Vérificateur sécurité site
SSL + headers HTTP + HTTPS en 30 secondes
HTTPS est un signal de classement Google depuis 2014 — et en 2026, 95 % des résultats en première page sont en HTTPS (étude Backlinko). Mais avoir un certificat SSL ne suffit pas : 43 % des sites ont des headers de sécurité manquants (SecurityHeaders.com, 2024) et 12 % ont du mixed content (images HTTP sur pages HTTPS) qui déclenche un avertissement navigateur. Ce scanner vérifie tout en 30 secondes.
Le vérificateur de sécurité site Les Créavores analyse la sécurité de votre site web en 30 secondes. L'outil teste le certificat SSL (validité, expiration, chaîne), les headers HTTP de sécurité (HSTS, CSP, X-Frame-Options), la redirection HTTPS et le mixed content. Score /100 avec plan de correction. Gratuit.
Comment fonctionne le vérificateur sécurité site ?
La sécurité d'un site web repose sur plusieurs couches techniques. Le certificat SSL/TLS chiffre les échanges entre le navigateur et le serveur — il est obligatoire pour le HTTPS et expire tous les 90 jours (Let's Encrypt) ou 1 an (certificats payants). Les headers HTTP de sécurité protègent contre les attaques courantes : HSTS (force le HTTPS), Content-Security-Policy (bloque les scripts malveillants XSS), X-Frame-Options (empêche le clickjacking), X-Content-Type-Options (bloque le MIME sniffing), Referrer-Policy (contrôle les données transmises). La redirection HTTP→HTTPS doit être configurée en 301 permanent. Le mixed content (ressources HTTP chargées sur une page HTTPS) déclenche un avertissement « Non sécurisé » dans Chrome. Google utilise le HTTPS comme signal de classement et Chrome affiche un cadenas barré pour les sites non sécurisés — ce qui augmente le taux de rebond de 20-30 %.
Vérificateur sécurité site
Pour bénéficier de cet outil, demandez votre audit gratuit personnalisé.
Pourquoi utiliser notre
vérificateur sécurité site ?
Scan SSL complet
Validité du certificat, date d'expiration, chaîne de certificats, protocole TLS (1.2 ou 1.3), émetteur (Let's Encrypt, DigiCert, Sectigo). Alerte si le certificat expire dans moins de 30 jours.
Audit headers HTTP sécurité
Vérification des 6 headers critiques : Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy. Note de A (tous présents) à F (aucun).
Test redirection HTTPS
Vérification que HTTP redirige vers HTTPS en 301 permanent (pas 302 temporaire). Détection des chaînes de redirection (HTTP → HTTPS → www → final). Chaque redirection supplémentaire ajoute 100-300 ms de latence.
Détection mixed content
Scan des ressources HTTP chargées sur une page HTTPS : images, scripts, CSS, iframes. Le mixed content déclenche l'avertissement « Non sécurisé » dans Chrome et peut bloquer le chargement des ressources.
Score sécurité /100
Score composite : SSL (30 pts), headers (30 pts), redirection HTTPS (20 pts), mixed content (20 pts). Chaque critère est détaillé avec la correction recommandée. Objectif : 80/100 minimum pour un site professionnel.
Comment utiliser
le vérificateur sécurité site ?
- 1
Entrez l'URL de votre site
Page d'accueil de votre site. L'outil teste automatiquement le SSL, les headers, la redirection HTTPS et le mixed content.
- 2
Consultez le score sécurité
Score /100 avec détail par catégorie : SSL (validité, expiration, protocole), headers (A à F), redirection (301 vs 302), mixed content (nombre de ressources HTTP).
- 3
Appliquez les corrections
Plan de correction priorisé : d'abord les critiques (SSL expiré, pas de HTTPS), puis les importants (headers manquants), puis les recommandés (HSTS preload, CSP strict).
Questions fréquentes sur
le vérificateur sécurité site
Le HTTPS influence-t-il le SEO ?
Oui. Google utilise le HTTPS comme signal de classement depuis août 2014. En 2026, 95 % des résultats en première page sont en HTTPS (Backlinko). Un site HTTP non sécurisé est désavantagé dans le classement ET affiche un avertissement « Non sécurisé » dans Chrome — ce qui augmente le taux de rebond de 20-30 %.
Mon certificat SSL est-il gratuit ?
Let's Encrypt fournit des certificats SSL/TLS gratuits, automatiques et reconnus par tous les navigateurs. Renouvellement automatique tous les 90 jours. La plupart des hébergeurs (OVH, LWS, Ionos, o2switch) intègrent Let's Encrypt en 1 clic. Les certificats payants (DigiCert, Sectigo) ajoutent une validation d'entreprise (EV) mais n'ont pas d'avantage SEO.
Quels headers de sécurité sont obligatoires ?
Aucun n'est techniquement « obligatoire » mais 3 sont fortement recommandés : 1) Strict-Transport-Security (HSTS) — force le HTTPS. 2) X-Content-Type-Options: nosniff — bloque le MIME sniffing. 3) X-Frame-Options: DENY — empêche le clickjacking. Content-Security-Policy (CSP) est le plus puissant mais aussi le plus complexe à configurer.
Qu'est-ce que le mixed content ?
Le mixed content se produit quand une page HTTPS charge des ressources en HTTP (images, scripts, CSS). Le navigateur affiche un avertissement et peut bloquer les ressources HTTP. Cause fréquente : URLs en dur (http://...) dans le code au lieu de relatives (//... ou https://...). Solution : remplacer toutes les URLs HTTP par HTTPS dans le code et la base de données.
TLS 1.2 ou TLS 1.3 ?
TLS 1.3 (2018) est plus rapide (1 aller-retour au lieu de 2 pour le handshake) et plus sécurisé que TLS 1.2. En 2026, TLS 1.3 est supporté par 99 % des navigateurs. La plupart des hébergeurs modernes l'activent par défaut. TLS 1.0 et 1.1 sont obsolètes et bloqués par Chrome/Firefox depuis 2020.
Comment ajouter les headers de sécurité ?
Selon votre hébergement : Apache → fichier .htaccess (Header set X-Frame-Options "DENY"). Nginx → bloc server dans nginx.conf. Cloudflare → onglet Rules. WordPress → plugin Headers Security Advanced & HSTS WP. Vercel/Netlify → fichier de configuration (vercel.json, _headers). Notre plan de correction inclut le code exact pour votre hébergeur.
Explorez nos outils gratuits
Besoin d’aller plus loin que le vérificateur sécurité site ?
Nos experts analysent votre situation et vous proposent un plan d’action personnalisé. Audit offert, zéro engagement.