Let'sEncrypt - Foire aux questions

[PH-Quentin]

• Comment activer Let'sEncrypt sur mon domaine/hébergement ?

-> Actuellement PlanetHoster à activé le module Beta Let'sEncrypt sur les hébergements mutualisés hybride et revendeur, vous devez donc voir une icône nommée "PHSSLFree" dans votre cPanel. Une fois sur cette icône vous aurez la possibilité d'activer le certificat en un seul clic.
​

• Pourquoi utiliser le certificat SSL/TLS Let'sEncrypt ?

Si vous êtes une boutique en ligne l'avantage d'avoir un certificat SSL est que vous gagnerez en confiance au niveau de vos clients du fait que ceux-ci sont habitué à avoir le cadenas pour indiquer sur le site est sécurisé ! Si n'êtes pas un E-Commerce, le grand avantage est que vos formulaire d'identification, contact seront eux aussi sécurisé, vous ne risquez donc pas vous faire 'sniffer' votre mot de passe lors d'un accès sur un réseau WIFI publique. De plus au niveau SEO, les moteurs de recherches aiment fortement les sites offrant des pages en HTTPS, vous serez donc avantagé grâce à ce système.
​

• Une fois activé le cadenas affiche une erreur "Mixed Content", Que faire ?

-> Lors d'un passage d'un site en HTTP à HTTPS il faut bien évidement reconfigurer le CMS afin de lui indiquer que votre site utilise maintenant du chiffrement. Si vous chargez par exemple des ressources (src="http://...") il faut aussi faire passer ces demandes par l'HTTPS afin que l'entièreté soit chiffré. Il existe aussi une manière de coder afin de ne pas spécifier le protocole (A relative URL without a scheme)​

Un code vaut mille mots:

<link href="https://www.planethoster.com/styles/monstyle.css" rel="stylesheet" type="text/css" /> (Mauvais)
<link href="//www.planethoster.com/styles/monstyle.css" rel="stylesheet" type="text/css" /> (Bon)

Vous pouvez utiliser cette utilitaire qui vous aidera fortement: https://www.whynopadlock.com/​

• Comment rediriger le trafic (301) vers l'HTTPS ?

-> Malgré le fait que le certificat SSL soit activé, il reste possible d'accéder au site en HTTP ! Les recommandations au niveau SEO vous indiqueront de faire une redirection 301 de l'HTTP vers HTTPS afin de ne pas créer de 'duplicate content' et passer le PR à votre nouvelle URL en HTTPS. Pour faire cela, il faut modifier votre fichier .htaccess à la racine de votre site en rajoutant ceci:

RewriteEngine On
RewriteCond %{HTTP_HOST} ^monsite\.com$ [OR]
RewriteCond %{HTTP_HOST} ^www\.monsite.\.com$
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.monsite.com/$1 [R,L]

• Le certificat est valide seulement 90 jours, que faire passé cette période ?

-> Le certificat SSL/TLS délivré par Let'sEncrypt est effectivement valide pour une durée de 90 jours, après cela il n'est plus valide. Chez PlanetHoster 5 jours avant l'expiration une demande de renouvèlement sera automatiquement effectuée chez Let'sEncrypt afin de n’occasionner aucune coupure. La validation pour le renouvèlement est basée sur le même processus que pour l'activation (Il faut donc que votre domaine pointe toujours sur le serveur)​

• L'état de la demande est en Erreur , pourquoi ?

-> Lors d'une demande d'activation, l'étape de vérification/validation peut prendre entre 2 à 10 minutes, cela va vérifier si le serveur à bien l'autorité sur le domaine. Dans certains cas cela peut échouer pour les raisons suivantes:

- Le domaine ne pointe pas sur le serveur, merci d'utiliser les NS de PlanetHoster
- Le dossier principal du domaine à été réécrit par une règle .htaccess ou virtualhost
- Le www ou sans www ne pointe pas sur l'hébergement.

• Comment supprimer le certificat SSL généré par Let'sEncrypt ?

-> Vous pouvez voir ou supprimer le certificat SSL directement au travers de votre cPanel via l’icône "SSL/TLS". Sachez qu'en cas de suppression il n'est actuellement pas possible de redemander une signature via le cPanel.​

• Comment relancer une demande après un essai raté ?

-> L’organisme Let'sEncrypt nous permet de signer un certain nombre de demandes à l'heure, dans cette version du module nous avons préféré ne pas laisser la possibilité à nos clients de procéder à multiple demande pour le même domaine/sous domaine.​

• Je n'ai jamais demandé l'activation, mais l'état est actif ?

-> Vous aurez effectivement un bouton 'Actif' sur un autre certificat à déjà été installé ou qu'une clé ou CSR est déjà présent sur votre compte. Si cela est déjà le cas, nous vous invitons à vous rendre sur l’icône "SSL/TLS" afin de supprimer ceux-ci.​

• Puis-je avoir un certificat SSL sur un hébergement en dehors de PlanetHoster ?

-> Non, le système est seulement disponible sur les hébergements PlanetHoster, nous sommes actuellement le premier hébergeur francophone (en France et Canada) à avoir implémenté ce système.​

• Puis-je avoir plusieurs certificats pour mes sous-domaines (wildcard) ou domaines supplémentaires ?

-> Aucun problème pour cela, vous pouvez demandez pour tous vos domaines supplémentaires un certificat SSL et ce aussi pour vos sous domaines !
​

Nous continuons à mettre à jour cette base de connaissance dans les prochains jours.

 

[Comtugal]

Super. merci pour ces complements

 

[David77]

Bonsoir,
Je ne sais pas si je peux le publier ici mais voici un bon article pour les personnes utilisant Joomla! et qui souhaiteraient activer le SSL dessus : http://www.web-eau.net/blog/joomla-et-le-https

Il y a un tuto rapide qui explique comment le mettre en place

 

[Comtugal]

Bonjour, Comment cela se passe avec les 4 fichiers .pem ?

 

[laurent]

bonjour

est-ce qu'il est envisageable d'appliquer Let's Encrypt sur nos WHM/Cpanel ?

(Même "à l'ancienne" sans que ce soit automatisé par PlanetHoster)

cdt
Laurent

 

[PH-Quentin]

bonjour

est-ce qu'il est envisageable d'appliquer Let's Encrypt sur nos WHM/Cpanel ?

(Même "à l'ancienne" sans que ce soit automatisé par PlanetHoster)

cdt
Laurent

Bonjour Laurent,

Je vous confirme qu'il est possible de faire cela manuellement cependant cela demande un peu d'expertise!

Vous trouverez un explicatif ici: https://forums.cpanel.net/threads/how-to-installing-ssl-from-lets-encrypt.513621/

Pour information le bundle certificat (/etc/letsencrypt/live/bundle.txt dans leur tuto) de LetsEncrypt à changé depuis et est maintenant le suivant:

Spoiler: https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

De plus la commande "./letsencrypt-auto --verbose" ne doit plus être lancée car celle-ci demande de signer votre hostname/nom de serveur.

Pour finir, sachez que cPanel travaillle actuellement à implémenter nativement LetsEncrypt dans le panneau: https://features.cpanel.net/topic/p...-encrypt-automated-certificate-management-ssl Dans les prochains mois, il devrait être disponible sur vos VPS/dédié nativement.

Bon amusement et bon weekend.