Je vois encore trop de sites sans HTTPS. Quand un client me contacte pour un site WordPress qui affiche « Non sécurisé » dans Chrome, je sais que son taux de conversion en prend un coup. Les visiteurs fuient, Google pénalise le référencement, et la crédibilité s’effondre.
Le certificat SSL transforme votre HTTP en HTTPS. Il chiffre les données entre le navigateur et votre serveur. Résultat : vos formulaires de contact, vos paiements en ligne et les données personnelles de vos visiteurs sont protégés. Let’s Encrypt a révolutionné ce marché en proposant des certificats gratuits, automatisés et reconnus par tous les navigateurs.
Je vais vous expliquer comment fonctionne Let’s Encrypt, comment l’installer sur votre hébergement, et surtout comment éviter que votre certificat expire sans prévenir.
Pourquoi Let’s Encrypt change la donne pour les TPE
Avant Let’s Encrypt, les certificats SSL allaient entre 50 et 200 euros par an pour mes clients. Les petites entreprises hésitaient, repoussaient, et leurs sites restaient en HTTP. L’autorité de certification Let’s Encrypt a éliminé cette barrière financière.
Le principe : une autorité de certification à but non lucratif, soutenue par les géants du web, délivre des certificats gratuitement. Ces certificats ont exactement la même valeur technique qu’un certificat payant. Le cadenas vert s’affiche, les navigateurs font confiance, Google vous récompense en SEO.
La seule différence visible : la durée de validité. Un certificat Let’s Encrypt dure 90 jours contre un an pour les versions payantes. Cette courte durée force l’automatisation du renouvellement, ce qui améliore paradoxalement la sécurité. Un certificat qui se renouvelle automatiquement tous les 90 jours ne risque jamais d’expirer par oubli.
Pour mes clients cela signifie un HTTPS gratuit, automatique, sans manipulation technique annuelle. Je configure le système une fois, il tourne ensuite en autonomie.
Installation : trois méthodes selon votre hébergement
L’installation dépend totalement de votre environnement d’hébergement. Je vais détailler les trois cas que je rencontre le plus souvent.
Hébergement mutualisé avec interface : la majorité des hébergeurs français proposent désormais Let’s Encrypt directement dans leur panneau de contrôle. Chez OVH, o2switch ou Infomaniak, vous trouvez une section SSL. Vous cliquez, vous activez, vous attendez quelques minutes. Le certificat s’installe automatiquement et se renouvelle sans intervention.
Je recommande cette option. Aucune ligne de commande, aucun risque. L’hébergeur gère tout, y compris le renouvellement automatique. Vérifiez simplement que votre offre inclut cette fonctionnalité.
Hébergement WordPress managé : les plateformes spécialisées comme WP Engine ou Kinsta incluent systématiquement Let’s Encrypt. L’activation se fait en un clic depuis leur interface. Ils gèrent infrastructure, installation et renouvellement.
Le renouvellement automatique : comment ça fonctionne vraiment
Le renouvellement automatique reste le point qui inquiète le plus mes clients. Ils imaginent leur site bloqué du jour au lendemain par un certificat expiré. Je vais démystifier ce processus.
Un certificat Let’s Encrypt expire après 90 jours. Certbot ou votre hébergeur lance une vérification quotidienne. Dès que le certificat atteint 60 jours d’âge, le système tente un renouvellement. Si cela échoue, il réessaie le lendemain. Vous avez donc 30 jours de marge pour corriger un problème éventuel.
Le renouvellement suit le même processus que l’installation initiale : vérification de votre contrôle du domaine, puis délivrance d’un nouveau certificat. Votre serveur web recharge sa configuration, le nouveau certificat devient actif. Tout cela se passe en arrière-plan, sans interruption de service.
Les problèmes surviennent dans trois situations que je rencontre régulièrement. Première situation : vous avez migré votre site vers un nouvel hébergeur mais l’ancien serveur tente encore de renouveler. Les enregistrements DNS pointent vers le nouveau serveur, la vérification échoue. Solution : désactiver le renouvellement sur l’ancien serveur.
Deuxième situation : un plugin de sécurité WordPress bloque les tentatives de vérification. Let’s Encrypt essaie d’accéder au fichier de validation, votre firewall refuse. Je configure alors une exception pour le dossier de validation.
Troisième situation : votre tâche automatique a été supprimée lors d’une mise à jour serveur. Le certificat ne se renouvelle plus. Je conseille de vérifier tous les trois mois que votre certificat a bien été renouvelé. Un simple coup d’œil dans votre navigateur suffit : cliquez sur le cadenas, regardez la date d’expiration.
Configuration WordPress après installation SSL
Installer le certificat ne suffit pas. WordPress continue de générer des liens HTTP si vous ne le configurez pas correctement. Je vois souvent des sites avec un certificat actif mais qui affichent encore des alertes de contenu mixte.
Le contenu mixte se produit quand votre page HTTPS charge des ressources en HTTP : une image, un script, une feuille de style. Le navigateur affiche alors une alerte, le cadenas disparaît ou devient orange. Votre HTTPS perd tout son intérêt.
Première étape : modifier les URL WordPress dans les réglages généraux. Remplacez http:// par https:// dans l’adresse web de WordPress et l’adresse de votre site. Cette manipulation force WordPress à générer tous les nouveaux liens en HTTPS.
Deuxième étape : mettre à jour les anciennes URL dans la base de données. J’utilise une extension comme Better Search Replace qui cherche toutes les occurrences de votre ancienne URL HTTP et les remplace par la version HTTPS. Cette opération modifie vos articles, vos pages, vos réglages de thème et vos options d’extensions.
Troisième étape : configurer une redirection permanente de HTTP vers HTTPS. Sans cela, votre site reste accessible en HTTP et Google indexe les deux versions. Je modifie le fichier de configuration du serveur pour rediriger automatiquement tout trafic HTTP vers HTTPS. Sur Apache, cette redirection s’ajoute dans le fichier htaccess.
Quatrième étape : vérifier votre Search Console Google. Ajoutez la version HTTPS comme nouvelle propriété si elle n’existe pas déjà. Google traite HTTP et HTTPS comme deux sites différents. Vous devez lui indiquer votre version préférée.
En définitive
Le HTTPS n’est plus optionnel. Google le favorise en référencement, les navigateurs affichent des alertes effrayantes sur les sites HTTP, vos visiteurs exigent cette sécurité de base. Let’s Encrypt a supprimé la barrière financière, l’automatisation a éliminé la complexité technique. Vous n’avez plus aucune excuse pour rester en HTTP.
Si votre site affiche encore « Non sécurisé », contactez-moi. Je configure votre certificat Let’s Encrypt, je sécurise votre WordPress, je mets en place la surveillance. Votre site passera en HTTPS en quelques heures, sans coût récurrent, sans manipulation annuelle. Vos visiteurs verront le cadenas, Google améliorera votre positionnement, vos conversions augmenteront.