Chiffrement TLS : Différence entre versions

De
Sauter à la navigation Sauter à la recherche
Ligne 138 : Ligne 138 :
 
Joomla, Prestashop, Drupal, OwnCloud, PHPBB, ainsi que la plupart des CMS ont tous un moyen d'utiliser le HTTPS. Il vous faudra parfois effectuer quelques recherches sur Google pour trouver comment faire, mais il s'agit généralement d'une option à activer dans le CMS.
 
Joomla, Prestashop, Drupal, OwnCloud, PHPBB, ainsi que la plupart des CMS ont tous un moyen d'utiliser le HTTPS. Il vous faudra parfois effectuer quelques recherches sur Google pour trouver comment faire, mais il s'agit généralement d'une option à activer dans le CMS.
  
Si malgré cela, des ressources continuent d'être chargées en HTTP, vous pouvez dans un premier temps connaître ces dernières via la console développeur de votre navigateur. (cherchez "http://"). Une fois celles-ci identifiées, vous pouvez, avec précautions, effectuer une recherche dans la base de données ou les fichier et rempalcer les liens de ces ressources par leur version https://. Toute trace de http://votre-site.tld doit être convertie par https://votre-site.tld.
+
Si vous utilisez un script fait main ou que malgré cela, des ressources continuent d'être chargées en HTTP, vous pouvez dans un premier temps connaître ces dernières via la console développeur de votre navigateur. (cherchez "http://"). Une fois celles-ci identifiées, vous pouvez, avec précautions, effectuer une recherche dans la base de données ou les fichier et rempalcer les liens de ces ressources par leur version https://. Toute trace de http://votre-site.tld doit être convertie par https://votre-site.tld.
  
 
=== Forcer la redirection 301 vers HTTPS ===
 
=== Forcer la redirection 301 vers HTTPS ===

Version du 18 décembre 2020 à 12:21

Le protocole

SSL/TLS est un protocole permettant de chiffrer et déchiffrer les données avec un système de certificats à clé publique et privée.
Cela protège le contenu des données échangées sur internet d'éventuels accès par des utilisateurs malveillants.

TLS peut permettre de faire transiter de nombreux protocoles :

  • HTTP(S),
  • FTP(S),
  • IMAP(s),
  • POP(S),
  • SMTP(S), etc.

Tous ces "(S)" signifient que les protocoles sont "sécurisés" par TLS. Autrement dit, par exemple, HTTPS est une encapsulation de HTTP dans TLS.

Versions SSL et TLS

En Juin 2018, le standard actuel est TLS 1.2 (100% supporté par HaiSoft) et TLS 1.3 entame doucement sa sortie publique.

SSL 2 et SSL 3 sont arrêtés en raison de failles de sécurité; ses successeurs, TLS 1.0 et 1.1 sont dépréciés pour cause de failles de sécurité également.

SSL est l'ancêtre obsolète de TLS, nous emploierons donc le terme "TLS" pour la suite de cet article. Néanmoins, il faut savoir que la plupart des programmes ne font pas la distinction entre SSL et TLS, et appellent toujours "SSL" ce qui est en réalité du TLS.

Les certificats

Les "certificats SSL" sont progressivement appelés "certificats TLS".

Les connexions aux sites web et aux serveurs de mail doivent préférablement se faire avec un certificat valide (càd fourni et validé par une autorité, non expiré, et correspondant au bon nom de domaine).

Les types de certificats

Trois types de certificats TLS (SSL) existent:

  • Certificats DV (domain validation), permettant une protection des données et une authentification du nom de domaine
  • Certificats OV (owner valdiation), permettant de vérifier le propriétaire du domaine
  • Certificats EV (extended validation), permettant de vérifier l'authenticité de l'organisme et affichant le nom de la société dans la barre d'adresses du navigateur

Les autorités de certification

Bien que TLS puisse fonctionner avec un certificat auto-signé, le protocole nécessite la signature d'une autorité de certification pour être totalement sécurisé et donc reconnu comme valide par les logiciels. Les autorités de certification assurrent l'authenticité des certificats et la pleine sécurité des données qui transitent.

