Guide complet : Les certificats SSL/TLS pour votre site

Pourquoi le SSL/TLS n’est plus une option en 2026 (informations vérifiées en avril 2026, susceptibles d’évoluer) ?

HTTP en clair est mort en 2026 : Chrome/Firefox/Safari affichent désormais un grand « Site non sécurisé » (et bientôt un blocage complet) sur tout site sans HTTPS. Google déclasse, les passerelles de paiement (PayDunya, CinetPay, Stripe) refusent les domaines non-HTTPS, et la loi 2008-12 sénégalaise considère HTTPS comme une mesure de protection minimale des données. Let’s Encrypt rend tout cela gratuit et automatisé en 5 minutes — il n’y a plus aucune raison de rester en HTTP.

Qu’est-ce qu’un certificat SSL/TLS ?

Un certificat SSL/TLS est un fichier numérique qui chiffre les communications entre le navigateur de vos visiteurs et votre serveur web. C’est ce qui transforme http:// en https:// et affiche le cadenas dans la barre d’adresse. Sans certificat SSL, les données transitent en clair — mots de passe, informations de paiement, données personnelles peuvent être interceptees.

SSL vs TLS : SSL (Secure Sockets Layer) est l’ancien protocole, remplace par TLS (Transport Layer Security). Tout le monde dit « SSL » par habitude, mais les certificats modernes utilisent TLS 1.2 ou 1.3.

Pourquoi le SSL est obligatoire en 2026

Les types de certificats SSL

Recommandation : Pour 95% des sites au Sénégal, un certificat DV gratuit de Let’s Encrypt suffit. Il offre le même niveau de chiffrement qu’un certificat payant.

Let’s Encrypt : le certificat SSL gratuit

Let’s Encrypt est une autorité de certification gratuite et automatisee. C’est le choix de référence pour la majorité des sites web.

Installation avec Certbot sur Ubuntu/Debian + Nginx :

# Installer Certbot
sudo apt update
sudo apt install certbot python3-certbot-nginx -y

# Obtenir et installer le certificat
sudo certbot --nginx -d votresite.com -d www.votresite.com

Certbot fait tout automatiquement :

• Vérifie que vous contrôlez le domaine
• Genere le certificat
• Configure Nginx pour utiliser HTTPS
• Ajoute la redirection HTTP → HTTPS

Pour Apache :

sudo apt install certbot python3-certbot-apache -y
sudo certbot --apache -d votresite.com -d www.votresite.com

Renouvellement automatique :

Les certificats Let’s Encrypt expirent après 90 jours, mais Certbot configure un renouvellement automatique :

# Vérifier que le renouvellement automatique fonctionne
sudo certbot renew --dry-run

# Le renouvellement est programme via un timer systemd ou un cron
sudo systemctl status certbot.timer

Installation sur un hébergement mutualise (cPanel)

Si votre site est heberge chez un hébergeur avec cPanel (commun au Sénégal) :

1. Connectez-vous a votre cPanel
2. Cherchez « SSL/TLS » ou « Let’s Encrypt » dans la section Sécurité
3. Cliquez sur « Installer » a cote de votre domaine
4. Le certificat s’installe automatiquement

Si Let’s Encrypt n’est pas disponible dans cPanel, contactez votre hébergeur — la plupart l’offrent gratuitement (OVH, Hostinger, Namecheap).

Installation sur WordPress

Une fois le certificat SSL installé sur le serveur, configurez WordPress :

1. WordPress → Reglages → Général : changez les deux URL de http:// a https://
2. Installez le plugin « Really Simple SSL » pour gérer les redirections et le contenu mixte automatiquement
3. Vérifiez que toutes les pages chargent en HTTPS (pas d’avertissement dans la barre d’adresse)

Le problème du contenu mixte :

Si votre page est en HTTPS mais charge des images ou scripts en HTTP, le navigateur affiche un avertissement. Causes courantes :

• Images inserees avec des URL http:// dans les articles
• Thème ou plugins chargeant des ressources en HTTP
• Liens vers des fichiers externes non HTTPS

Solution : Really Simple SSL corrige automatiquement la plupart des problèmes. Pour les cas restants, cherchez « http:// » dans votre base de données avec le plugin Better Search Replace et remplacez par « https:// ».

