Publicité
Certificat pas cher comodo

L'année dernière (2014), Google annonçait qu'il référencerait mieux les sites utilisant les protocoles sécurisés (https). Un an plus tard, rien de bien probant d'après mes lectures. Cependant, j'avais toujours en tête de passer le site en SSL. Pas tellement pour le référencement, mais plus pour donner le choix (certain pense qu'on est plus protégé en SSL, si si). Cependant, il y avait un obstacle de taille, le coût du certificat SSL (par exemple). Chez Verisign, pour un wildcard, il faut compter plus de 2500$/an (domaine et sous domaine). Pour un blog qui génère grosso-modo 71 chocolatines du trimestre ça fait un peu très cher. J'ai donc demandé à mon fournisseur (o2switch) via Twitter, s'il connaissait un organisme qui faisait les certificats pas cher.

Avant tout un petit article sur l'avancement du référencement Google en https et ce qu'il va falloir mettre en œuvre pour pas trop plomber son site en HTTPS au niveau SEO. Personnellement, j'ai fait le service minimum avec mon Joomla et je ne suis pas sur de me retrouver comme en mars 2013, tout déréférencé pour cause de doublons.

Comme toujours, o2switch répond très très rapidement, et me conseille https://www.ssls.com/ssl-certificates/comodo-positivessl . Pour 4.99 $ / an (si vous prenez 3 ans), votre site aura droit à un petit cadenas-icone vert à côté du https dans la barre d'adresses. A ce prix là, il ne faut pas rêver. On est loin du wildcard. Pour mon petit blog c'est largement suffisant (https://www.geekmps.fr et https://geekmps.fr). En réalité, ce type de certificat est surtout fait pour les applications Facebook (c'est écrit sur le site).

Petite parenthèse Facebook. Les applications que l'on trouve sur les pages Facebook, ne sont pas hébergées sur les serveurs de Facebook, mais bien chez vous. Depuis maintenant quelques temps, l'appel de ces applications est obligatoirement fait en https. Avant un certificat auto signé suffisait. Je n'ai pas vérifié, mais si ce genre de produits existent (les certificats pas cher), c'est que Facebook a du demander des certificats signés.

Il existe plusieurs niveaux de sécurisation. Nous avons donc ici le cas le plus simple.

La procédure

La procédure de mise en place est simple, un peu longue et flippante la première fois. Il va falloir jongler entre les interfaces de o2switch, commodo et vos mails, suivez le guide:

1) Sur le Cpanel de o2Switch, allez dans la partie Sécurité puis SSL/TLS (c'est tout en bas à l'écriture de ce tuto)
    - Cliquez sur Générez, consultez ou supprimez des demandes de signature de certificat SSL.
    - Remplir les champs obligatoires, je vous conseille également de compléter le champ description. (et ne pas mettre trop de bêtises dedans)
    - Dans le champ domaine, il faut entrer le domaine sans * (geekmps.fr dans mon cas)

    - Une fois que vous avez cliqué sur le bouton générer, vous allez avoir plusieurs formulaires:

    - Copiez le bloc "CSR encodée" et gardez cela de côté.

2) La procédure sur le site ssls.com est un peu étrange, on paye avant de commencer l'action.

    - Sur Comodo (ssls.com), cliquer sur le prix, puis cliquez sur le caddie (basket), payez (perso, j'ai utilisé PayPal en cas de soucis on se fait facilement rembourser).
    - Une fois que vous avez payé, on vous propose de créer votre compte ... et enfin d'entrer le CSR encodée, vous faites un copié collé de ce que vous a donnée o2switch => "CSR encodée" (dedans il y a tout ce qu'il faut pour créer votre certificat).
    - Ensuite ça mouline, puis on vous pose une question, Apache ou autre serveur, vous laissez coché Apache.   
    - Comodo remouline, puis il vous propose de recevoir un email ou de télécharger un fichier. J'ai choisi de télécharger le fichier. (surtout parce qu'email ne fonctionnait pas).
    - Cliquer sur le bouton "Got IT ...",  il faut le mettre le fichier téléchargé à la racine de votre site (dans www/). Le fichier est au format txt. Il s'agit de vérifier que vous êtes bien le propriétaire du domaine.
    - Ensuite, on vous demandes vos coordonnées, il faut mettre la même chose que vous avez mis chez o2Switch
    - Faites activation File
Là ça mouline encore un bon moment, surtout dans la tête car il ne se passe pas grand chose pendant 1 bon quart d'heure.

3) Vous allez recevoir 2 mails. Dans un des mails, il y aura un fichier Zip avec 4 fichiers à l'intérieur
   Root CA Certificate - AddTrustExternalCARoot.crt
   Intermediate CA Certificate - COMODORSAAddTrustCA.crt
   Intermediate CA Certificate - COMODORSADomainValidationSecureServerCA.crt
   Your PositiveSSL Certificate - geekmps_fr.crt

Il vous faudra copier le contenu du fichier dont le nom est votre nom de domaine.

