Entreprendre

Comment sécuriser votre site avec HTTPS ? 

Merci de partager !

Comment sécuriser votre site ?

Comment sécuriser son site ? En passant de HTTP à HTTPS.

Vous avez peut-être essayé de venir sur mon site ces dernières jours : j’étais occupée à effectuer une mise à jour de sécurité. Alors, désolée de vous avoir manqué.

Avez-vous déjà rencontré les messages « Connexion non sécurisée » ou « Paiement non sécurisé » lors de vos déplacements sur internet ? Peut-être même êtes-vous tombés sur une de ces inquiétantes bannières rouges que les moteurs de recherche vous affichent de temps à autre.

Tous les messages font référence à l’emploi du protocole HTTP.

Différence entre les protocoles HTTP et HTTPS

Le protocole HTTPS est la version sécurisée du protocole HTTP (la lettre s signifie sécure). Si le site sur lequel vous êtes utilise le protocole HTTPS, le site est sécurisé. Cela signifie :

1)        Que les données que vous échangez avec le site sont chiffrées (c’est-à-dire, cryptées).

2)        Que vous êtes bien sur le bon site, le site original, et non sur une version trafiquée du site que vous pensiez rejoindre.

 Dans le protocole HTTP, les échanges se sont font sans cryptage. Les données que vous échangez sont en clair, non cryptées. Un tiers pourrait les voir, les modifier ou se les approprier (on appelle ce type d’attaque Man in The Middle). 

 

Quel risque encourez-vous?

Le risque que vous encourez dépend du type de site que vous visitez et de la sensibilité des données que vous exposez à ce site. La plupart du temps, vous visitez des sites sans exposer des informations sensibles (courriel, mots de passe, numéros de compte, cartes de crédit…). En revanche, il en va tout autrement lorsque vous vous connectez à des sites comme celui de votre banque. Les informations que vous échangez deviennent alors fort sensibles. 

Comment savoir si un site est sécure ?

On voit qu’un site est sécure lorsque le moteur de recherche affiche, dans la barre d’adresse, https:// plutôt que http : //  devant son nom de domaine. Un symbole de sécurité s’affiche dans le navigateur, à gauche de l’adresse. Habituellement, il s’agit de la fameuse icône verte en forme de cadenas qui apparaît dans la barre de navigation.

Autres avantages de sécuriser votre site

L’utilisation du protocole HTTPS protège des écoutes clandestines et assure la légitimé du site, mais il y a également deux autres avantages: le référencement de votre site s’en voit amélioré et la confiance en votre site augmente.

Le référencement de votre site s’en voit amélioré

En 2014, Google a annoncé que la présence de HTTPS serait prise en compte lors du référencement des sites. Il s’agit toutefois d’un critère parmi beaucoup d’autres. L’aspect qualitatif du site demeure encore le critère principal. 

La confiance en votre site augmente

La présence de HTTPS permet de renforcer la confiance des visiteurs.

Comment pouvez-vous sécuriser votre site ?

Pour bénéficier du protocole HTTPS, vous avez besoin qu’une autorité de certification vous délivre un certificat SSL/TLS (SSL, pour Secure Socket Layer, est la première version du protocole de sécurisation TLS, Transport Layer Security). Ce certificat permet de chiffrer la connexion et de vérifier l’identité du site.

Des organismes, dits tiers de confiance, délivrent les certificats SSL/TLS. Il en existe plusieurs : Comodo, GlobalSign, NameCheap…

Vous pouvez acheter votre certificat SSL/TLS par l’intermédiaire de votre hébergeur ou directement de l’autorité de certification. Les prix varient en fonction du niveau de garantie qui accompagne le certificat. Sachez néanmoins que vous pouvez vous procurer un certificat gratuit, sans garantie, de l’organisme Let’s Encrypt. Dans la majorité des cas, ce certificat suffit.

Let’s Encrypt, l’autorité qui certifie gratuitement

Let’s Encrypt est l’autorité de certification qui fournit les certificats SSL/TLS gratuitement. De nombreux acteurs soutiennent et financent Let’s Encrypt : Facebook, Google… Aussi, aujourd’hui, les hébergeurs proposent à leurs clients les certificats de Let’s Encrypt. C’est le cas de mon hébergeur BlueHost.

Un conseil avant de sécuriser votre site

Avant de procéder à l’activation d’un certificat, vous devez vous assurer d’avoir compris la totalité de la démarche, car vous pourriez perdre l’accès à votre site, dans l’exercice, par manque de connaissances.
Votre site pourrait par exemple être pris dans une boucle infinie de redirections qui l’empêche de s’afficher correctement ou les compteurs de partage de Facebook et de Twitter pourraient être réinitialisés.
Alors, avant de procéder, attentez de bien comprendre toutes les étapes de la démarche. Et faites une copie de sauvegarde ! Si vous ne savez pas comment faire une sauvegarde, voici un tutoriel :

Comment activer un certificat Let’s Encrypt via l’hébergeur BlueHost

Si, comme moi, vous hébergez votre site chez Bluehost, vous pouvez activer le certificat de Let’s Encrypt en un simple clic. Ouvrez une session et rendez-vous au panneau de contrôle cPanel. Vous pouvez repérer les certificats SSL sur l’onglet Addons.

