L'année dernière (2014), Google annonçait qu'il référencerait mieux les sites utilisant les protocoles sécurisés (https). Un an plus tard, rien de bien probant d'après mes lectures. Cependant, j'avais toujours en tête de passer le site en SSL. Pas tellement pour le référencement, mais plus pour donner le choix (certain pense qu'on est plus protégé en SSL, si si). Cependant, il y avait un obstacle de taille, le coût du certificat SSL (par exemple). Chez Verisign, pour un wildcard, il faut compter plus de 2500$/an (domaine et sous domaine). Pour un blog qui génère grosso-modo 71 chocolatines du trimestre ça fait un peu très cher. J'ai donc demandé à mon fournisseur (o2switch) via Twitter, s'il connaissait un organisme qui faisait les certificats pas cher.
Avant tout un petit article sur l'avancement du référencement Google en https et ce qu'il va falloir mettre en œuvre pour pas trop plomber son site en HTTPS au niveau SEO. Personnellement, j'ai fait le service minimum avec mon Joomla et je ne suis pas sur de me retrouver comme en mars 2013, tout déréférencé pour cause de doublons.
Comme toujours, o2switch répond très très rapidement, et me conseille https://www.ssls.com/ssl-certificates/comodo-positivessl . Pour 4.99 $ / an (si vous prenez 3 ans), votre site aura droit à un petit cadenas-icone vert à côté du https dans la barre d'adresses. A ce prix là, il ne faut pas rêver. On est loin du wildcard. Pour mon petit blog c'est largement suffisant (https://www.geekmps.fr et https://geekmps.fr). En réalité, ce type de certificat est surtout fait pour les applications Facebook (c'est écrit sur le site).
Petite parenthèse Facebook. Les applications que l'on trouve sur les pages Facebook, ne sont pas hébergées sur les serveurs de Facebook, mais bien chez vous. Depuis maintenant quelques temps, l'appel de ces applications est obligatoirement fait en https. Avant un certificat auto signé suffisait. Je n'ai pas vérifié, mais si ce genre de produits existent (les certificats pas cher), c'est que Facebook a du demander des certificats signés.
Il existe plusieurs niveaux de sécurisation. Nous avons donc ici le cas le plus simple.
La procédure
La procédure de mise en place est simple, un peu longue et flippante la première fois. Il va falloir jongler entre les interfaces de o2switch, commodo et vos mails, suivez le guide:
1) Sur le Cpanel de o2Switch, allez dans la partie Sécurité puis SSL/TLS (c'est tout en bas à l'écriture de ce tuto)
- Cliquez sur Générez, consultez ou supprimez des demandes de signature de certificat SSL.
- Remplir les champs obligatoires, je vous conseille également de compléter le champ description. (et ne pas mettre trop de bêtises dedans)
- Dans le champ domaine, il faut entrer le domaine sans * (geekmps.fr dans mon cas)
- Une fois que vous avez cliqué sur le bouton générer, vous allez avoir plusieurs formulaires:
- Copiez le bloc "CSR encodée" et gardez cela de côté.
2) La procédure sur le site ssls.com est un peu étrange, on paye avant de commencer l'action.
- Sur Comodo (ssls.com), cliquer sur le prix, puis cliquez sur le caddie (basket), payez (perso, j'ai utilisé PayPal en cas de soucis on se fait facilement rembourser).
- Une fois que vous avez payé, on vous propose de créer votre compte ... et enfin d'entrer le CSR encodée, vous faites un copié collé de ce que vous a donnée o2switch => "CSR encodée" (dedans il y a tout ce qu'il faut pour créer votre certificat).
- Ensuite ça mouline, puis on vous pose une question, Apache ou autre serveur, vous laissez coché Apache.
- Comodo remouline, puis il vous propose de recevoir un email ou de télécharger un fichier. J'ai choisi de télécharger le fichier. (surtout parce qu'email ne fonctionnait pas).
- Cliquer sur le bouton "Got IT ...", il faut le mettre le fichier téléchargé à la racine de votre site (dans www/). Le fichier est au format txt. Il s'agit de vérifier que vous êtes bien le propriétaire du domaine.
