Éviter l'avertissement non sécurisé dans Chrome

[PH-Quentin]

Saviez-vous qu'à partir du mois prochain les sites n'utilisant pas le protocole HTTPS seront marqués par Chrome comme non sécurisé ?

Pour information cet avertissement est déjà visible lorsque vous êtes sur une page qui requière une authentification en HTTP cependant cela sera le cas pour toutes les pages dans quelques jours.

Sachez que PlanetHoster grâce à sa collaboration avec Let'sEncrypt procède déjà depuis plusieurs années à l'installation de certificats SSL nativement sur tous les hébergements, il faut dès lors vérifier que votre CMS l'utilise correctement. Pour se faire, il faut que l'accès à votre site en HTTP procède à une redirection permanente sur la même page avec un code 301 et que toutes les ressources soient chargées en HTTPS.

Pour ce faire voici comment vérifier/passer votre site correctement sur ce protocole.

WordPress :

Tableau de bord >> Réglages >> Général >> Adresse web de WordPress (URL) : Bien indiquer le protocole à avoir "HTTPS://" en début de votre URL

PrestaShop :

Tableau de bord >> Préférences >> Générales : Activer le SSL = OUI & Forcer l'utilisation du SSL sur toutes les pages = OUI

Drupal 7 :

Editer sites/default/settings.php et rajouter $conf['https'] = TRUE;

Joomla :

Système > Configuration > Serveur > Forcer HTTPS

Moodle :

Editer config.php et changez http:// pour https:// dans $CFG->wwwroot

WHMCS :

WHMCS admin area >> Setup >> General Settings>> Set your WHMCS System URL

Si après cela votre CMS n'est pas listé, vous pouvez forcer le traffic en HTTPS avec ce code à définir dans votre fichier .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R,L]

Mixed-content:

Si après cela l'accès à votre domaine se réalise bien en HTTPS:// cependant le cadenas est cassé, cela vient très probablement du fait que vous avez des ressources tels que des images/CSS/polices ou encore java-script qui sont chargées en HTTP.

Ceux-ci peuvent être chargés soit un d'un fichier/script ou encore de la base de donnée, il faut donc rechercher récursivement les ligne comprenant "http://" pour les remplacer pour "https://"

MySQL Exemple:

UPDATE wp_posts SET post_content = replace(post_content, 'http://www.monsite.com', 'https://www.monsite.com');

Search and replace in SSH:

sed 's#http://www.monsite.com#https://www.monsite.com#g' template/*.tpl

j'espère que cet article vous aidera à passer votre site en HTTPS

 

[Johnny Fraisse]

Il est important de savoir qu'un site en HTTPS sera aussi mieux classé par les moteurs de recherche. C'est indispensable aujourd'hui et je trouve vraiment bien que vous proposiez les certificats en natif sur vos hébergements !

 

[roger]

Merci pour ce petit tuto, je viens de passer 4 de mes sites en HTTPS, sans problème, avec le bout de code dans le htaccess !

 

[Magali]

Bonjour, je suis sous Wordpress. SVP, si je suis cette consigne,

Bien indiquer le protocole à avoir "HTTPS://" en début de votre URL

je ne prends pas le risque de ne plus accéder à mon tableau de bord en cas de bug?

 

[PH-Quentin]

Bonjour Magali,

Merci pour votre retour, une image valant mille mots:



Il faut donc d'assurer de bien avoir un "HTTPS" dans l'adresse WEB de WordPress.

Bien à vous,
Quentin

 

[Magali]

OK OK, j'avais compris, je craignais juste qu'en ajoutant le s un bug se produise mais non, pas de souci, tout est bien, merci.

 

[PH-Quentin]

Parfait je suis content d'entendre cela, pour information tous les soirs PlanetHoster lance l'installation et renouvellement de certificats SSL gratuis.

Si cela n'est pas le cas, vous pouvez manuellement lancer la demande via:

cPanel >> SSL/TLS Status:


Run AutoSSL:



Et voilà le certificat SSL sera installé sur votre hébergement à condition que le domaine utilisent les nameserveurs de PlanetHoster.

Bonne journée à vous,

 

[roger]

Juste une petite question ...
Comment se passe les renouvellements des certificats sur les VPS ?
Car il y a environ 3 semaines, j'avais reçu des mails de mon Cpanel me disant qu'ils n'étaient plus valides ?
Bon, c'était avant que je passe mes sites en HTTPS, donc pas grave, mais cela va t-il se reproduire ?
Merci pour la réponse !

