Accueil
Suivez-moi!
Suivez-moi!
URL sécurisée

Certificat SSL : mon blogue passe au HTTPS et contribue à un Internet plus sécuritaire

16 avril 2016 | Internet | 6 commentaires
Partager l'article › Facebook Twitter
Crédit image : Shutterstock | Ruslan Khismatov

Il m’arrive régulièrement de prodiguer certains conseils aux Internautes sur les bonnes pratiques et la sécurité sur le Web. Je leur parle inévitablement du petit cadenas dans la barre d’adresse de leur navigateur et le fameux « https » dans le lien lorsqu’ils accèdent notamment à des sites bancaires et transactionnels. Mon blogue fait désormais partie de ces sites sécurisés.

Article mis à jour le 18 avril 2016

Pourquoi avoir mis en place sur mon blogue un certificat SSL et d’avoir pris le temps de changer tous les liens de celui-ci pour prendre en compte cette nouvelle sécurité ? La question se pose effectivement puisque je ne propose pas de boutique en ligne pour acheter des produits ou des services et autres opérations transactionnelles.

J’ai quelques raisons à vous donner ici. Mais avant toute chose, je vous explique brièvement ce qu’est un certificat SSL et à quoi ça sert.

Le certificat SSL est un gardien de sécurité entre vous et le site Internet

Dans un contexte Web, le certificat SSL (Secure Socket Layer) est en quelque sorte une pièce d’identité associée à un domaine Internet (par exemple dominicdesbiens.com) et installée sur celui-ci pour sécuriser l’échange de données entre la machine distante (le serveur où est hébergé le site en question) et un ordinateur, une tablette ou tout autre dispositif que l’on appelle « client ».

Lorsque vous visitez un site Web sécurisé par un certificat SSL, le serveur sur lequel il est hébergé fournit à votre navigateur (Google Chrome, Firefox, Internet Explorer et autres) la pièce d’identité du site en question.

Votre navigateur contacte alors l’organisme de sécurité (Autorité de certification) qui a délivré le certificat au site Web pour s’assurer que la pièce d’identité est valide et qu’elle est bien celle qui appartient au site Internet. Il génère également une clé aléatoire pour chiffrer les informations que vous envoyez au site Internet (identification sur un espace sécurisé, envoi d’un formulaire avec des informations confidentielles, etc.) qui sera le seul à pouvoir les déchiffrer et les consulter.

Vous aurez compris que l’un des avantages de cette sécurisation est d’empêcher qu’une personne ou une machine tierce puisse intercepter ces données et les consulter.

Pour en savoir plus sur la certification SSL, je vous propose cette page du Dictionnaire du Web sur laquelle je me suis basé pour cette explication : http://www.dictionnaireduweb.com/certificat-ssl/.

SSL DominicDesbiens.com

Je vous dis enfin pourquoi j’ai sécurisé mon blogue

D’abord, l’entreprise Funio qui héberge mon site depuis plusieurs années (et qui m’offre un excellent service) a envoyé un courriel à ses clients récemment. Celui-ci annonçait la disponibilité d’un certificat SSL gratuit pour tous les nouveaux plans d’hébergement.

Cette offre est rendue possible grâce à l’initiative « Let’s Encrypt » de l’Internet Security Research Group (ISRG), une alliance de plusieurs entreprises informatiques d’envergure (Mozilla, Cisco et même Facebook en font partie) qui a pour objectif de mieux sécuriser Internet.

Le groupe propose un programme permettant d’acquérir un certificat SSL gratuit, reconnu par tous les navigateurs Web, qui peut être mis en service automatiquement en évitant toutes les procédures complexes habituelles pour le mettre en place sur un site Internet. Le programme a été lancé en version « bêta » en décembre 2015, puis en version définitive ces derniers jours.

Je ne cacherai pas que la gratuité a d’abord capté mon attention, mais aussi le fait que la mise en place du certificat SSL est entièrement automatisée et simplifiée par Funio depuis l’interface de gestion de notre site Internet (leur tutoriel est ici).

Ensuite, j’ai pensé qu’il serait bon d’apporter une sécurité supplémentaire à la partie administrative de mon blogue sous WordPress, de même qu’à l’échange des informations des visiteurs sur mon site qui communiquent souvent avec moi par mon formulaire de contact et commentent mes articles.

