Certificat SSL gratuit : comment securiser son site en 2026

En 2026, un site web sans HTTPS n’est plus seulement un risque de securite : c’est un handicap majeur pour votre referencement et la confiance de vos visiteurs. Les navigateurs affichent desormais un avertissement bien visible sur les sites non securises, et Google penalise leur positionnement. La bonne nouvelle, c’est qu’un certificat SSL peut etre obtenu gratuitement. Ce guide vous explique tout ce que vous devez savoir.

Qu’est-ce que SSL/TLS ?

Definitions

SSL (Secure Sockets Layer) et son successeur TLS (Transport Layer Security) sont des protocoles de chiffrement qui securisent la communication entre le navigateur de votre visiteur et votre serveur web. Quand un site utilise SSL/TLS, son adresse commence par https:// au lieu de http:// et un cadenas s’affiche dans la barre d’adresse.

Techniquement, SSL est obsolete depuis 2015 (la derniere version etait SSL 3.0). Aujourd’hui, c’est TLS qui est utilise, dans sa version 1.3 (la plus recente et la plus securisee). Pour une explication detaillee du protocole, consultez l’article Wikipedia sur SSL/TLS. Cependant, le terme “SSL” reste largement employe dans le langage courant, y compris par les hebergeurs.

Comment ca fonctionne

Quand un visiteur accede a votre site en HTTPS, voici ce qui se passe :

1. Handshake TLS : le navigateur et le serveur echangent leurs certificats et negocient un algorithme de chiffrement
2. Verification : le navigateur verifie que le certificat est valide, qu’il correspond bien au nom de domaine et qu’il a ete emis par une autorite de certification reconnue
3. Chiffrement : une cle de session est generee pour chiffrer toutes les donnees echangees pendant la visite
4. Communication securisee : toutes les donnees (pages, formulaires, cookies) sont chiffrees en transit

Ce processus prend quelques millisecondes et est totalement transparent pour l’utilisateur.

Ce que SSL/TLS protege

• Confidentialite : les donnees echangees entre le navigateur et le serveur ne peuvent pas etre lues par un tiers (par exemple sur un Wi-Fi public)
• Integrite : les donnees ne peuvent pas etre modifiees en transit sans etre detectees
• Authentification : le certificat prouve que le site est bien celui qu’il pretend etre

Ce que SSL/TLS ne protege PAS

Un certificat SSL ne protege pas votre site contre :

• Les failles dans votre code (injections SQL, XSS)
• Les attaques par force brute sur vos mots de passe
• Les malwares et les virus
• Les attaques DDoS
• La compromission de votre serveur

Le SSL est une couche de securite parmi d’autres, pas une solution complete.

Pourquoi le HTTPS est obligatoire en 2026

Impact sur le SEO

Google a confirme que le HTTPS est un signal de classement depuis 2014. En 2026, ce signal est plus important que jamais. Les sites non securises sont systematiquement penalises dans les resultats de recherche. Il est pratiquement impossible de bien se positionner sur Google sans HTTPS.

Confiance des visiteurs

Les navigateurs modernes (Chrome, Firefox, Safari, Edge) affichent un avertissement “Non securise” dans la barre d’adresse pour les sites HTTP. En 2026, la plupart des utilisateurs quittent immediatement un site affichant cet avertissement, surtout s’ils doivent saisir des informations personnelles ou effectuer un paiement.

Obligations legales

Le RGPD (Reglement General sur la Protection des Donnees) en Europe et la nLPD (nouvelle Loi federale sur la Protection des Donnees) en Suisse imposent la mise en oeuvre de mesures techniques appropriees pour proteger les donnees personnelles. Le chiffrement des communications via SSL/TLS est considere comme une mesure de base indispensable.

Compatibilite technique

De nombreuses fonctionnalites web modernes necessitent le HTTPS :

• HTTP/2 et HTTP/3 (protocoles plus rapides)
• Les Service Workers (necessaires pour les PWA)
• La geolocalisation dans le navigateur
• L’acces a la camera et au microphone
• Les notifications push

Les types de certificats SSL

Tous les certificats SSL ne se valent pas. Il existe trois niveaux de validation :

DV (Domain Validation) - Validation de domaine

Le niveau le plus basique. L’autorite de certification verifie uniquement que vous controlez le nom de domaine. C’est le type de certificat delivre gratuitement par Let’s Encrypt.

Adapte a : blogs, sites vitrine, sites personnels, petites entreprises.

OV (Organization Validation) - Validation d’organisation

L’autorite de certification verifie l’existence legale de votre organisation. Le nom de l’entreprise apparait dans le certificat (visible en inspectant les details du certificat).

Adapte a : entreprises, organisations, sites institutionnels. Prix : 50 a 200 CHF/an.