De nombreuses autorités de certification existent, certaines sont gratuites et d'autres payantes. Il n'est pas nécessaire de faire appel à une autorité payante dans la plupart des cas, mais HaiSoft propose bien les deux options.

L'autorité de certification DV gratuite la plus utilisée au monde et la plus populaire parmi les clients HaiSoft est Let's Encrypt. Grâce à Let's Encrypt, vous pouvez à tout moment générer des certificats gratuits pour vos domaines via le menu du même nom dans votre Panneau de contrôle Plesk.


En 2016, l'autorité de certificats Let's Encrypt voit le jour. Proposant des certificats DV gratuits, l'autorité contribue fortement réduire les coûts du HTTPS, à le démocratiser et finalement à en faire une norme. Suite à cela, les navigateurs internet et moteurs de recherche ont commencé à mettre en avant les sites utilisant HTTPS plutôt qu'HTTP, et à durcir les avertissements sur les sites utilisant des certificats TLS non certifiés. Le HTTPS deviet donc un élement incontournable de l'internet moderne.

Aujourd'hui, Let's Encrypt est l'autorité de certification la plus utilisée au monde et la plus populaire parmi les clients HaiSoft. Grâce à Let's Encrypt et son intégration fournie par HaiSoft, vous pouvez à tout moment générer des certificats gratuits pour vos domaines via le menu du même nom dans votre Panneau de contrôle Plesk.


HTTPS

Qu'est-ce que le HTTPS ?

Signifiant "Hypertext Transfer Protocol", le protocole HTTP permet l'envoi de requêtes des clients vers les serveurs et surtout, l'envoi de fichiers depuis les serveurs vers les clients, en particulier, des pages web, des contenus multimedia, etc.
Le HTTPS (avec un S comme Secure) encapsule le HTTP dans une surcouche TLS, permettant ainsi le chiffrement des données échangées.
On garanti ainsi que les données échangées sont chiffrées et techniquement illisibles durant tout leur trajet entre le client et le serveur.

Passer à HTTPS

Pourquoi passer à HTTPS ?

Lorsque vous visitez des sites internet de manière classique, c'est à dire en http://, sans chiffrement, de nombreux points failbles (accès wifi public, élément infecté du réseau, etc.) peuvent laisser à des intrus la possibilité de récupérer des données qui transitent.

Qu'il s'agisse de vos photos de vacances, d'un formulaire de contact, de vos mots de passe et finalement de toutes les informations transitant sur les sites internet que vous visitez, ces données peuvent potentiellement être lues par un pirate tirant profit d'une connexion non sécurisée.

Afin d'éviter cela et de vous protéger, les standards d'internet ont évolué : L'utilisation du chiffrement SSL/TLS est en phase de devenir standard. Cela permet de rendre toute donnée interceptée illisible pour les intrus sur le réseau. En pratique, l'utilisation de SSL/TLS sur les sites web se traduit par des requêtes http:// qui passent en https://.

Outre la sécurité pour vos données, les moteurs de recherche commencent à favoriser le contenu HTTPS, les navigateurs avertissent des sites non HTTPS, et les utilisateurs en ont plutôt bien conscience. C'est pourquoi il ne faut pas louper le coche et y passer sans attendre !

Si les certificats SSL/TLS ont longtemps été payants, le certificat simple permettant de chiffrer efficacement vos données est désormais gratuit grâce à l'autorité de certification Let's Encrypt. Tout le monde peut donc générer son certificat sans débourser un euro. Chez HaiSoft, vous pouvez générer vos certificats Let's Encrypt à tout moment en quelques clics, alors profitez-en et n'hésitez pas à contacter le support pour plus d'informations.