 

[PH-Quentin]

Bonjour Roger,

Les certificats SSL LetsEncrypt sont valides pour une durée de 90 jours et son automatiquement renouvelé lorsqu’il arrive à 29 jours de la date d’expiration.

Ce qu’il faut cependant comprendre c’est que cPanel procède à la création d’un certain nombre de sous-domaines tels que:

- mail.votredomaine.fr
- cpanel.votredomaine.fr
- webdisk.votredomaine.fr
- ftp.votredomaine.fr
- webmail.votredomaine.fr

Il faut dès lors que le domaine a bien les nameserveurs de nos hébergeurs afin que la couverture du certificat soit compète, sans cela vous risquez d’avoir des notifications indiquant que la validation ACME n’a pas être effectuée.

Sans quoi vous risquez d’avoir une erreur (Potential reduced AutoSSL coverage/AutoSSL certificate expiry on) comme ceci:

- Does not resolve to any IPv4 addresses on the internet
- The domain “mail.votredomaine.fr” resolved to an IP address “X.X.X.X” that does not exist on this server.

Si vous avez ce genre de message, sachez que notre support peut vous aider à diagnostiquer/corriger cela !

Bien à vous.

 

[Johnny Fraisse]

Et voilà le certificat SSL sera installé sur votre hébergement à condition que le domaine utilisent les nameserveurs de PlanetHoster.

Bonne journée à vous,

Du coup, comment ça se passe pour ceux qui utilisent un CDN comme CloudFlare ? J'ai changé les nameserveurs pour qu'ils pointent sur les CDN mais je n'ai pas de soucis, jusqu'à présent pour le certificat.

Merci pour votre réponse !

 

[roger]

Bonjour Roger,

Les certificats SSL LetsEncrypt sont valides pour une durée de 90 jours et son automatiquement renouvelé lorsqu’il arrive à 29 jours de la date d’expiration.

Ce qu’il faut cependant comprendre c’est que cPanel procède à la création d’un certain nombre de sous-domaines tels que:

- mail.votredomaine.fr
- cpanel.votredomaine.fr
- webdisk.votredomaine.fr
- ftp.votredomaine.fr
- webmail.votredomaine.fr

Il faut dès lors que le domaine a bien les nameserveurs de nos hébergeurs afin que la couverture du certificat soit compète, sans cela vous risquez d’avoir des notifications indiquant que la validation ACME n’a pas être effectuée.

Sans quoi vous risquez d’avoir une erreur (Potential reduced AutoSSL coverage/AutoSSL certificate expiry on) comme ceci:

- Does not resolve to any IPv4 addresses on the internet
- The domain “mail.votredomaine.fr” resolved to an IP address “X.X.X.X” that does not exist on this server.

Si vous avez ce genre de message, sachez que notre support peut vous aider à diagnostiquer/corriger cela !

Bien à vous.

Ok, merci pour les précisions !

 

[PH-Quentin]

Du coup, comment ça se passe pour ceux qui utilisent un CDN comme CloudFlare ? J'ai changé les nameserveurs pour qu'ils pointent sur les CDN mais je n'ai pas de soucis, jusqu'à présent pour le certificat.

Merci pour votre réponse !

Bonjour Johnny,

Lorsque vous utilisez CloudFlare, c'est leur service qui prend le relais pour l'installation du certificat SSL sur leur front.

Après il existe plusieurs configurations cependant c'est un peu en dehors de notre champ d'action, je vous recommande donc de regarder l'article de mon compatriote Nicolas présent ici: https://www.mister-wp.com/tutos/https-cloudflare-ssl/

Bonne lecture !
Quentin

 

[Johnny Fraisse]

Merci, et le site est super intéressant ! C'est activé par défaut chez CloudFlare

 

[hassane]

tous simplement en rentre sur notre reglage wordpress en ajout https et en est dans le https sans payer quelque euro ,???

 

[PH-Gabriel]

Bonjour Hassane,

Tout simplement modifier la configuration de votre WordPress pour utiliser https. Le certificat Let's encrypt s'installe et se renouvelle automatiquement sur nos serveurs.

 

[hassane]

merci bcp Mr Gabriel c génial

 

[hassane]

bsr est ce que c'est normal après l’ajout du protocol https mon site a subi une tres grande chute de traffic ?

 

[PH-Marc-André.B.]

Bonsoir,

Non ce n'est pas normal que votre traffic chute après l'ajout du protocole https. Si votre problème persistait il faudrait nous ouvrir un ticket à ce sujet depuis votre espace client >> Mon Support.

 

[matt06]

Parfait merci
Astuce: J'ai vu mon site en HTTPS après avoir effacé le cache de mon navigateur