EV (Extended Validation) - Validation etendue

Le niveau le plus eleve. Verification approfondie de l’identite de l’organisation. Historiquement, le nom de l’entreprise s’affichait en vert dans la barre d’adresse, mais ce n’est plus le cas dans les navigateurs modernes.

Adapte a : banques, e-commerce a fort volume, sites gouvernementaux. Prix : 150 a 500+ CHF/an.

Quel type choisir ?

Pour la grande majorite des sites web, un certificat DV gratuit via Let’s Encrypt est parfaitement suffisant. Le niveau de chiffrement est identique quel que soit le type de certificat. La difference reside uniquement dans le niveau de verification de l’identite du proprietaire.

Let’s Encrypt : le certificat SSL gratuit de reference

Qu’est-ce que Let’s Encrypt ?

Let’s Encrypt est une autorite de certification a but non lucratif, soutenue par l’Internet Security Research Group (ISRG). Lancee en 2016, elle fournit des certificats SSL/TLS gratuits et automatises. Vous pouvez consulter le site officiel de Let’s Encrypt pour en savoir plus sur le projet et son fonctionnement. En 2026, Let’s Encrypt securise plus de 400 millions de sites web dans le monde.

Pourquoi c’est gratuit

Let’s Encrypt est financee par des sponsors majeurs de l’industrie tech : Mozilla, Google Chrome, Meta, Cisco, OVHcloud, entre autres. L’objectif est de rendre le chiffrement accessible a tous pour securiser l’ensemble du web.

Caracteristiques des certificats Let’s Encrypt

• Gratuit : aucun frais d’emission ou de renouvellement
• Automatise : emission et renouvellement automatiques via le protocole ACME
• Validite : 90 jours (renouvellement automatique recommande)
• Type : DV (Domain Validation)
• Chiffrement : aussi robuste que les certificats payants (RSA 2048 bits ou ECDSA)
• Wildcard : supporte les certificats wildcard (*.votredomaine.ch) depuis 2018
• Reconnu : par tous les navigateurs et systemes d’exploitation modernes

Comment installer un certificat SSL gratuit

Methode 1 : Via votre hebergeur (la plus simple)

La plupart des hebergeurs web integrent Let’s Encrypt directement dans leur panneau de controle. L’activation se fait en quelques clics et le renouvellement est automatique.

Chez Infomaniak : le certificat Let’s Encrypt est active automatiquement sur tous les hebergements. Aucune action requise. Consultez notre avis sur Infomaniak.

Chez o2switch : activez Let’s Encrypt depuis cPanel > section Securite > Let’s Encrypt SSL. Consultez notre avis sur o2switch.

Chez Hetzner : si vous utilisez un VPS, vous devrez installer Certbot vous-meme (voir methode 2). Consultez notre avis sur Hetzner.

Chez OVHcloud : activez Let’s Encrypt depuis l’espace client > Hebergement > SSL. Consultez notre avis sur OVHcloud.

Chez Hostinger : le SSL est active automatiquement sur tous les plans d’hebergement. Consultez notre avis sur Hostinger.

Methode 2 : Avec Certbot (sur un VPS ou serveur dedie)

Si vous gerez votre propre serveur, Certbot est l’outil officiel recommande par Let’s Encrypt pour obtenir et renouveler automatiquement vos certificats.

Prerequis :

• Un serveur avec un acces root (VPS ou dedie)
• Un nom de domaine pointant vers l’adresse IP de votre serveur
• Un serveur web installe (Nginx ou Apache)

Installation sur Ubuntu/Debian avec Nginx :

# Installer Certbot et le plugin Nginx
sudo apt update
sudo apt install certbot python3-certbot-nginx

# Obtenir et installer le certificat
sudo certbot --nginx -d votredomaine.ch -d www.votredomaine.ch

# Certbot configure automatiquement Nginx pour utiliser le certificat
# Le renouvellement automatique est configure via un timer systemd

Installation sur Ubuntu/Debian avec Apache :

# Installer Certbot et le plugin Apache
sudo apt update
sudo apt install certbot python3-certbot-apache

# Obtenir et installer le certificat
sudo certbot --apache -d votredomaine.ch -d www.votredomaine.ch

Verifier le renouvellement automatique :

# Tester le renouvellement
sudo certbot renew --dry-run

# Verifier le timer systemd
sudo systemctl status certbot.timer

Les certificats Let’s Encrypt expirent apres 90 jours. Certbot configure automatiquement un renouvellement qui se declenche avant l’expiration (generalement 30 jours avant).

Methode 3 : Via Cloudflare (SSL flexible)

Cloudflare propose un certificat SSL gratuit dans le cadre de son offre de CDN gratuite. Cette solution est pratique si vous souhaitez egalement beneficier des avantages d’un CDN (cache, protection DDoS, optimisation des performances).

Attention : en mode “SSL Flexible”, le trafic entre Cloudflare et votre serveur n’est pas chiffre. Privilegiez le mode “SSL Full (Strict)” qui necessite un certificat valide sur votre serveur.