Quelles sont les implications du passage à HTTPS ?

Considérant la gratuité des certificats Let's Encrypt et la simplicité de la transition, nous conseillons vivement aux utilisateurs d'utiliser HTTPS.


Avantages

  • Déploiement facile
  • Tarif est abordable voir gratuit
  • Sécurité des données utilisateurs et du site accruues
  • Plus grande confiance des utilisateurs
  • Meilleur référencement sur les moteurs de recherches
  • Renouvellement du certificat automatique dans Plesk

Inconvénients

  • Nécessite quelques configurations ou corrections sur le site
  • Peut engendrer des avertissements de sécurité en cas de non renouvellement du certificat


Procédure de passage en HTTPS

Pour passer en HTTPS, il faut en premier lieu générer un certificat TLS. Puis, il faut adapter votre site à HTTPS. Enfin, vous pouvez optionnellement forcer HTTPS.

Ces opérations sont gratuites si vous utilisez un certificat Let's Encrypt et adaptez vous-même votre site.

Notez qu'HaiSoft propose aussi sous certaines conditions, un service de passage en HTTPS de votre site. N'hésitez pas à consulter nos services techniques et commerciaux pour plus d'informations à ce sujet.

Générer mon certificat Let's Encrypt

Cette opération est 100% gratuite.

Prérequis

  • Votre site doit être hébergé et accessible sur le serveur où vous générez le certificat (cela correspond au principe de "Domain Validation")
  • Si votre domaine a été déployé en 2013 ou avant chez HaiSoft, vérifiez dans "Paramètres d'hébergement" que la case "Exécuter le site Web en mode compatibilité pour l'ancienne option 'Séparer le contenu SSL/TLS et non-SSL/TLS'" soit bien décochée, puis validez.

Génération

En passant par Plesk et sa fonctionnalité Let's Encrypt, vous générerez votre certificat en quelques clics seulement.

  • Rendez-vous dans votre Panneau de contrôle Plesk, sous le domaine désiré
  • Cliquez sur le logo "Certificats SSL/TLS" (ou sur Plesk 17.5, sur "Let's Encrypt"); si celui-ci n'est pas visible, veuillez vous assurer que la case "Prise en charge SSL/TLS" soit bien cochée dans la rubrique "Paramètres d'hébergement" du domaine.
  • Cliquez sur "Obtenir gratuitement"
  • Si votre site est accessible via "www.", cochez la case correspondante; si vous utilisez le webmail, cochez la case correspondante; si vous avez de nombreux sous-domaines et que vos DNS sont bien gérés sur le serveur HaiSoft, vous pouvez choisir un certificat Wildcard, valide pour tous vos sous-domaines.
  • Cliquez sur "Obtenir gratuitement" (Ou "Installer" sur Plesk 17.5) et patientez quelques secondes.

Et voilà ! Après quelques secondes, votre site est joignable en HTTPS, par exemple : https://votre-domaine.tld et/ou https://www.votre-domaine.tld

Plesk se charge de mettre à jour les certificats Let's Encrypt (valables maximum 90 jours) tous les mois.


Comment adapter mon site de HTTP à HTTPS ?

A SAVOIR: Tout élément chargé en http dans une page https provoquera un avertissement de sécurité. C'est le principal élément à travailler pour réussir votre passage à HTTPS.

Tout d'abord, il vous faut mettre à jour l'ensemble des liens internes de votre site de http:// vers https://.

Dans un CMS comme Wordpress, cette tâche est simplifiée, car vous avez la possibilité d'indiquer l'URL de votre site dans les paramètres, ce qui aura pour effet de modifier toutes les URL des pages appelées en tant que "pages" du site. Si l'option est disponible, rendez-vous dans les paramètres généraux de Wordpress ou autre CMS et éditez l'URL de votre site en changeant http:// par https://.

Ainsi, la plupart des liens de votre site seront convertis en HTTPS, ce qui signifie que si un visiteur arrive sur le site via http://, tout lien cliqué le redirigera vers une page en https://.

