Aujourd’hui, le SSL est une norme pour tous les sites. Et si le votre n’est pas en HTTPS, alors Google pourrait vous déclasser de ses résultats. Pourtant, c’est facile de générer un certificat grâce à Let’s Encrypt. Et en plus, c’est gratuit !
Sommaire du cours
Afin de garantir des connexions sécurisées, et des échanges chiffrés entre les sites, le SSL est devenu la norme, mais il y a encore quelques années en arrière, les certificats étaient payants.
C’est alors qu’est apparu Let’s Encrypt, proposant des certificats gratuits. Si bien qu’aujourd’hui plus de la moitié des sites web en ligne dépendent de ce service !
Pourquoi générer un certificat SSL ?
Le certificat SSL permet de chiffrer une connexion entre l’internaute et votre site internet. Tous les échanges seront donc sécurisés, et illisibles si un tiers malintentionné les interceptaient.
C’est donc d’autant plus utile sur un site où vos visiteurs peuvent se connecter, afin que le mot de passe ne transite pas par Internet en clair. Et c’est d’autant plus essentiel pour une boutique en ligne, lorsque votre numéro de carte bancaire passe par les tuyaux d’internet.
Et même si c’est moins essentiel sur un site tout simple, vous garantissez tout de même une confidentialité des données, ce qui est rassurant pour l’internaute.
Prenez donc l’habitude de toujours générer un certificat pour vos sites. Et il y a une bonne raison supplémentaire pour le faire : Google a menacé de déclasser les sites qui ne jouaient pas le jeu, alors autant ne pas prendre de risque !
D’ailleurs sur le navigateur, on voit tout de suite dans la barre d’adresse si un site n’est pas sécurisé. Tout est donc fait pour vous forcer à utiliser SSL.
On va sans plus tarder voir comment faire.
Générer un certificat SSL gratuitement avec Let’s Encrypt
Je vais faire la manipulation depuis le cPanel, puisque c’est un outil souvent utilisé par les hébergeurs, comme o2switch par exemple. Pour d’autres comme OVH, la manipulation devrait être tout autant facile, consultez la documentation pour vous aider.
Commencez donc par accéder à votre cPanel (sur o2switch ajoutez :2083
à l’URL de votre site) et cherchez Let’s Encrypt.
Cliquez sur + Générer en face de votre nom de domaine. Vous n’aurez pas besoin d’en générer un pour le domaine générique .odns.fr
.
Dans l’écran suivant, ne changez rien et descendez directement sur le bouton Générer.
Et voilà, vous avez un certificat SSL valide ! Il se renouvellera automatiquement tous les 3 mois, donc à partir de ce moment, vous n’avez plus rien besoin de faire !
Changer les URL du site
Si vous avez un site déjà en place, il va falloir modifier les URL afin d’ajouter le S de partout.
Connectez-vous à votre interface d’administration et allez dans Réglages > Général.
Changez les 2 URL : Adresse web de wordPress et Adresse web du site. Enregistrez. Vous allez devoir vous reconnecter car le navigateur considère que c’est une URL différente.
Mais ce n’est pas tout ! Comme on a pu le voir dans le cours sur la mise en ligne d’un site WordPress ou encore sur le rapatriement d’un site en local, WordPress enregistre les URL absolues dans la base.
Et si on ne les change pas, on risque d’avoir un message du navigateur indiquant qu’il a trouvé du contenu mixte : c’est-à-dire des contenus non SSL dans la page.
Alors pour éviter ça, on va chercher et remplacer les URL. Et pour cela on va utiliser :
Une fois l’extension installée, allez dans Outils > Better Search Replace. Dans Rechercher, indiquez l’URL de votre site sans https
, et dans Remplacer par, indiquez l’URL avec https
.
Sélectionnez toutes les tables et lancez l’opération ! Toutes les URL de votre site devraient maintenant commencer par https
. Vous pouvez alors désinstaller cette extension si vous le souhaitez.
Lorsque vous installez un nouveau site sur votre hébergement, accédez-y par l’URL avec le préfixe https://
, et il sera directement installé avec la bonne adresse. Vous n’aurez donc pas besoin de faire cette manipulation.
Forcer le HTTPS
C’est tout bon ? Eh bien non, pas encore. En l’état, votre site est à la fois accessible en SSL, et sans SSL. On va donc forcer l’affichage de la version HTTPS, et pour cela on a deux solutions :
Via une extension
Si vous ne voulez pas vous embêter, alors on va utiliser une extension qu’il suffira simplement d’activer :
Really Simple SSL – Simple and Lightweight Security
Améliorez facilement la sécurité de votre site grâce au durcissement de WordPress, à la détection des vulnérabilités et à la génération de certificats SSL.
Une fois activée, une notice vous indique si vous soulez forcer le SSL. Validez, et le tour est joué !
Le saviez-vous ?
Si vous utilisez iThemes Security pour sécuriser votre site, alors pas besoin de Really Simple SSL, car il vous propose exactement la même chose.
Via le fichier .htaccess
Et sinon, il y a la méthode à la main, qui vous évite une extension supplémentaire sur votre site. Pour cela on va aller ajouter ces quelques lignes dans le fichier .htaccess
qui se trouve à la racine de votre hébergement (sur une configuration Apache seulement) :
Collez ces lignes à la fin de votre fichier, enregistrez, et on va tester : tentez d’accéder à votre site en tapant l’URL en http://
. Si tout se passe bien, vous êtes automatiquement redirigé en https://
!
Voici des tutoriels pour les afficher dans CyberDuck, Filezilla, mais aussi Transmit.
Et voilà ! Les connexions vers votre site sont désormais sécurisées grâce à du SSL performant et gratuit. Le certificat étant renouvelé automatiquement, il n’y a plus rien à faire désormais ! Votre site s’affichera bien en https://
pour tous les visiteurs, et Google sera content.
0
Questions, réponses et commentaires