TL;DR : Un certificat SSL/TLS chiffre la communication entre le navigateur et le site web (HTTPS). En 2026, il est obligatoire pour tout site web d’entreprise sérieux — sans lui, les navigateurs affichent des avertissements et Google pénalise. Pour 95 % des entreprises, Let’s Encrypt gratuit avec renouvellement automatique tous les 60 jours suffit. Les certificats payants (OV, EV, Wildcard) n’ont de sens que pour des cas d’utilisation spécifiques (banques, e-commerces à fort volume, entreprises multi-sous-domaines).

Un certificat SSL était un luxe optionnel il y a 10 ans, aujourd’hui c’est un minimum obligatoire. Cet article explique les types, le choix et le déploiement pratique pour le chef d’entreprise.

Pour un contexte plus large sur la cyberdéfense, voir le pilier Cybersécurité des données d’entreprise. Pour le glossaire /fr/glossaire/ssl.

Qu’est-ce que SSL/TLS

SSL (Secure Sockets Layer) est le protocole original de 1995 pour les connexions Internet chiffrées. TLS (Transport Layer Security) en est la version moderne (TLS 1.0 de 1999, en 2026 le minimum est TLS 1.3).

En pratique, les termes SSL et TLS sont utilisés de façon interchangeable — quand on parle de « certificat SSL », on désigne un certificat TLS. « SSL » est resté comme terme marketing.

Trois fonctions

  1. Chiffrement — la communication entre le navigateur et le serveur est chiffrée. Un attaquant au milieu (par exemple sur le Wi-Fi d’un café) ne peut pas voir les données transmises — mots de passe, formulaires, cookies.
  2. Intégrité — un hachage cryptographique garantit qu’un attaquant ne peut pas modifier le contenu en transit (ex. injecter des publicités ou des malwares dans un site légitime).
  3. Authentification — le certificat confirme que le serveur est bien celui qu’il prétend être. Sans cela, un attaquant pourrait créer un faux banque.fr et y rediriger les visiteurs.

HTTPS = HTTP + TLS

HTTPS (HTTP Secure) est le protocole HTTP fonctionnant sur TLS. Dans la barre d’adresse du navigateur, vous voyez un cadenas et https:// au lieu de http://.

En 2026, tout site web sérieux utilise HTTPS. Les sites HTTP uniquement :

  • Les navigateurs affichent un avertissement « Non sécurisé »
  • Google les pénalise dans le classement
  • Certaines API et intégrations échouent
  • Les cookies ne peuvent pas être définis comme sécurisés

Types de certificats SSL

Trois catégories selon le niveau de validation :

Domain Validation (DV)

Le plus simple — l’Autorité de Certification (AC) vérifie uniquement que le demandeur possède le domaine (via un enregistrement DNS ou un fichier sur le serveur). Elle ne s’intéresse pas à l’identité de l’entreprise.

  • Prix : Gratuit (Let’s Encrypt) ou 5 à 30 EUR/an
  • Validation : Automatisée, prend quelques minutes
  • Adapté pour : Sites marketing, blogs, pages informelles

Organization Validation (OV)

L’AC vérifie également l’identité de l’entreprise (enregistrement au registre du commerce, appel téléphonique, documents).

  • Prix : 50 à 200 EUR/an
  • Validation : 1 à 3 jours
  • Adapté pour : Sites B2B où le client apprécie la vérification de l’entreprise

Extended Validation (EV)

La validation la plus stricte — l’AC vérifie l’entreprise via une vérification rigoureuse (visite personnelle, déclaration d’avocat, etc.).

  • Prix : 100 à 500 EUR/an
  • Validation : 1 à 2 semaines
  • Adapté pour : Banques, institutions financières, grandes boutiques en ligne

En 2026, les certificats EV sont moins visibles — les navigateurs modernes n’affichent plus le nom de l’entreprise dans la barre d’adresse (le panneau vert du passé a disparu). L’EV a perdu la plupart de son avantage UX, il reste principalement comme signal juridique.

Types spéciaux

Certificat Wildcard

Couvre tous les sous-domaines d’un domaine : *.modulario.com couvre www.modulario.com, app.modulario.com, api.modulario.com, etc.

Prix : 50 à 300 EUR/an. Alternative : Let’s Encrypt + automatisation DNS-01 challenge (configuration plus complexe, mais gratuit).

Multi-domaines (SAN)

Un seul certificat pour plusieurs domaines différents (entreprise1.fr + entreprise2.fr + entreprise3.fr).

Prix : 50 à 500 EUR/an selon le nombre de domaines.

Code Signing

Pas pour le web — utilisé pour signer des paquets logiciels (.exe, .msi, pilotes). Sans certificat de signature de code, Windows affiche « Éditeur inconnu » lors de l’installation.

Let’s Encrypt : gratuit et choix pratique

Let’s Encrypt est une Autorité de Certification à but non lucratif lancée en 2016 (ISRG, sponsorisée par l’EFF, Mozilla, Cisco et d’autres). Elle émet des certificats DV gratuits avec une validité de 90 jours + renouvellement automatique.

En 2026, Let’s Encrypt émet plus de 50 % de tous les certificats SSL dans le monde.

