’URL. Selon votre navigateur, des liens vers des informations plus détaillées peuvent s’afficher.

Voici un exemple dans Chrome sur un ordinateur :

chrome_ssl_certificate.jpg

Pour en savoir plus sur l’affichage des détails d’un certificat SSL, contactez le service d’assistance de votre navigateur.

FAQ

Quel paramètre dois-je utiliser ?

Le meilleur paramètre pour votre site dépend du contenu de votre site et du type de visiteur que vous attendez. La plupart des utilisateurs profiteront davantage du paramètre Secure (Sécurisé) associé à la norme HSTS activée, qui offre une connexion sécurisée à tous les navigateurs pris en charge.

Ai-je besoin d'un domaine Squarespace pour pouvoir utiliser le protocole SSL ?

Non. Le protocole SSL est disponible pour tous les domaines Squarespace et les domaines externes connectés à votre site. Si vous possédez un domaine externe, assurez-vous que le domaine est correctement connecté à votre site en confirmant vos réglages CNAME et vos réglages A.

Puis-je utiliser un certificat personnalisé ?

Il est actuellement impossible d'installer un certificat SSL personnalisé sur un site Squarespace.

Le protocole SSL fonctionne-t-il pour les sous-domaines ?

Oui. Squarespace génère un certificat pour chaque domaine personnalisé et chaque sous-domaine connecté à votre site web, qu’il s’agisse d’un domaine Squarespace ou d’un domaine hébergé par un service tiers. C’est également le cas pour la version « www » de votre domaine, si vous l’utilisez séparément de votre domaine nu.

Si vous utilisez votre sous-domaine comme domaine principal de votre site, veillez à décocher Utiliser le préfixe WWW pour éviter les erreurs de certificat.

Si vous possédez un domaine externe, vérifiez qu'il est connecté à la section Domaines de votre site et qu'il n'est pas renvoyé depuis un autre emplacement.

Le protocole SSL fonctionnera-t-il sur les navigateurs mobiles ?

Oui. Votre site sera protégé par SSL tant que vos visiteurs utilisent un navigateur pris en charge.

Le protocole SSL risque-t-il de ralentir mon site ?

Les sites utilisant le protocole HTTPS peuvent mettre un tout petit peu plus de temps à se charger car la connexion sécurisée doit authentifier le certificat et valider le site. Dans la plupart des cas, la différence n'est que de quelques secondes.

If you’re noticing a big difference in load time, use our troubleshooting steps to rule out other possible site issues, like content-heavy pages or custom code integrations.

Je vois une erreur de certificat pour mon domaine tiers, mais mes paramètres DNS sont corrects. 

Si vous voyez une erreur pour votre domaine tiers mais que vous avez déjà vérifié vos réglages, il est possible que nous ne puissions pas délivrer de certificat en raison d'un problème avec votre fournisseur de domaine. Pour résoudre ce problème, nous vous recommandons l'une des options suivantes :

Je vois un avertissement du navigateur lorsque je me rends sur mon domaine. 

Si vous avez activé le paramètre Sécurisé dans le panneau SSL, un avertissement de confidentialité peut s’afficher lorsque vous accédez à votre domaine. Ce message varie d’un navigateur à l’autre. Il peut ressembler à ceci : « Votre connexion n’est pas privée » ou « Votre connexion n’est pas sécurisée ». Ce message s’affiche lorsque votre navigateur détecte des contenus non sécurisés sur la page.

Pour résoudre ce problème, suivez nos étapes de dépannage pour vérifier si votre site ne comporte pas de contenu mixte ou une erreur de certificat. Si le problème persiste, vérifiez s’il n’est pas lié à votre navigateur.

J'utilise un fournisseur SSL externe pour mon site. Dois-je le désactiver ?

Si vous utilisez un fournisseur externe pour le SSL comme CloudFlare, vous pouvez le désactiver et utiliser la protection SSL automatique de Squarespace pour les domaines personnalisés. Sachez cependant que Squarespace ne peut pas générer de certificat pour votre domaine tant que vous n’avez pas redirigé votre domaine vers nos serveurs. Le trafic HTTPS de votre site sera inaccessible pendant que vos modifications DNS se propagent et que Squarespace génère le certificat. Pendant ce temps, une erreur de certificat peut s’afficher dans votre panneau SSL.

Mon nom de domaine personnalisé apparaîtra-t-il pendant les paiements sur Squarespace Commerce ?

Oui. Si votre site est géré avec le plan Commerce Basique ou Premium et que le paramètre SSL Secure (Sécurisé) est activé, vos clients verront votre nom de domaine personnalisé pendant le paiement. Si vous utilisez le paramètre Insecure (Non sécurisé), ils verront à la place une URL commençant par https://secure.squarespace.com .

Les sites ayant activé le protocole SSL prennent-ils en charge l'extension HPKP ?

Non, Squarespace ne prend pas en charge la fonctionnalité de sécurité HTTP Public Key Pinning (HPKP).

Dois-je créer un CSR afin d'utiliser le protocole SSL avec Squarespace ?

Vous n'avez pas besoin de créer une demande de certificat (Certificate Signing Request ou CSR) car Squarespace génère automatiquement un certificat SSL pour tout domaine correctement connecté à votre site.

Puis-je activer la protection SSL sur mon site Squarespace 5 ?

Non. Squarespace ne peut activer la protection SSL que pour les noms de domaine personnalisés des sites Squarespace 7.

Puis-je désactiver la protection SSL ?

Il est impossible de retirer les certificats SSL pour vos noms de domaine personnalisés car ils maintiennent la sécurité de votre site et garantissent une expérience de qualité pour vos visiteurs. Vous pouvez néanmoins choisir l’option Non sécurisé pour votre site, qui autorise le trafic entrant via des connexions HTTP standard.

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 122 sur 244