Comment bien configurer les certificats SSL

3 juin 2026 · 6 minutes de lecture

Customer Care Engineer

Publié le 3 juin 2026

How to Set Up SSL Certificates Right

Une configuration SSL fonctionnelle, ce n’est pas simplement « installer le certificat et c’est terminé ». Le certificat doit correspondre au domaine, la clé privée doit rester sur le bon serveur, le DNS doit pointer là où vous pensez qu’il pointe, et votre serveur web doit présenter le bon certificat pour le bon nom d’hôte. Si vous cherchez comment configurer des certificats SSL sans mauvaise surprise à 2 heures du matin, voici la voie la plus pratique.

Comment configurer des certificats SSL sans tâtonner

Commencez par une question : qu’êtes-vous exactement en train de sécuriser ? Un domaine unique comme example.com nécessite une portée de certificat différente d’une configuration avec www.example.com, app.example.com et shop.example.com. Si vous choisissez le mauvais type de certificat au départ, vous risquez de devoir le réémettre cinq minutes plus tard, ce qui n’est pas tragique, mais pas très élégant non plus.

Pour la plupart des entreprises, il existe trois options courantes. Un certificat mono-domaine couvre un seul nom d’hôte. Un certificat wildcard couvre des sous-domaines tels que anything.example.com, mais pas toujours le domaine racine, sauf s’il est inclus explicitement. Un certificat multi-domaine ou SAN couvre plusieurs noms d’hôte désignés. Le bon choix dépend de votre schéma de trafic réel, pas de ce qui paraît plus avancé.

La vérification suivante concerne la validation de propriété. Les autorités de certification ont besoin d’une preuve que vous contrôlez le domaine. Cela se fait généralement via une validation HTTP, une validation DNS ou parfois une validation par e-mail. HTTP est souvent le plus rapide lorsque le site web est déjà accessible sur le serveur. Le DNS est plus fiable pour les wildcards et pour les environnements derrière des proxies, des équilibreurs de charge ou des règles de préproduction qui compliquent la validation web. Ce n’est parfois pas la plus belle situation DNS, mais elle reste maîtrisable si vous savez quelle méthode convient à la configuration.

Préparez le serveur avant d’installer quoi que ce soit

Avant de générer une CSR ou de cliquer sur un bouton d’installation automatique, vérifiez quatre choses. Le domaine doit se résoudre vers la bonne IP publique. Les ports 80 et 443 doivent être ouverts dans le pare-feu. Le serveur web doit déjà savoir quel hôte virtuel ou quel server block répondra pour le domaine. Et l’heure système du serveur doit être correcte, car SSL et une heure erronée ont de vieux différends.

Si vous utilisez Nginx ou Apache, vérifiez d’abord la configuration existante du site. Un certificat peut être parfaitement valide et quand même échouer dans le navigateur si le serveur web envoie un certificat par défaut provenant d’un autre site sur la même machine. C’est particulièrement courant sur des nœuds VPS hébergeant plusieurs domaines. SNI résout cela, mais seulement si le mappage vhost est correct.

Vous devez également décider si vous voulez une gestion manuelle des certificats ou un renouvellement automatisé. Le manuel peut être acceptable pour un environnement unique avec peu de changements, mais il crée un risque opérationnel. La plupart des équipes n’oublient pas les renouvellements volontairement. Elles oublient parce qu’elles sont occupées à faire un travail qui génère des revenus au lieu de surveiller des dates d’expiration.

Générez correctement la demande de certificat

Si votre panneau de contrôle gère cela, utilisez-le. Sinon, générez une clé privée et une CSR sur le serveur où le certificat sera utilisé. La clé privée ne doit pas être envoyée par e-mail, déposée dans un chat partagé ou copiée sur des ordinateurs portables pris au hasard. Les journaux racontent la même histoire à chaque fois : la gestion des clés devient trop décontractée juste avant que quelqu’un ne passe une mauvaise semaine.

La CSR doit inclure le common name correct et tous les subject alternative names requis. Pour les navigateurs modernes, les entrées SAN comptent davantage que l’ancien champ common name. Si vous avez besoin à la fois de example.com et de www.example.com, assurez-vous que les deux sont inclus. Omettre un nom d’hôte est une source classique de confusion du type « chez moi ça marche, pas chez les clients ».

Pour l’émission automatisée, des outils tels que les clients ACME prennent cette étape en charge pour vous. Ils peuvent générer des clés, effectuer la validation, installer les certificats et planifier les renouvellements. C’est la voie la plus propre pour de nombreux environnements VPS et d’hébergement géré, en particulier là où la disponibilité et la répétabilité comptent plus que le cérémonial manuel.

Installez le certificat SSL sur votre serveur web

Une fois le certificat émis, installez le fichier de certificat avec tout bundle intermédiaire requis et la clé privée correspondante. Les chemins de fichiers exacts et les directives dépendent du serveur web.

Sur Nginx, vous définissez le certificat et la clé dans le server block pour le port 443. Sur Apache, vous configurez le fichier de certificat, le fichier de clé et la chaîne dans le VirtualHost concerné. Si vous utilisez un panneau de contrôle, celui-ci peut placer ces valeurs pour vous et reconstruire la configuration automatiquement.

Après l’installation, rechargez le serveur web proprement au lieu d’effectuer un redémarrage brutal, sauf s’il y a une raison de le faire. Un rechargement applique le nouveau certificat tout en réduisant les perturbations au minimum. Ensuite, vérifiez ce que le serveur présente réellement, pas ce que vous pensez qu’il devrait présenter. Les navigateurs mettent agressivement en cache, et les proxies inverses peuvent masquer des erreurs plus longtemps que ce qui est sain.