4) Aller dans le Cpanel d'O2Switch et toujours dans la partie Sécurité puis SSL/TLS
   - Allez d'abord dans la section "Cles Privées", Cliquez sur le domaine qui vous intéresses et faites modifier
   - Copiez la section "Clé privée encodée"  => -----BEGIN RSA PRIVATE KEY----- ....
   - Maintenant revenez à l'écran Cpanel d'O2Switch et toujours dans la partie Sécurité puis SSL/TLS
   - Choisissez  Installer et gérer SSL pour votre site (HTTPS) et cliquez "Gérer les sites SSL"
   - Maintenant vous choisissez le domaine dans la liste déroulante.
   - Vous copiez la "clef Privée encodée" dans le cadre Clé privée (KEY)
   - Vous copiez le contenu du fichier nomdedomaine.crt  Certificat : (CRT)
   - Les autres cadres sont optionnels
   - Si vous n’êtes pas mort vous pouvez cliquer sur "installer un certificat"

Les captures d'écran en vrac de la procédure

SSL Comodo 001 SSL Comodo 002 SSL Comodo 003 SSL Comodo 004 SSL Comodo 005 SSL Comodo 006 SSL Comodo 007 SSL Comodo 008 SSL Comodo 009 SSL Comodo 010 SSL Comodo 011 SSL Comodo 012 SSL Comodo 013 SSL Comodo 014 SSL Comodo 015 SSL Comodo 016 SSL Comodo 017

Le certificat est en place

Le certificat est maintenant en place. Catastrophe le site en https est tout cassé. Les navigateurs modernes, pour plus de sécurités, ne supportent pas bien le mix https:// http://.  Résultat, il refuse de charger les liens http dans une page https. Chez moi, les premières victimes sont les CSS et javascript. il s'agit surtout d'un problème de mise en cache qui se résoudre en cochant la bonne case dans JotCache (version 5.2.1) (sous Joomla, je préfère JotCache que je trouve plus facile d'utilisation).

Aller dans l'administration de Joomla -> Extensions -> plugins -> JotCache
Dans l'onglet plugin, il faut cocher la case "Multisite"
Si par hasard, vous avez également JchOptimize, dans l'onglet "Cache Operation mode", dans la liste "JS & CSS Integration" choisissez JCH Optimize.

Deuxième victime Piwik. Jusqu'à présent, j'utilisais le sous domaine piwik.geekmps.fr. Ce n'est plus possible. Le certificat n'est pas wildcard et ne sécurise que www.geekmps.fr et geekmps.fr. J'ai juste à changer l'url d'appel de piwik car j'avais placé les sources de Piwik dans un répertoire à la racine du Joomla (C'était la bonne idée du jour). Reste à signaler à Piwik le changement en bricolant le config.inc.php.

Les images en https ne s'affichent pas toutes correctement. Ca peut être lié à la protection "anti-leech" que vous avez activé. Il faut adapter le .htaccess. en ajoutant le lignes suivante (à adapter avec votre nom de domaine)
RewriteCond %{HTTP_REFERER} !^https://geekmps.fr/.*$      [NC]
RewriteCond %{HTTP_REFERER} !^https://geekmps.fr$      [NC]

Je suis tout content de mon cadenas vert à côté de https://geekmps.fr dans la barre d'adresse. Je n'ai pas l'impression que cela servent réellement à quelques choses, sauf à se mettre un coup de pression pendant 1/4 heure et se dire qu'on a lâché 15$ pour rien. Fait du hasard, le lendemain, le nombre de visiteurs unique à fait un bond de +250. Le site est passé d'environ 500  à 750. Je pense que c'est plus le fruit du hasard et des fêtes de noël qui approchent. On verra bien sur le long terme. En revanche, certaine pub adsense ne s'affichent pas, d’où une perte de quelques chocolatines.

Enfin tous n'est pas rose mais presque, le certificat c'est pas SNI (me demande bien ce que ça veut dire). En clair IE de 6 et IE8 sous XP ne savent pas exploiter le certificat (mais à vrai dire je m'assoie allègrement dessus), Java 6u45 ne sait pas non plus gérer le certificat. Je doute qu'une application écrite en java 6u45 aille sur me site ...

Le site https://www.ssllabs.com/ssltest/analyze.html donne la note de A. Ce n'est pas le maximum mais c'est déjà très bien.

classement ssl 

 


Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :


Commentaires (3)

  • Invité - Altapuna

    Bonjour,<br />Merci beaucoup pour ce tutoriel. Étant chez o2switch (et heureux d'y être !) pour plusieurs sites, je me posais depuis un moment la question de l'acquisition de certificats SSL. Je suivrai donc vos indications pour intégrer tout ça ! Par contre, actuellement vous n'avez plus le cadenas vert (mais à la place un cadenas gris avec triangle d'avertissement) : y a-t-il quelque chose qui ne se serait pas passé comme prévu, à la longue ?

  • Invité - Jerome BAPTISTE

    Invité - Altapuna

    Et oui, assez paradoxalement, cet article n'a pas le cadenas vert, crédibilité zéro. heureusement la plupart des pages ont leur cadenas vert.<br />Dans cette page, Il y a des références en http (sans le s) et des liens vers des sites non sécurisé qui trompent l'ennemi, résultat cadenas Gris. Il va falloir que j'étudie le problème de près et faire attention a entrer les url en //monglien.com et voir si le module de commentaires propose une version https<br />Les articles qui n'ont pas trop de lien n'ont pas ce problème [url]https://geekmps.fr/geeks/879-vulkan-du-reve-a-la-realite-sur-cette-api[/url]

  • Invité - Jane

    SSLs.com is well known name for providing ssl certificate at very lowest price. You can get easily get https on your website by paying very less money with ssls.com At this resource [url]http://www.cheapsslcouponcode.com/[/url], you can get ssls.com as well as other ssl providers too with coupon codes at one place which save your time as well as money on ssl purchase.

Poster un commentaire en tant qu'invité

0

Publicité - Ce contenu peut vous intéresser - Test

La pub ça rapporte pas grand chose, en plus ça vous laisse d'horribles cookies non comestibles, autrement appelé trackers. Ce cookie est utilisé par DoubleClick (Google Adsense). Vous avez tout le droit de ne pas en vouloir et donc quitter cet excellent blog. Dans le cas contraire, vous l'acceptez et vous poursuivez le surf en toute connaissance de cause (par ailleurs j'utilise piwik).