Vérifier votre certificat SSL

Dans le navigateur :

• Cliquez sur le cadenas dans la barre d’adresse → « Le certificat est valide »
• Vérifiez : l’emetteur (Let’s Encrypt, DigiCert…), la date d’expiration, le domaine couvert

Outils de vérification en ligne :

Objectif : Obtenir une note A ou A+ sur SSL Labs. Si vous avez un B ou moins, votre configuration TLS doit être renforcée.

Configuration TLS optimale (Nginx)

Pour obtenir un A+ sur SSL Labs, ajoutez dans votre configuration Nginx :

ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 1d;
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

Le header HSTS (Strict-Transport-Security) force les navigateurs a toujours utiliser HTTPS, même si l’utilisateur tape http://.

Problèmes courants et solutions

Erreurs fréquentes

1. Certificat Let’s Encrypt expiré (renouvellement cassé)

Cause : Let’s Encrypt expire tous les 90 jours. Le timer Certbot a été désactivé lors d’une mise à jour ou les permissions cron sont cassées. Site inaccessible un matin.

Solution : testez régulièrement le renouvellement : sudo certbot renew --dry-run. Configurez une alerte (UptimeRobot, BetterUptime) qui surveille la date d’expiration. Et utilisez crt.sh pour vérifier votre certificat actuel.

2. TLS 1.0 / 1.1 encore activés

Cause : on a installé HTTPS il y a 5 ans avec une config Nginx incluant TLS 1.0/1.1. Ces protocoles ont des vulnérabilités connues (POODLE, BEAST, SWEET32) et sont désactivés par les navigateurs modernes.

Solution : dans nginx.conf : ssl_protocols TLSv1.2 TLSv1.3; uniquement. Validez sur SSL Labs — vous devez obtenir A ou A+.

3. Mixed Content après migration HTTPS

Cause : les anciens articles WordPress contiennent des images avec URL en http://. Le navigateur affiche un cadenas barré ou triangle d’avertissement, et bloque parfois les images.

Solution : plugin Really Simple SSL qui réécrit en temps réel. Pour l’historique, plugin Better Search Replace : remplacez http://votresite.sn par https://votresite.sn.

4. HSTS activé sans préparation

Cause : on active HSTS avec max-age=63072000 (2 ans) avant d’avoir testé. Le certificat tombe ou un sous-domaine n’a pas de SSL : les visiteurs sont bloqués pendant 2 ans (HSTS reste en cache navigateur).

Solution : commencez avec max-age=300 (5 min), testez 24h, puis montez à 3600 (1h), puis à 31536000 (1 an). Et soumettez à hstspreload.org seulement quand vous êtes sûr.

5. Certificat sur le mauvais domaine (oubli du www)

Cause : Certbot a généré le certificat pour votresite.sn mais pas pour www.votresite.sn. Les visiteurs qui tapent www obtiennent une erreur de certificat.

Solution : couvrez TOUJOURS les deux variantes : certbot --nginx -d votresite.sn -d www.votresite.sn. Et configurez une redirection 301 de l’une vers l’autre (au choix) pour la cohérence SEO.

Checklist SSL/TLS

• ☐ Certificat SSL installé (Let’s Encrypt ou autre)
• ☐ Domaine principal ET www couverts
• ☐ Redirection HTTP → HTTPS configuree
• ☐ Renouvellement automatique vérifié (certbot renew –dry-run)
• ☐ Pas de contenu mixte (vérifier avec whynopadlock.com)
• ☐ Note A ou A+ sur SSL Labs
• ☐ TLS 1.2+ uniquement (pas de TLS 1.0/1.1)
• ☐ HSTS activé
• ☐ WordPress URLs en https://

Pour creuser ce sujet

• Le chiffrement de bout en bout expliqué — TLS protège le transit, l’E2EE protège bout en bout.
• Sécuriser votre site WordPress — HTTPS est la première brique du durcissement.
• Configurer les redirections 301 correctement — pour bien rediriger HTTP → HTTPS.
• Optimiser les performances serveur pour le SEO — TLS 1.3 + HTTP/2 = vitesse + sécurité.
• Référence officielle : Let’s Encrypt Documentation et SSL Labs (test note A+).
• Configuration générée automatiquement : Mozilla SSL Configuration Generator.