Pour faire de l'https (là en théorie mon site est en http), il faut acheter un "certificat" à installer sur son serveur Web.
En gros ce certificat identifie votre domaine (pour moi ce serait arfy.fr) auprès un organisme "extérieur" de certification qui est défini/décrit dans votre browser. Et c'est ACTUELLEMENT payant (ils disent de 15€ à 350€ par an).
Pour info, de même maintenant quand vous installez un logiciel, il est généralement fourni/soumis à un certificat payany et si non, sous Windows, vous avre un joli message en jaune qui dit "attention, êtes vous sûr de ce que vous faites ? Bla bla...".
C'est compliqué (assez) à mettre en œuvre sur un serveur, et encore plus compliqué à (tout) comprendre (et pourtant j'ai le nez dedans !!!).
Ça sert à quoi ?
- (alors déjà pour la suite, TOUT est perfectible dans le monde de la sécurité, des cadena,s des serrures... je ne vais pas le rappeler... mais c'est là et c'est tant mieux)
- à ouvrir un tuyau "un peu sécurisé", "pas mal crypté" entre votre browser et le site web en https
- pour arriver à ouvrir ce tuyau "sécurisé", il y a d'abord un échange entre votre browser et le site web en https
- votre browser va vérifier si le certificat publique que donne le site est validé par une autorité de confiance
- si non, on voit un joli "aoh lala, attention, ce site est peut être pas sûr !!!" mais on peut passer outre quand même...
- Ensuite il y a un échange de bon procédés, on appelle ça handshake ou "on se sert la main" pour ouvrir le tuyau sécurisé et échanger les clés de cryptage
- Et seulement ENFIN, le browser va commencer à charger la page web...
Source:
La papage qui, j'espère, va délivrer des certificats l'été 2015: letsencrypt.org/