Guide Pourquoi et Comment Passer ses Sites en HTTPS Facilement avec Cloudflare/LetsEncrypt

Discussion dans 'Blogging & Inbound' créé par Mehdi, 7 Février 2017.

  1. Mehdi

    Mehdi Overpaid Hobo

    Inscrit:
    19 Janvier 2016
    2 808
    $15.9k
    Bonjour à tous,

    Un sujet qui revient ces derniers temps et ce peu importe le domaine dans lequel on se spécialise, car ça affecte tout le monde, est celui du https, et la décision de google de bouger très vite vers une adoption massive en menaçant d'afficher des alertes sur Chrome aux visiteurs se rendant sur des sites en http.

    Du coup en l'espace de quelques semaines beaucoup de webmasters et autres marketeurs en herbe se sont retrouvés un peu pris au dépourvu, comme forcés à se renseigner et mettre en place cette technologie qu'on croyait réservés aux processeurs de paiement.

    Dans ce petit guide je vais vous expliquer simplement en quoi ça consiste, quelles sont les conséquences de ne pas le mettre en place, et bien sûr comment le mettre en place correctement et gratuitement.

    Le HTTPS c'est quoi ?

    Le HTTPS est le même protocole de transfert hypertext qu'on connaît tous comme http, mais avec une couche de chiffrement par dessus, typiquement SSL ou TLS.

    Pourquoi c'est important de le mettre en place ?

    La raison principale et urgente aujourd'hui est sans doute le fait que Chrome prévoit de commencer à marquer comme non sécurisés les sites en http très bientôt, ce qui aura sans doute un effet négatif sur la performance et la confiance perçue par les visiteurs.

    A part ça, il y'a d'autres avantages au fait de passer en https, en plus d'afficher un tag "Sécurisé" à vos visiteurs, un problème important que le https règle ce sont les referrers, qui ne sont pas reçus depuis des sites en https. J'explique, si un site en https vous envoie des visiteurs et que votre site est en http, ces visiteurs seront - à priori - comptabilisés dans "direct" par analytics..

    Et enfin bien sûr, la sécurité globale du site et la protection contre certains type d'attaques et failles, qui se voient augmentées grâce au https.

    Un dernier point encore abstrait, à confirmer ou pas, par les spécialistes SEO parmi vous, c'est qu'à priori google pourrait même privilégier les sites en https dans ses résultats de recherche.. argument qui s'il est vérifié justifie à lui seul entièrement le switch.

    Comment le mettre en place facilement ?

    Si vous avez bien reçu le message jusque là, vous avez compris que passer en https n'est plus un choix ;)

    Heureusement il est très facile de le mettre en place, et ça peut même être totalement gratuit grâce à des outils comme Cloudflare ou encore LetsEncrypt qui peut être installé facilement via Plesk.

    cloudflare-ssl.jpg
    Activer le SSL sur Cloudflare

    Si vous n'utilisez ni Cloudflare ni Plesk, je vous conseille de checker avec votre admin système pour qu'il s'en occupe, la mise en place en soit n'est pas très compliquée, c'est une fois le certificat activé qu'il faut faire quelques modifications sur vos sites pour refléter le changement, et c'est plutôt ça que je vais expliquer.

    Une fois le SSL activé sur votre domaine, il faut vous assurer que toutes les urls de votre site sont appelées en HTTPS, tout d'abord en forçant une redirection 301 via htaccess comme ceci :

    Code:
        # If we receive a forwarded http request from a proxy...
        RewriteCond %{HTTP:X-Forwarded-Proto} =http [OR]
        # ...or just a plain old http request directly from the client
        RewriteCond %{HTTP:X-Forwarded-Proto} =""
        RewriteCond %{HTTPS} !=on
        # Redirect to https version
        RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
    
        RewriteCond %{HTTP_HOST} ^www\.votredomaineici\.com [NC]
        RewriteRule ^(.*)$ https://votredomaineici.com/$1 [L,R=301]
    
    Ce code va vous permettre de rediriger vos pages dès qu'elles sont appelées en http - et fonctionne avec Cloudflare (c'était pas évident) - mais ça ne va pas résoudre tous les problèmes, car tous les css et autres js ou images inclus dans votre code doivent aussi être en https, autrement Chrome n'affichera pas le SSL en vert dans la barre d'adresse mais plutôt un message comme quoi votre site n'est pas entièrement sécurisé.

    Pour compléter la procédure, il vous faut modifier les urls de tout vos fichiers inclus qu'ils soient locaux ou distants (css, images, js, cdns, etc ..), mais aussi modifier les urls stockées en base de données (typiquement l'url de votre site dans votre admin wordpress par exemple) pour forcer le https.

    Conclusion

    J'espère que ce petit guide servira à vous convaincre et vous aider à passer tous vos sites en HTTPS pour éviter les sanctions Chrome à venir, si vous rencontrez des problèmes pour la mise en place n'hésitez pas à poser vos questions mais aussi partager vos feedbacks/solutions sur le sujet avec la communauté :)


    Mehdi
     
    Dernière édition: 7 Février 2017
  2. mLz

    mLz Confirmé

    Inscrit:
    6 Septembre 2016
    200
    91
    $926
    Merci pour le petit rappel, j'essayerai certainement de le mettre en place prochainement :thumbup:
     
  3. noska

    noska Confirmé

    Inscrit:
    23 Mai 2016
    309
    284
    $1.9k
    Encore une fois, merci Mehdi :)
     
  4. Falcon

    Falcon Motivé

    Inscrit:
    24 Mai 2016
    778
    293
    $4.1k
    Merci beaucoup pour ce guide MehdiMehdi :pray:
     
  5. Burt

    Burt Confirmé

    Inscrit:
    18 Octobre 2016
    352
    208
    $2k
    Au top comme d'habitude
     
  6. Vinsfr

    Vinsfr Actif

    Inscrit:
    1 Septembre 2016
    90
    28
    $453
    Du coup avec un tracker un https on peut se passer du "double meta-refresh" ? :)
     
  7. lennybar

    lennybar Motivé

    Inscrit:
    24 Mai 2016
    730
    191
    $3.3k
    Merci MehdiMehdi ! Il va falloir se lancer...
     
