HTTPS et TLS bien configurés — un guide pratique | Scanthra

Scanthra · 8 min de lecture · Mis à jour Mai 2026

Pourquoi « on a HTTPS » ne suffit généralement pas

Un site qui charge en HTTPS mais répond encore en HTTP simple — ou qui utilise TLS/SSL (chiffrement) 1.0, un certificat expiré, ou des chiffrements faibles — c'est l'équivalent d'un verrou de sécurité sur une porte laissée entrouverte. Tous les questionnaires de sécurité modernes, les avertissements des navigateurs et les régimes de conformité (RGPD Art. 32, NIS2 Art. 21(2)(h), PCI DSS 4.0) traitent l'hygiène TLS comme une base minimale, pas un bonus.

Les cinq points à bien régler

1. Un certificat valide et moderne

Gratuit, automatisé, approuvé par tous les navigateurs : Let's Encrypt. La plupart des panneaux d'hébergement (cPanel, Plesk, DirectAdmin, ISPmanager) livrent un installateur en un clic. Pour les utilisateurs de VPS, certbot ou acme.sh renouvellent tous les 60 jours automatiquement. Choisis RSA-2048 ou ECDSA P-256 — les deux conviennent.

2. HTTPS uniquement — pas de HTTP, pas de contenu mixte

Chaque requête HTTP simple doit être redirigée vers HTTPS avec un 301 (pas 302 — les moteurs de recherche les traitent différemment). Le contenu mixte (une page HTTPS qui charge une image ou un script en HTTP) brise silencieusement la garantie de sécurité — la plupart des navigateurs le bloquent, mais certains scripts embarqués anciens passent quand même. Fais un audit avec l'onglet « Sécurité » des outils de développement du navigateur.

3. HSTS — dis au navigateur de mémoriser HTTPS

Sans HSTS (forçage HTTPS), chaque première visite inclut encore une requête HTTP simple qui peut être interceptée. Le correctif est un seul en-tête de réponse HTTP :

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

• max-age=31536000 — un an. Commence à un mois (2592000) pendant les tests, puis augmente.
• includeSubDomains — applique à tous les sous-domaines aussi. N'ajoute ça qu'une fois sûr que chaque sous-domaine sert du HTTPS.
• preload — éligible à être intégré dans les listes HSTS intégrées des navigateurs sur hstspreload.org. Ne soumets qu'une fois tout le reste stable ; se retirer de la liste prend des semaines.

4. Protocoles et chiffrements modernes

Désactive SSLv3, TLS 1.0 et TLS 1.1 — ils ont des faiblesses connues et aucun client moderne n'en a besoin. Active TLS 1.2 et TLS 1.3.

Pour nginx (base « intermédiaire » de Mozilla, générée depuis ssl-config.mozilla.org) :

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;

Pour Apache :

SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305
SSLHonorCipherOrder off

5. OCSP stapling et HTTP/2

L'OCSP stapling permet à ton serveur d'inclure le statut de révocation du certificat dans la poignée de main TLS, évitant un appel séparé (lent, parfois défaillant) du navigateur vers l'autorité de certification.

ssl_stapling on;
ssl_stapling_verify on;

HTTP/2 n'est pas une fonctionnalité de sécurité en soi, mais la plupart des vérificateurs de sécurité modernes considèrent son absence comme un signe d'une pile obsolète :

listen 443 ssl http2;

Raccourci si tu utilises Cloudflare

Si ton origine est derrière Cloudflare, la plupart de ce qui précède se règle en un clic :

• SSL/TLS → Vue d'ensemble : règle sur Full (strict).
• SSL/TLS → Certificats de périphérie : active « Toujours utiliser HTTPS », « Réécritures HTTPS automatiques », « Version TLS minimale : TLS 1.2 », et active HSTS via le panneau.
• Ça couvre ~80 % des problèmes TLS sans toucher au serveur d'origine.

Le renouvellement — la chose ennuyeuse qui mord

L'incident TLS le plus courant : « le certificat a expiré un dimanche matin, personne ne l'a remarqué, les clients n'ont pas pu accéder au site pendant six heures ». Deux défenses :

• Renouvellement automatique au niveau du certificat (Let's Encrypt le fait par défaut ; vérifie avec certbot renew --dry-run).
• Un moniteur externe — UptimeRobot, Better Uptime, BetterStack ou une alerte Cloudflare gratuite de type cron — qui te prévient 14 jours avant l'expiration.

Comment vérifier ta configuration

• Mozilla Observatory — gratuit, donne une note alphabétique et explique chaque déduction.
• SSL Labs SSL Test (Qualys) — le test TLS approfondi de référence, toujours pertinent en 2026.
• Scanthra — nos modules SSL/TLS, HSTS (forçage HTTPS) et en-têtes de sécurité résument les mêmes problèmes en langage clair et les livrent dans un PDF que tu peux remettre à un client ou un auditeur.

Les pièges courants

• Confusion SNI. Certains clients anciens sur la même adresse IP peuvent recevoir le mauvais certificat. Utilise un VirtualHost par certificat, garde le certificat du serveur par défaut valide.
• Sous-domaines oubliés. www. et cdn. ont souvent besoin de leurs propres certificats ou d'une entrée SAN sur le certificat principal.
• Blocages dus à HSTS. Si tu règles HSTS avec includeSubDomains avant que chaque sous-domaine ait TLS, ces sous-domaines deviennent inaccessibles pendant la durée max-age. Commence sans includeSubDomains.
• Paranoïa des suites de chiffrement. Interdire chaque chiffrement qui a eu une faiblesse un jour bloquera les utilisateurs sur de vieux téléphones. Le profil « intermédiaire » de Mozilla est un compromis sensé.

Comment Scanthra détecte les problèmes TLS

Notre module SSL/TLS vérifie : la validité et l'expiration du certificat, les versions de protocole supportées, la présence et la politique HSTS, la confiance dans la chaîne de certificats, et quelques erreurs de configuration courantes. Les problèmes apparaissent dans le rapport avec leur gravité, une explication en langage clair et un correctif à copier-coller — même format que dans cet article.