Passage d’un site http en https
L’actualité internationale du moment concernant les logiciels malveillants m’offre l’occasion de vous sensibiliser à la sécutité des sites Internet.
Nous en avons eu déjà un aperçu désagréable avec les sites Joomla dont la version était devenue obsolète!
Une autre point à traiter concerne la sécurisation des informations personnelles qui peuvent être fournies par les visiteurs des sites.
Les sites Web sont accédés traditionnellement en http, ce qui peut poser des problèmes se sécurité car les mots de passe en particulier sont transportés en clair sur le réseau Internet.
De plus, certains navigateurs comme Mozilla Firefox affichent un message de type popup (“Connexion non sécurisée”) au moment de la saisie d’un identifiant/mot de passe si le site est de type http et non https.
Par ailleurs, à gauche de la barre des tâches sous Firefox et Chrome apparait un sigle informatif qui peut inciter le visiteur à passer son chemin.
Message affiché par Chrome (ci-dessus)
Message affiché par Firefox (ci-dessus)
Heureusement, il est facile de contrer cette vulnérabilité en passant le site en version https (http Sécurisé) .
Le CDH 35 vient d’opérer ce passage pour le domaine de test handisport35mig.ovh.
En plus du test « technique » de conformité du site après le passage en hhttps, nous avons contrôlé le bon fonctionnement sous les 3 navigateurs Firefox, Google Chrome et Edge .
En plus de https qui apparait au lieu de http et du cadenas vert qui apparait devant l’adresse, le message d’information a bien été modifié et le message « connexion sécurisée » apparait en vert.
Mode opératoire: les différentes étapes du passage en https
-
S’assurer d’avoir un certificat SSL sur l’hébergeur.
C’est une option (gratuite sur la plupart des offres) qu’il faut activer : chez OVH, cf. La gestion du certificat SSL gratuit ; chez 1and1, cf. Configurer un certificat ssl starter. (Note : chez 1and1, le certificat SSL Starter n’est gratuit que pour un domaine ou un sous-domaine tandis que chez OVH, le certificat Let’s Encrypt peut être activé sans surcoût sur un maximum de 100 domaines et/ou sous domaines, par hébergement).
-
Changer toutes les URLs absolues de la base de données au moyen de l’outil Search-Replace-DB-master.
Exemple, pour un site accessible via les URL « http://www.mon_site.fr » et « http://mon_site.fr », on modifiera « http://www.mon_site.fr » en « https://www.mon_site.fr » et « http://mon_site.fr » en « https://mon_site.fr »
-
Rediriger les appels http en HTTPS (301) via fichier .htaccess.
Pour cela, ajouter les lignes suivantes à la fin du fichier .htaccess sous le répertoire racine du site, en le créant si besoin :
# BEGIN Redirect https 301 (= permanent)
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
# END Redirect https
A voir aussi
-
Modifier les paramètres de référencement : cf. Quelques éléments de référencement
-
Tester le site en HTTPS : www.ssllabs.com/ssltest/