Avantages

  • Gratuit — quel que soit le nombre de domaines
  • Automatisé — l’outil Certbot renouvelle les certificats automatiquement
  • Prise en charge large — tous les navigateurs reconnaissent Let’s Encrypt
  • Aucun compromis sur le chiffrement — même TLS 1.3 que les certificats payants

Limitations

  • Seulement DV (pas d’OV ni d’EV)
  • Validité de 90 jours (doit être renouvelé tous les 60 jours)
  • Pas de « support téléphonique » — basé sur la communauté

Installation

Pour la plupart des hébergeurs (OVH, Gandi, Infomaniak, etc.), Let’s Encrypt est disponible dans le panneau d’administration en un clic. Pour un serveur dédié via Certbot :

sudo certbot --nginx -d entreprise.fr -d www.entreprise.fr

Renouvellement automatique via systemd timer ou cron — configurez une fois, oubliez pendant un an.

Mise en œuvre SSL pour le site web d’entreprise

Étape 1 : Domaine

Le domaine doit être enregistré. Pour la France .fr via AFNIC (via un bureau d’enregistrement comme OVH, Gandi, Ionos). Prix : 10 à 30 EUR/an.

Étape 2 : Hébergement ou serveur

L’hébergement (cloud SaaS, VPS, dédié) doit prendre en charge HTTPS. Tous les hébergeurs modernes en 2026, oui.

Étape 3 : DNS configuré

Enregistrement A entreprise.fr pointant vers l’IP du serveur, AAAA pour IPv6.

Étape 4 : Certificat

  • Panneau d’hébergeur (OVH, Gandi) : cliquer « Activer SSL » — Let’s Encrypt automatiquement
  • Serveur dédié : installation Certbot
  • Cloud (AWS, Azure) : certificate manager, parfois gratuit, parfois inclus dans le load balancer

Étape 5 : Forcer HTTPS

Le site doit rediriger http://entreprise.fr vers https://entreprise.fr. Dans Apache .htaccess :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Configuration équivalente pour Nginx ou cloud load balancer.

Étape 6 : HSTS

HSTS (HTTP Strict Transport Security) impose HTTPS même lors du premier accès. En-tête :

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Étape 7 : Test

Testez via SSL Labs Server Test. Objectif : note A ou A+.

Surveillance de l’expiration

L’erreur la plus fréquente : le certificat expire et personne ne s’en aperçoit → le site cesse de fonctionner de façon fiable.

Solutions :

  • Let’s Encrypt + renouvellement automatique Certbot — automatique, aucune étape manuelle
  • Uptime Robot, Pingdom — alerte 30 jours avant l’expiration
  • Site24x7, StatusCake — surveillance plus large incluant SSL
  • Cron personnalisé avec openssl s_client -connect entreprise.fr:443 et parsing

Pour Modulario, la surveillance SSL fait partie de l’infrastructure globale. Le client n’a jamais de problème avec un SSL expiré sur le domaine principal.

TLS 1.3 et standards modernes

En 2026, TLS 1.3 est le minimum. Les versions plus anciennes :

  • TLS 1.0 et 1.1 — dépréciées depuis 2020, interdites
  • TLS 1.2 — encore prise en charge pour les clients legacy, mais pas par défaut
  • TLS 1.3 — par défaut, le plus rapide, le plus sécurisé

La configuration du serveur doit :

  • Imposer TLS 1.2 minimum (idéalement 1.3)
  • Désactiver les chiffrements faibles (RC4, DES, 3DES)
  • Disposer du OCSP stapling
  • Prendre en charge HTTP/2 et HTTP/3 (QUIC)

Le test SSL Labs révèle toutes les lacunes.

Questions fréquentes

À quoi sert un certificat SSL ? Un certificat SSL/TLS garantit une communication chiffrée entre le navigateur du visiteur et votre serveur web (HTTPS au lieu de HTTP). Trois fonctions : (1) chiffrement — personne « au milieu » ne peut intercepter les données (mots de passe, formulaires), (2) intégrité — un attaquant ne peut pas modifier le contenu en transit, (3) authentification — le visiteur sait qu’il communique avec le bon serveur, pas un frauduleux. Sans SSL, les navigateurs affichent l’avertissement « Non sécurisé », ce qui détruit la crédibilité de l’entreprise.

Le SSL gratuit de Let’s Encrypt me suffit-il, ou ai-je besoin d’un payant ? Pour 95 % des sites web d’entreprise, Let’s Encrypt suffit — gratuit, renouvelable automatiquement, techniquement le même chiffrement que les certificats payants. Un certificat payant n’a de sens que pour : (1) Extended Validation (EV) pour les banques / e-commerces à fort volume — affiche le nom de l’entreprise, (2) Wildcard pour de nombreux sous-domaines, (3) Organization Validation (OV) pour les entreprises B2B où le client vérifie l’identité légale. Pour le dirigeant d’une PME, Let’s Encrypt + renouvellement automatique via Certbot est la solution optimale.

Que se passe-t-il quand un certificat SSL expire ? Les navigateurs affichent un avertissement agressif « Votre connexion n’est pas privée » et la plupart des visiteurs quittent le site. Pour une entreprise B2B, cela signifie une perte de crédibilité, un arrêt de la génération de leads et une perte potentielle de contrats. Certaines applications (banking, M365) cessent de communiquer avec un serveur dont le certificat a expiré. Solution : surveillance de l’expiration (Uptime Robot, Pingdom, ou renouvellement automatique Certbot) — alerte 30 jours avant l’expiration.