SSL HTTPS site Sénégal : ne plus jamais voir le cadenas barré
E-commerce de cosmétiques basé à Mermoz qui s'est retrouvé sans certificat SSL un lundi matin. Auto-renew Let's Encrypt cassé depuis 3 mois (la dirigeante n'avait pas vu les emails). Chrome affichait "Non sécurisé" en rouge à côté du nom de domaine. Résultat sur la journée : 23 paniers abandonnés au moment du paiement, 870 000 FCFA de chiffre d'affaires évaporés. Réparation en 25 minutes après notre intervention.
En 2026, un site sans HTTPS n'est plus un site. Chrome, Safari, Firefox affichent un avertissement explicite. Google déclasse le ranking SEO. Les API Wave, Orange Money, Stripe refusent l'intégration. Et surtout : aucun client sérieux ne renseigne sa CB sur un site marqué "Non sécurisé".
Pourquoi HTTPS est devenu non négociable
Trois raisons techniques solides en 2026 :
- Confiance utilisateur : 81 % des Sénégalais reconnaissent le cadenas vert (étude IPSOS Afrique 2025). Sans cadenas, taux de conversion divisé par 2 à 4 selon le secteur.
- SEO : signal de ranking Google depuis 2014, devenu critère majeur en 2023 avec l'indexation mobile-first.
- APIs paiement : Wave Business, Orange Money, Stripe, PayPal exigent HTTPS pour le webhook et le frontend.
Les 4 options SSL pour un site sénégalais en 2026
1. Let's Encrypt gratuit — la référence
C'est l'option par défaut depuis 2016. Certificat DV (Domain Validated), renouvelé tous les 90 jours automatiquement via le client 'certbot' ou via le panneau d'hébergement.
| Caractéristique | Détail |
|---|---|
| Coût | 0 FCFA |
| Validation | Automatique (challenge HTTP ou DNS) |
| Durée | 90 jours, auto-renew |
| Wildcard (*.domaine.com) | Oui, gratuit via DNS challenge |
| Support cPanel | Natif (AutoSSL) |
| Niveau confiance | DV — adapté 90 % des sites |
Idéal pour : sites vitrines, blogs, PME, e-commerce sous 50M FCFA / an. À éviter si : vous êtes une banque, assurance, ou plateforme institutionnelle qui veut afficher le nom de l'entité dans la barre d'adresse.
2. Cloudflare Flexible SSL gratuit
Quand vous activez Cloudflare (gratuit) sur votre domaine, vous obtenez d'office un certificat SSL partagé qui couvre le trafic visiteur ↔ Cloudflare. Le trafic Cloudflare ↔ votre serveur peut rester en HTTP (mode Flexible) ou être chiffré séparément (mode Full ou Full Strict).
Setup en 15 minutes, zéro maintenance. Le piège : en mode Flexible, votre origine n'est pas chiffrée, ce qui pose un risque de man-in-the-middle entre Cloudflare et votre VPS. Préférer toujours Full ou Full Strict avec un certificat d'origine Cloudflare (15 ans, gratuit) installé sur votre serveur.
3. Certificat payant DV / OV — pour qui en a besoin
Hosts comme Sectigo, Comodo, GeoTrust proposent des SSL DV à 15 000 à 60 000 FCFA / an. Aucun avantage technique vs Let's Encrypt. Le seul intérêt est l'assurance (Sectigo couvre jusqu'à 250 000 $ en cas de fraude). On ne le recommande jamais à une PME standard.
4. EV SSL (Extended Validation)
Le plus haut niveau : DigiCert ou GlobalSign vérifient l'existence légale de l'entité (Kbis, NINEA, justificatifs banque). Le navigateur affiche le nom de la société dans la barre d'adresse. Coût : 250 à 700 $/an selon le fournisseur.
Pour qui : banques, assurances, e-commerce > 200M FCFA / an, plateformes institutionnelles. Pour une PME standard sénégalaise, c'est du sur-équipement.