Configurer correctement le HTTPS

Obtenir un certificat SSL ne suffit pas. Voici les etapes supplementaires pour une configuration correcte.

Forcer la redirection HTTP vers HTTPS

Tous les visiteurs qui accedent a votre site via http:// doivent etre automatiquement rediriges vers https://. La plupart des hebergeurs proposent cette option dans le panneau de controle.

Si vous gerez votre propre serveur Nginx, ajoutez cette configuration :

server {
    listen 80;
    server_name votredomaine.ch www.votredomaine.ch;
    return 301 https://$server_name$request_uri;
}

Pour Apache, ajoutez dans le fichier .htaccess :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Mettre a jour les liens internes

Assurez-vous que tous les liens internes de votre site utilisent https://. Dans WordPress, mettez a jour l’adresse du site dans Reglages > General. Utilisez un plugin comme “Better Search Replace” pour remplacer toutes les occurrences de http:// par https:// dans votre base de donnees.

Activer HSTS

HSTS (HTTP Strict Transport Security) indique aux navigateurs de toujours utiliser HTTPS pour votre domaine, meme si l’utilisateur tape http:// dans la barre d’adresse. Cela elimine la redirection et renforce la securite.

Ajoutez cet en-tete a votre configuration serveur :

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Verifier les contenus mixtes

Les contenus mixtes (mixed content) surviennent quand une page HTTPS charge des ressources (images, scripts, CSS) via HTTP. Les navigateurs bloquent ces ressources, ce qui peut casser votre site. Utilisez les outils de developpement du navigateur (F12 > Console) pour identifier et corriger ces problemes.

Impact du SSL sur les performances

Une idee recue persiste : le SSL ralentirait les sites web. C’est faux en 2026. Au contraire, le HTTPS est necessaire pour utiliser les protocoles HTTP/2 et HTTP/3, qui sont bien plus rapides que HTTP/1.1.

Le handshake TLS ajoute certes quelques millisecondes a la premiere connexion, mais les mecanismes modernes (TLS 1.3, session resumption, 0-RTT) reduisent cet impact au minimum. En pratique, un site HTTPS avec HTTP/3 est significativement plus rapide qu’un site HTTP classique.

Pour optimiser davantage la vitesse de votre site, consultez nos 12 techniques pour accelerer votre site web.

Verifier votre certificat SSL

Apres l’installation, verifiez que tout est correctement configure :

• SSL Labs (ssllabs.com/ssltest) : analyse approfondie de votre configuration SSL. Visez un score A ou A+.
• Why No Padlock (whynopadlock.com) : detecte les problemes de contenu mixte
• Navigateur : cliquez sur le cadenas dans la barre d’adresse pour voir les details du certificat

FAQ

Un certificat SSL gratuit est-il aussi securise qu’un certificat payant ?

Oui. Le niveau de chiffrement d’un certificat Let’s Encrypt (DV) est identique a celui d’un certificat payant (DV, OV ou EV). La difference reside dans le niveau de verification de l’identite du proprietaire, pas dans la robustesse du chiffrement. Pour la grande majorite des sites, un certificat gratuit offre une securite parfaitement adequate.

Mon hebergeur propose deja un certificat SSL gratuit. Dois-je faire quelque chose ?

Si votre hebergeur integre Let’s Encrypt et l’active automatiquement (comme Infomaniak ou Hostinger), votre site est deja securise. Verifiez simplement que votre site est accessible en HTTPS et que la redirection de HTTP vers HTTPS est active. Vous pouvez le tester en tapant http://votredomaine.ch dans votre navigateur : vous devez etre redirige automatiquement vers https://votredomaine.ch.

Pourquoi les certificats Let’s Encrypt ne durent que 90 jours ?

La duree de 90 jours est un choix delibere de Let’s Encrypt pour encourager l’automatisation du renouvellement et limiter l’impact en cas de compromission d’une cle privee. Avec un renouvellement automatique (configure par defaut avec Certbot ou via votre hebergeur), cette duree courte est totalement transparente pour vous.

Le SSL est-il suffisant pour securiser mon site ?

Non. Le SSL protege les donnees en transit, mais la securite globale de votre site depend de nombreux autres facteurs : mises a jour regulieres du CMS et des extensions, mots de passe robustes, sauvegardes, pare-feu applicatif, protection contre les injections SQL et le XSS. Le SSL est une brique fondamentale, pas une solution de securite complete.

Comment savoir si mon certificat SSL va bientot expirer ?

Cliquez sur le cadenas dans la barre d’adresse de votre navigateur et consultez les details du certificat. Vous y trouverez la date d’expiration. Si vous utilisez Let’s Encrypt avec Certbot, le renouvellement est automatique. Vous pouvez egalement utiliser des services de monitoring comme UptimeRobot ou Certspotter pour recevoir des alertes avant l’expiration.