  8. ste

    ste Confirmé

    Inscrit:
    1 Septembre 2016
    433
    77
    $1.2k
    Merci Mehdi !
     
  9. Greedy

    Greedy Moderator

    Inscrit:
    29 Mars 2016
    743
    515
    $4.1k
    Merci Mehdi, c'est sur ma todolist pour tous mes sites, ça va demander beaucoup de temps pour tous les mettre en https, je m'en serai bien passé. ^^
     
  10. Jeanpit

    Jeanpit Actif

    Inscrit:
    24 Mai 2016
    105
    81
    $568
    Oui alors faut peut être rappeler que le passage en https n'est pas indispensable.
    Il l'est si vous récoltez des login/pass sur votre site (genre un ecommerce, un site avec une zone membres...etc)
    Il ne sert à rien si vous avez juste un site "lambda" sans collecte d'infos.
     
  11. Mehdi

    Mehdi Overpaid Hobo

    Inscrit:
    19 Janvier 2016
    2 808
    $15.9k
    Et non justement, ça c'était jusqu'à ce que Google (via chrome) déclare officiellement la guerre au http..
    Collecte d'informations ou pas, très bientôt les urls en http s'afficheront comme ça :
    [​IMG]

    Pour ce que ça coûte de passer en https (plus ou moins 30min à tout casser), libre à chacun de spéculer sur l'effet que cette grosse alerte chrome en rouge peut avoir sur son trafic :skull:

    Yep :)

    Par contre du coup bien faire attention que l'url de l'offre ne soit JAMAIS en https si vous n'activez pas le DMR.. c'est un coup à se louper ça, et il suffit d'une seule fois.


    Mehdi
     
    Dernière édition: 8 Février 2017
    RENE11 aime ça.
  12. ste

    ste Confirmé

    Inscrit:
    1 Septembre 2016
    433
    77
    $1.2k
    Alors c'est indispensable ou non ?
     
    Mehdi aime ça.
  13. Mehdi

    Mehdi Overpaid Hobo

    Inscrit:
    19 Janvier 2016
    2 808
    $15.9k
    OUI.


    Mehdi
     
  14. ste

    ste Confirmé

    Inscrit:
    1 Septembre 2016
    433
    77
    $1.2k
    Au moins c'est clair !
     
  15. Nicolas

    Nicolas Actif

    Inscrit:
    24 Mai 2016
    161
    96
    $919
    Merci bcp pour le tuto :)

    Juste une remarque pour les boulets (comme moi) qui veulent aller le plus vite possible : la propagation du ssl via cloudflare met jusqu'à 24 heures donc ça ne sert à rien de faire les modifs du htaccess directement et se prendre la tête pour essayer de trouver pourquoi votre site vous renvoie des messages d'erreur lorsque vous essayer de vous connecter... :)
     
    Mehdi aime ça.
  16. Nicolas

    Nicolas Actif

    Inscrit:
    24 Mai 2016
    161
    96
    $919
    Y a du monde qui se retrouve confronte à ce type d'erreurs :

    Vous devez être membre pour accéder à ce contenu.
    Merci de vous inscrire ou vous identifier.


    j'ai bien active clouflare et modifie le htaccess (par contre je ne sais pas si ca peut jouer mon site est sans le www. )
     
    Dernière édition par un modérateur: 8 Février 2017
  17. Mehdi

    Mehdi Overpaid Hobo

    Inscrit:
    19 Janvier 2016
    2 808
    $15.9k
    Si tu as utilisé le code que j'ai fourni tu ne devrais plus avoir de soucis avec les www puisque les 2 dernières lignes forcent tout vers la version sans www .


    Mehdi
     
    Dernière édition: 8 Février 2017
    Nicolas aime ça.
  18. Nicolas

    Nicolas Actif

    Inscrit:
    24 Mai 2016
    161
    96
    $919
    merci MehdiMehdi , j'ai bien utilise le code que tu as inscrit (changé uniquement le .com par .fr) j vais regarder plus en détail le site que je teste ( sous wordpress et utilisant jetpack comme cdn pour les images) car il y a un truc qui cloche dans ma config donc probablerment un conflit quelque part
     
  19. Palomitas

    Palomitas Apprenti

    Inscrit:
    13 Février 2017
    31
    1
    $166
    Salut, et au niveau des backlinks et du jus SEO qu'ils nous apporte, cela se passe comment ? On les récupère tout de même ou pas ?
     
  20. Mehdi

    Mehdi Overpaid Hobo

    Inscrit:
    19 Janvier 2016
    2 808
    $15.9k
    A priori ça ne change rien du tout, les backlinks vers le http vaudront exactement pareil, grâce à la redirection 301.

    Idéalement il faudrait dès le switch commencer à placer les liens https, mais à priori ce n'est pas obligatoire.


    Mehdi
     
Brouillon sauvegardé Brouillon supprimé
Chargement...
Tags:

Ce site utilise des cookies, cliquer sur OK indique votre accord.