Sécuriser votre domaine avec SSL

WordPress.com fournit automatiquement des certificats SSL gratuits pour tous les domaines et sous-domaines hébergés sur WordPress.com. Dans ce guide, vous apprendrez à vérifier si votre site est sécurisé et à résoudre les problèmes SSL courants.

Le moyen le plus rapide de vérifier si votre site utilise SSL est de le visiter :

1. Accédez à votre site Web dans un navigateur Web.
2. Regardez la barre d’adresse pour voir une icône en forme de cadenas à côté de votre URL.
3. Si vous voyez une icône en forme de cadenas, votre site est sécurisé et dispose du protocole SSL.

S’il n’y a pas d’icône en forme de cadenas ou si vous voyez « Non sécurisé », vérifiez votre statut SSL via votre tableau de bord WordPress.com pour trouver des erreurs spécifiques qui doivent être résolues.

Si vous avez un domaine enregistré ou connecté à votre site WordPress.com, vous pouvez vérifier le statut SSL en suivant ces étapes :

1. Consultez le tableau de bord de votre site.
2. Accédez à Options payantes → Domaines (ou Hébergement → Domaines si vous utilisez WP Admin).
3. Cliquez sur votre nom de domaine.
4. Cliquez pour développer la section « Sécurité du domaine ».
5. Vous trouverez le statut du certificat SSL de votre site :
   • Certificat SSL actif : le certificat SSL est actif et votre site est sécurisé.
   • Certificat SSL en attente : le certificat SSL n’a pas encore été fourni.

Si vous voyez « Certificat SSL en attente » dans votre section Sécurité du domaine, cela signifie que WordPress.com travaille toujours à la configuration de votre certificat SSL.

Par ailleurs, en visitant votre site, vous pouvez rencontrer des erreurs telles que NET::ERR_CERT_COMMON_NAME_INVALID ou Votre connexion à ce site n’est pas sécurisée.

Vous pouvez également voir des messages d’erreur spécifiques dans votre section Sécurité du domaine qui doivent être corrigés :

Erreur d’enregistrements DNS CAA : ce domaine possède des enregistrements DNS CAA qui n’autorisent pas Let’s Encrypt à émettre un certificat. Veuillez mettre à jour ou supprimer les enregistrements DNS CAA.

Erreur de serveurs de noms mixtes : ce domaine est composé à la fois de serveurs de noms WordPress.com et externes. Veuillez mettre à jour les enregistrements NS.

Erreur de validation DNSSEC : ce domaine comporte des erreurs de validation DNSSEC. Vous devrez peut-être supprimer ou mettre à jour les données de l’enregistrement DS auprès de votre bureau d’enregistrement.

Suivez les instructions ci-dessous pour résoudre ces erreurs, puis approvisionnez manuellement votre certificat SSL.

Si votre domaine est connecté à partir d’un autre bureau d’enregistrement, assurez-vous d’avoir finalisé la connexion de domaine pour recevoir le certificat SSL WordPress.com. Pour les domaines connectés à nos serveurs de noms, assurez-vous également que DNSSEC est désactivé.

Pour les domaines enregistrés auprès de WordPress.com ou transférés vers WordPress.com, vérifiez que votre DNS est correctement configuré en procédant comme suit :

1. Depuis le tableau de bord de votre site, accédez à Options payantes → Domaines (ou Hébergement → Domaines si vous utilisez WP Admin).
2. Cliquez sur votre nom de domaine.
3. Cliquez sur la section Serveurs de nom et vérifiez que l’option « Utiliser les serveurs de noms WordPress.com » est activée.
4. Cliquez sur la section Enregistrements DNS, puis sur le bouton « Gérer ».
5. Assurez-vous que les enregistrements A et CNAME de votre domaine sont définis sur les valeurs par défaut pour WordPress.com :
   1. Cliquez sur les trois points en haut à droite de votre écran.
   2. Cliquez sur « Rétablir les enregistrements A par défaut » et/ou « Rétablir l’enregistrement CNAME par défaut » :

Une fois ces étapes terminées, votre site WordPress.com apparaîtra sur votre domaine après quelques heures et le SSL sera appliqué peu de temps après. Vous pouvez également fournir manuellement le certificat SSL.

Une fois que vous avez résolu les problèmes empêchant la fourniture du SSL de votre site, suivez ces étapes pour fournir manuellement le certificat SSL de votre site :

1. Consultez le tableau de bord de votre site.
2. Accédez à Options payantes → Domaines (ou Hébergement → Domaines si vous utilisez WP Admin).
3. Cliquez sur votre domaine.
4. Faites défiler vers le bas jusqu’à la section « Sécurité du domaine » et cliquez sur l’en-tête pour développer la section.
   • Si cette section est manquante, assurez-vous que votre nom de domaine est correctement configuré.
5. Cliquez sur le bouton « Fournir un certificat ».

Cette action engendrera une demande de certificat SSL pour votre domaine. Si vous n’avez pas encore résolu le problème sous-jacent qui empêchait l’application du protocole SSL à votre domaine, la fourniture du protocole SSL échouera.

Le certificat SSL de votre domaine se renouvelle automatiquement lorsque vous renouvelez votre domaine. Il n’est pas nécessaire de le faire séparément. Votre certificat SSL restera actif tant que le domaine sera connecté à un site WordPress.com.

WordPress.com considère qu’un chiffrement fort est tellement crucial que le SSL ne peut pas être désactivé. WordPress.com redirige également toutes les requêtes HTTP non sécurisées vers la version HTTPS sécurisée.

Les certificats SSL chiffrent la connexion entre les navigateurs de vos visiteurs et votre site Web. Cela protège les informations sensibles et indique que votre site est digne de confiance. Les navigateurs modernes affichent une icône en forme de cadenas pour les sites sécurisés et peuvent avertir les visiteurs sur les sites non sécurisés.

Tous les sites WordPress.com reçoivent automatiquement des certificats SSL gratuits. Vous n’avez rien à acheter ni à configurer.

Sur WordPress.com, les certificats SSL proviennent de l’autorité de certification Let’s Encrypt. Tous les certificats sur WordPress.com utilisent le même nom commun, tls.automattic.com, et conservent les noms de domaine uniques (regroupés par lots de 50 environ) dans l’attribut SubjectAltName. Tous les navigateurs modernes respectent cet attribut, de sorte que vos visiteurs et vous ne rencontrerez aucun avertissement de sécurité sur votre site.

TLS est la version mise à niveau de SSL, bien que les termes SSL et TLS soient souvent utilisés de manière interchangeable. WordPress.com prend en charge TLSv1.2 et TLSv1.3.

WordPress.com envoie également un en-tête Strict-Transport-Security (HSTS) avec toutes nos réponses HTTPS, ce qui garantit l’accès à votre site via https plutôt que le http moins sécurisé.