Par ailleurs, dans le but de rendre le Web plus sûr, Google a annoncé à l’été 2014 qu’elle favoriserait désormais sur son moteur de recherche les sites Internet en HTTPS. On peut constater aujourd’hui effectivement que le positionnement des sites sécurisés a généralement été priorisé au classement.

Enfin, puisque je traite régulièrement de sujets informatiques liés à la sécurité, pourquoi ne pas donner le bon exemple en participant moi aussi à cette initiative pour que le Web devienne plus sécuritaire ?

Si vous voyez encore des liens « internes » sur mon site qui dirigent vers la version « http » de celui-ci plutôt que celle en « https », merci de m’en informer. En ce qui concerne les liens externes (publiés notamment sur les réseaux sociaux), ils devraient tous rediriger automatiquement vers la version sécurisée de mon blogue.

Référence utile : Pour les personnes intéressées à faire de même sur leur site Internet, je vous propose de consulter cet article de @WPformation qui m’a été utile : http://wpformation.com/wordpress-http-https/.

Articles qui pourraient vous intéresser

Paru récemment dans « Internet »

Laisser une réponse

Nom *

Adresse de courriel *

Site Web

Commentaire *

Liens vers cet article :

  1. […] et une infrastructure informatique (serveur). J’ai expliqué et vulgarisé le tout dans un article publié sur mon blogue en avril 2016 lorsque ce dernier est passé au « HTTPS […]

6 commentaires sur « Certificat SSL : mon blogue passe au HTTPS et contribue à un Internet plus sécuritaire »

  1. Mathieu Noël a écrit :

    Bonjour,

    Comment faire de même ?

    Merci !

    • Dominic Desbiens a écrit :

      @Mathieu J’ai mis à jour mon article avec un lien vers une ressource qui m’a été utile. Il faudra peut-être néanmoins chercher un peu sur Google pour certaines problématiques qui peuvent survenir : http://wpformation.com/wordpress-http-https/

      Par ailleurs, concernant le fichier .htaccess pour la redirection définitive de WordPress du http vers le https, l’astuce de @WPformation ne fonctionnait pas et causait une erreur de serveur. Voici le code que j’ai ajouté au mien sur lequel vous pouvez vous baser (on l’ajoute avant ou après la partie « Begin WordPress » :


      RewriteEngine On
      RewriteCond %{SERVER_PORT} 80
      RewriteRule ^(.*)$ https://www.nomdudomaine.com/$1 [R=301,L]

  2. Stéphane Jose a écrit :

    Merci pour cet article. J’ai installé un certificat SSL Let’s encrypt sur mon site http://www.stephanejose.com et ajouté une directive dans un fichier .htaccess pour rediriger automatiquement les requêtes http vers https. Pour corriger les problèmes de « mixed content », une ligne .htaccess a réglé le tout sans avoir à changer manuellement tous les liens http qui persistaient dans les pages : « Header always set Content-Security-Policy: upgrade-insecure-requests ». Le petit cadenas vert apparait maintenant sur toutes les pages et tout marche comme un charme! :)

    • Dominic Desbiens a écrit :

      @Stephane c’est bien que vous ayez aussi contribué à un Internet plus sécuritaire. Mais… Pourquoi avoir installé un certificat SSL si c’est pour « patcher » les éléments non sécurisés? Ça reste que des éléments ne sont pas sécurisés et chiffrés entre vos visiteurs et votre serveur.

    • Stephane Jose a écrit :

      Pour préciser, ce n’est pas une patch en tant que tel, cette directive force le serveur web à servir automatiquement la version sécurisée (https) d’un élément qui est non sécurisé au niveau du code html (http). Cela se passe avant même que le contenu n’arrive au fureteur des visiteurs. Ces éléments sont bel et bien sécurisés et chiffrés entre les visiteurs et le serveur, sinon le fureteur afficherait une erreur « mixed content » et le petit cadenas vert ne s’afficherait pas. C’est très utile, notamment dans le cas d’un site qui contient de nombreuses pages, car cela permet de tout sécuriser rapidement, en attendant de passer le contenu en revue pour changer tous les hyperliens absolus http en https qui pourraient trainer dans le code.

    • Dominic Desbiens a écrit :

      @Stephane Merci pour les explications. Cela reste tout de même une solution de contournement, non? En attendant comme vous dites de passer en revue toutes les pages pour faire référence au https à la base.

      Je travaille en informatique. Mais décidément j’en ai encore à apprendre!