Forcez HTTPS avec soin, pas à l’aveugle

Une fois le certificat actif, redirigez le trafic HTTP vers HTTPS. C’est standard, mais le timing compte. Ne forcez pas HTTPS avant que le certificat soit valide et servi correctement, sinon vous créez un chemin rapide vers les avertissements du navigateur.

Définissez une redirection 301 de HTTP vers HTTPS soit au niveau du serveur web, soit dans la couche applicative, mais évitez d’empiler les deux sauf si vous avez une raison. Trop de règles de redirection créent des boucles, des noms d’hôte mixtes ou un comportement qui change selon les environnements. Faites simple.

Si le site utilise des ressources provenant d’anciennes URL HTTP, mettez-les à jour. Les avertissements de contenu mixte apparaissent lorsque la page se charge via HTTPS mais récupère des scripts, images, polices ou feuilles de style via HTTP. Le certificat peut être parfait et le cadenas avoir quand même l’air mécontent. Les pages de paiement e-commerce et les tableaux de bord SaaS en particulier doivent être vérifiés page par page, pas seulement sur la page d’accueil.

Testez la configuration comme une personne qui ne fait pas confiance à la chance

Ouvrez le site dans un navigateur et examinez les détails du certificat. Confirmez que le nom d’hôte correspond, que les dates de validité sont correctes et que la chaîne complète est présentée. Ensuite, testez depuis la ligne de commande si possible. Vous voulez voir exactement quel certificat le serveur renvoie pour le nom d’hôte demandé.

Vérifiez ces points pratiques après l’installation :

Le domaine racine et la version www fonctionnent tous deux comme prévu
La chaîne de certificats est complète
HTTP redirige vers HTTPS une seule fois, pas trois
Le serveur web sert le certificat prévu pour chaque nom d’hôte
Le renouvellement est configuré et effectivement planifié

Si vous utilisez un CDN ou un proxy inverse, assurez-vous que le certificat se trouve au bon endroit. Certaines configurations terminent SSL au niveau du proxy puis envoient du HTTP en clair à l’origine. D’autres utilisent un chiffrement de bout en bout avec des certificats à la fois sur le proxy et sur l’origine. Aucune de ces approches n’est universellement bonne ou mauvaise. Cela dépend de votre modèle de sécurité, de la confiance dans le réseau interne et des besoins de l’application.

Problèmes SSL courants et ce qu’ils signifient généralement

Un avertissement du navigateur concernant une incompatibilité de nom d’hôte signifie généralement que le mauvais certificat est servi, souvent parce que le vhost par défaut intercepte la requête. Un avertissement de « chaîne incomplète » signifie que des intermédiaires manquent. Un certificat expiré est évident, même si cela reste d’une certaine manière populaire. Les échecs de validation indiquent souvent des enregistrements DNS qui ne correspondent pas au serveur visé, une mise en cache au niveau DNS ou un pare-feu bloquant les requêtes de challenge HTTP.

Les échecs de renouvellement méritent une attention particulière. Si vous comptez sur un SSL automatisé puis modifiez ensuite le DNS, ajoutez un proxy ou renforcez les règles du pare-feu, le chemin de renouvellement peut se casser silencieusement. La première installation a fonctionné, tout le monde s’est détendu, et soixante jours plus tard le problème revient au mauvais moment. C’est pourquoi la surveillance de l’expiration des certificats n’est pas facultative en production. C’est une hygiène opérationnelle de base.

Configuration SSL gérée ou autogérée

Si vous exploitez votre propre stack, configurer SSL manuellement vous donne un contrôle total. Vous choisissez la méthode de validation, le stockage des clés, la politique de chiffrement, le comportement de redirection et le processus de déploiement. C’est utile pour les infrastructures personnalisées, les services en cluster ou les environnements à conformité stricte.

Le compromis, c’est la responsabilité opérationnelle. Quelqu’un doit surveiller les renouvellements, confirmer la réussite de la réémission et détecter les changements qui cassent la validation. Pour les petites équipes, les agences et les fondateurs qui portent déjà cinq casquettes, l’hébergement géré avec automatisation SSL est souvent l’option la plus sereine. Une bonne plateforme supprime le travail répétitif sans masquer le comportement sous-jacent du serveur. Chez kodu.cloud, c’est généralement l’idée : moins de stress, tout en gardant suffisamment de contrôle.

Comment configurer des certificats SSL pour une stabilité à long terme

L’installation n’est que la première étape. Une configuration stable comprend le renouvellement automatique, la surveillance de l’expiration, des mappages vhost clairs et l’habitude de revérifier SSL après des changements DNS ou proxy. Si le site est critique pour l’activité, traitez l’état des certificats de la même façon que les sauvegardes et les alertes de disponibilité. Les systèmes silencieux sont de bons systèmes.

Gardez vos clés privées protégées, gardez votre processus de renouvellement automatique lorsque c’est possible, et gardez votre méthode de validation alignée sur la manière dont le trafic atteint réellement votre serveur. Si le service redevient calme après cela, vous avez bien fait les choses.

Andres Saar Customer Care Engineer

Comment configurer des certificats SSL sans tâtonner​

Préparez le serveur avant d’installer quoi que ce soit​

Générez correctement la demande de certificat​

Installez le certificat SSL sur votre serveur web​

Forcez HTTPS avec soin, pas à l’aveugle​

Testez la configuration comme une personne qui ne fait pas confiance à la chance​

Problèmes SSL courants et ce qu’ils signifient généralement​

Configuration SSL gérée ou autogérée​

Comment configurer des certificats SSL pour une stabilité à long terme​