Une fois que vous avez activé l’installation du certificat, vous allez recevoir un message vous annonçant que le certificat SSL est installé sur votre domaine. Vous pourriez avoir besoin que prendre d’autres mesures pour terminer le processus. Surveillez votre courriel, car vous pourriez recevoir des instructions de la part de votre hébergeur.

Répercuter les changements que vous venez d’effectuer peut prendre quelques heures, voire une journée. Soyez patients.

Comment tester votre certificat ?

Vous avez la possibilité de tester le bon fonctionnement de votre certificat avec l’outil www.ssllabs.com.

Un récapitulatif sur le niveau de sécurité de votre site s’affiche.

Ce que vous devez faire après l’activation du certificat

Vous avez trois opérations à effectuer après avoir activé votre certificat :

1)  Rediriger votre site de HTTP à HTTPS.

2)  Mettre à jour les endroits où vous référez à votre site.

3) Traiter le cas particulier des contenus mixtes.

Comment définir une redirection de HTTP à HTTPS

Une fois que vous avez activé votre certificat (c’est-à-dire que votre site fait appel au protocole HTTPS), vous devez tout rediriger vers HTTPS.

Certains hébergeurs proposent de gérer les redirections au niveau de leur tableau d’administration. Ils vous demandent alors de choisir le type de redirection, soit 301 ou 302.

Une redirection 301 est permanente : elle permet de mettre à jour les signets des visiteurs et dirige les moteurs de recherche vers le nouveau site. Une redirection 302 est temporaire. Elle redirige le visiteur ou le moteur de recherche, mais ne met pas à jour le signet. Le moteur de recherche continue à indexer la page originale.

Comment je me suis prise pour effectuer la redirection

Avec l’interface de redirection que Bluehost m’offrait, j’obtenais une boucle sans fin. Alors j’ai opté pour effectuer la redirection directement dans le fichier caché. htaccess.

Le code à inclure dans le fichier. htaccess m’a été donné par BlueHost.

La redirection via le fichier htaccess est la plus rapide.

Comment effectuer une redirection via le fichier .htaccess?

Trouvez, dans la documentation de votre hébergeur, les lignes de code qui permettent d’effectuer la redirection désirée. Connectez-vous à votre compte et ouvrez le gestionnaire de fichiers en vous assurant d’afficher les fichiers cachés.

À la racine de votre site web, cherchez le fichier .htaccess.

 Ajoutez-y les lignes de code qui vous ont été fournies par votre hébergeur.

Sauvegardez le tout… et priez un peu, si vous y tenez!

Mettre à jour tous les endroits où vous référez à votre site

Vous devez mettre à jour tous les endroits où vous referez à votre site : l’administration de WordPress, bien entendu, mais aussi le fichier robot.txt, si vous l’utilisez.

De plus, si vous utilisez les outils de Google (et je vous les conseille fortement), vous devez spécifier que votre site utilise désormais le protocole HTTPS, pour qu’ils continuent à indexer votre site proprement.

Traiter le cas particulier des contenus mixtes 

Il arrive que certaines ressources (images, fichiers CSS…) d’une page bel et bien en HTTPS soient chargées en HTTP, c’est-à-dire de manière non sécurisée. Dans ce cas, on parle de contenu mixte (Mixed Content).

Les navigateurs distinguent les contenus mixtes passifs des convenus mixtes actifs. Le contenu mixte passif est du contenu qui a un effet limité sur le site. Par exemple, les images, l’audio et les chargements vidéo. Une tierce personne pourrait remplacer une image servie sur HTTP par une image inappropriée. Cependant, elle n’aurait pas la capacité d’affecter le reste de la page.

Le contenu mixte actif est un contenu qui peut modifier le comportement d’une page HTTPS. Les exemples de contenu actif sont JavaScript, CSS, objets, requêtes xhr, iframes et polices.

Vous devez vérifier si les ressources que vous utilisez sont chargées en HTTPS ou en HTTP. Vous pouvez remplacer dynamiquement les adresses des ressources pour qu’elles soient toutes chargées en HTTPS ou rapatrier les ressources sur votre site et mettre à jour son adresse.

Et les extensions WordPress dans tout cela ?

Il existe un bon nombre d’extensions qui s’occupent de sécurité : WordPress HTTPS et Really Simple SSL, notamment.

Aussi, la version premium de Social Warfare dit pouvoir rétablir le nom nombre de partages, si vous les avez perdus en passant au HTTPS. Renseignez-vous !

Que faut-il faire d’autre pour sécuriser votre site ?

Pour assurer la sécurité de votre site, vous pouvez aussi changer l’adresse de la page de connexion de votre site et limiter les tentatives de connexion. Aussi, restez vigilant : de nouvelles failles de sécurité sont découvertes régulièrement.

Conclusion

En conclusion, je vous propose d’écouter la vidéo qui accompagne cet article:

Alors, comptez-vous sécuriser votre site ? Je suis curieuse de savoir…

Patricia

Merci de votre lecture !

Merci de votre temps !

PS Si vous n’avez pas de site, c’est par ici.

Partagez ! Plus il y aura de partages, plus il y aura d’articles !

One thought on “Comment sécuriser votre site avec HTTPS ? 

Un commentaire? Je vous écoute :)

Ce site utilise Akismet pour réduire le pourriel. En savoir plus sur comment les données de vos commentaires sont utilisées.