Tableau récapitulatif des coûts au Sénégal
| Option | Coût annuel FCFA | Niveau | Pour qui |
|---|---|---|---|
| Let's Encrypt + cPanel AutoSSL | 0 | DV | 90 % des PME |
| Cloudflare Flexible / Full | 0 | DV partagé | Sites avec Cloudflare |
| Cloudflare Origin Cert (15 ans) | 0 | DV | Sites Cloudflare Full Strict |
| Sectigo DV payant | 15-60k | DV | Cas rares |
| Sectigo OV | 90-180k | OV (org validée) | Sites B2B intermédiaires |
| DigiCert EV | 150-450k (250-700 $) | EV | Banques, e-com gros volume |
Installation Let's Encrypt sur cPanel — pas à pas
La plupart des hébergeurs sénégalais (1Africahost, HostKey, Senehost) proposent cPanel avec AutoSSL Let's Encrypt activé. Procédure :
- Connexion cPanel → section 'Security' → 'SSL/TLS Status'
- Cocher le domaine principal + sous-domaines à couvrir
- Cliquer 'Run AutoSSL'
- Attendre 2 à 5 minutes — le certificat est émis et installé
- Forcer la redirection HTTP vers HTTPS via le fichier '.htaccess' (l'hébergeur a souvent un toggle)
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
Coût : 0 FCFA. Temps : 15 minutes. Renouvellement automatique tous les 60 à 80 jours.
Installation Let's Encrypt sur VPS dédié — certbot
Pour un VPS DigitalOcean, OVH, Hetzner sans cPanel :
- SSH sur le serveur
- Installer certbot ('apt install certbot python3-certbot-nginx' sur Debian/Ubuntu)
- Lancer 'certbot --nginx -d votredomaine.com -d www.votredomaine.com'
- Suivre l'assistant (email + acceptation CGU)
- Cron auto-renew est ajouté automatiquement
Coût : 0 FCFA. Temps : 25 à 50k FCFA si vous le faites faire par un prestataire (1 heure de travail typique).
Les 5 erreurs SSL classiques à Dakar
- Mixed content : page chargée en HTTPS mais qui inclut des images en HTTP — Chrome bloque ou affiche un avertissement
- Auto-renew cassé : certbot installé mais cron oublié — le certificat expire à 90 jours sans alerte
- Sous-domaines non couverts : 'blog.domaine.com' oublié dans le SAN
- HSTS trop agressif : 'max-age' à 1 an activé avant validation complète, impossible de revenir en arrière
- Cloudflare en mode Flexible sans s'en rendre compte — origine en clair
Notre méthode en 1 journée
Audit : 1 heure (qualys SSL Labs grade, vérification auto-renew, mixed content scan).
Setup : 2 heures (Let's Encrypt ou Cloudflare Full Strict + Origin Cert).
Tests : 1 heure (test multi-device, validation HSTS, vérification paiements).
Documentation client : 30 minutes (procédure de vérification mensuelle).
Pour : tout site sans HTTPS, ou avec certificat expiré, ou avec mixed content. À éviter si : votre cas demande EV SSL (on vous oriente vers DigiCert via un partenaire).
WhatsApp +221 77 596 93 33 ou audit SSL gratuit 15 minutes sur /fr/devis-gratuit.
FAQ
Combien coûte vraiment un certificat SSL pour un site PME au Sénégal ?
0 FCFA dans 90 % des cas. Let's Encrypt sur cPanel ou Cloudflare gratuit suffit largement. Si votre prestataire facture 50 à 100k FCFA / an pour "le SSL", c'est qu'il vend un service de configuration, pas le certificat lui-même.
Let's Encrypt est-il sécurisé pour un e-commerce ?
Oui, totalement. Cryptographie identique aux certificats payants (RSA 2048 ou ECDSA), reconnu par tous les navigateurs. La différence avec un EV SSL est la validation de l'identité légale, pas la robustesse du chiffrement.
Mon site est sur WordPress chez 1Africahost, comment activer SSL ?
Via cPanel → 'SSL/TLS Status' → 'Run AutoSSL' (procédure ci-dessus). Puis installer le plugin 'Really Simple SSL' qui force la redirection HTTPS et corrige le mixed content en 2 clics.
HSTS, c'est quoi et faut-il l'activer ?
HSTS (HTTP Strict Transport Security) force le navigateur à toujours utiliser HTTPS, même si l'utilisateur tape 'http://'. C'est recommandé une fois que tout est testé. Commencer avec 'max-age=86400' (1 jour) avant de passer à 1 an pour pouvoir revenir en arrière en cas de problème.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.