Pour toute autre ressource hardcodée avec un lien http (dans le code du site, dans un plugin, dans une galerie photo, etc.), il faudra l'éditer pour remplacer "http" par "https". Un plugin WordPress permet de faciliter cette tâche : https://fr.wordpress.org/plugins/velvet-blues-update-urls/ Attention, avant toute modification de ce type, effectuez un backup (dump) de votre base de données.

Joomla, Prestashop, Drupal, OwnCloud, PHPBB, ainsi que la plupart des CMS ont tous un moyen d'utiliser le HTTPS. Il vous faudra parfois effectuer quelques recherches sur Google pour trouver comment faire, mais il s'agit généralement d'une option à activer dans le CMS.

Si vous utilisez un script fait main ou que malgré cela, des ressources continuent d'être chargées en HTTP, vous pouvez dans un premier temps connaître ces dernières via la console développeur de votre navigateur. (cherchez "http://"). Une fois celles-ci identifiées, vous pouvez, avec précautions, effectuer une recherche dans la base de données ou les fichier et rempalcer les liens de ces ressources par leur version https://. Toute trace de http://votre-site.tld doit être convertie par https://votre-site.tld.

Forcer la redirection 301 vers HTTPS

ATTENTION! Veuillez suivre l'étape précédente pour adapter votre site à HTTPS au préalable. Si vous forcez HTTPS sur un site qui charge encore des ressources en HTTP, les navigateurs de tous les visiteurs du site afficheront des alertes de sécurité. Lorsque vous désactivez la redirection 301, il faut vider le cache de votre navigateur pour effacer cette redirection.

Votre Panneau de contrôle Plesk comporte une option pour choisir si vous souhaitez forcer la redirection (301 permanente) de HTTP vers HTTPS.
Cette option ne doit pas être activée avant que votre site soit parfaitement fonctionnel en HTTPS.

  • Rendez-vous dans votre Panneau de contrôle Plesk, sous le domaine concerné
  • Cliquez sur "Paramètres d'hébergement"
  • Cochez la case "Redirection 301 permanente (SEO vérifié) de HTTP vers HTTPS"
  • Validez avec "OK" en bas de page

FAQ

Erreur Renouvellement automatique

Vous recevez un message de type : " Le renouvellement automatique de votre certificat SSL Let`s Encrypt (gratuit) n'a pu être effectué pour le ou les domaine(s) suivant(s) "

Cela vient du fait que nos serveurs tentent de générer automatiquement un certificat Let's Encrypt gratuit pour vos domaines, de sorte à les rendre accessibles en HTTPS, donc de manière chiffrée. La condition pour qu'il y parvienne est que votre domaine, les "www." (et ses éventuels alias) doivent pointer sur votre hébergement HaiSoft. Pour un certificat WildCard, il faut également que votre serveur HaiSoft gère votre zone DNS. Si le domaine pointe ailleurs, alors le serveur ne peut pas générer de certificat, car ceux-ci sont de type "DV" (Domain Validation) et que la première condition à remplir est que le serveur demandant le certificat doit hébergement le domaine.

Pour faire cesser ces messages, voici quelques possibilités :

  • Vérifier qu'il n'y a pas de pointage manquant (www. ou alias) pour que le certificat puisse se générer. Vous pouvez vérifier les pointages via par exemple https://www.whatsmydns.net/
  • Faire pointer et héberger votre site chez HaiSoft si ce n'est pas ou plus le cas
  • Supprimer les alias inexistants et regénérer le certificat manuellement via Plesk
  • Regénérer le certificat manuellement via Plesk et observer l'erreur pour avoir plus de détails
  • Désactiver la partie hébergement web de votre domaine (cela supprime les données) si vous n'hébergez plus le site sur ce serveur
  • Supprimer totalement le domaine du serveur s'il est géré ailleurs