- Ensuite, on vous demandes vos coordonnées, il faut mettre la même chose que vous avez mis chez o2Switch
- Faites activation File
Là ça mouline encore un bon moment, surtout dans la tête car il ne se passe pas grand chose pendant 1 bon quart d'heure.
3) Vous allez recevoir 2 mails. Dans un des mails, il y aura un fichier Zip avec 4 fichiers à l'intérieur
Root CA Certificate - AddTrustExternalCARoot.crt
Intermediate CA Certificate - COMODORSAAddTrustCA.crt
Intermediate CA Certificate - COMODORSADomainValidationSecureServerCA.crt
Your PositiveSSL Certificate - geekmps_fr.crt
Il vous faudra copier le contenu du fichier dont le nom est votre nom de domaine.
4) Aller dans le Cpanel d'O2Switch et toujours dans la partie Sécurité puis SSL/TLS
- Allez d'abord dans la section "Cles Privées", Cliquez sur le domaine qui vous intéresses et faites modifier
- Copiez la section "Clé privée encodée" => -----BEGIN RSA PRIVATE KEY----- ....
- Maintenant revenez à l'écran Cpanel d'O2Switch et toujours dans la partie Sécurité puis SSL/TLS
- Choisissez Installer et gérer SSL pour votre site (HTTPS) et cliquez "Gérer les sites SSL"
- Maintenant vous choisissez le domaine dans la liste déroulante.
- Vous copiez la "clef Privée encodée" dans le cadre Clé privée (KEY)
- Vous copiez le contenu du fichier nomdedomaine.crt Certificat : (CRT)
- Les autres cadres sont optionnels
- Si vous n’êtes pas mort vous pouvez cliquer sur "installer un certificat"
Les captures d'écran en vrac de la procédure
Le certificat est en place
Le certificat est maintenant en place. Catastrophe le site en https est tout cassé. Les navigateurs modernes, pour plus de sécurités, ne supportent pas bien le mix https:// http://. Résultat, il refuse de charger les liens http dans une page https. Chez moi, les premières victimes sont les CSS et javascript. il s'agit surtout d'un problème de mise en cache qui se résoudre en cochant la bonne case dans JotCache (version 5.2.1) (sous Joomla, je préfère JotCache que je trouve plus facile d'utilisation).
Aller dans l'administration de Joomla -> Extensions -> plugins -> JotCache
Dans l'onglet plugin, il faut cocher la case "Multisite"
Si par hasard, vous avez également JchOptimize, dans l'onglet "Cache Operation mode", dans la liste "JS & CSS Integration" choisissez JCH Optimize.
Deuxième victime Piwik. Jusqu'à présent, j'utilisais le sous domaine piwik.geekmps.fr. Ce n'est plus possible. Le certificat n'est pas wildcard et ne sécurise que www.geekmps.fr et geekmps.fr. J'ai juste à changer l'url d'appel de piwik car j'avais placé les sources de Piwik dans un répertoire à la racine du Joomla (C'était la bonne idée du jour). Reste à signaler à Piwik le changement en bricolant le config.inc.php.
Les images en https ne s'affichent pas toutes correctement. Ca peut être lié à la protection "anti-leech" que vous avez activé. Il faut adapter le .htaccess. en ajoutant le lignes suivante (à adapter avec votre nom de domaine)RewriteCond %{HTTP_REFERER} !^https://geekmps.fr/.*$ [NC]RewriteCond %{HTTP_REFERER} !^https://geekmps.fr$ [NC]
Je suis tout content de mon cadenas vert à côté de https://geekmps.fr dans la barre d'adresse. Je n'ai pas l'impression que cela servent réellement à quelques choses, sauf à se mettre un coup de pression pendant 1/4 heure et se dire qu'on a lâché 15$ pour rien. Fait du hasard, le lendemain, le nombre de visiteurs unique à fait un bond de +250. Le site est passé d'environ 500 à 750. Je pense que c'est plus le fruit du hasard et des fêtes de noël qui approchent. On verra bien sur le long terme. En revanche, certaine pub adsense ne s'affichent pas, d’où une perte de quelques chocolatines.
Enfin tous n'est pas rose mais presque, le certificat c'est pas SNI (me demande bien ce que ça veut dire). En clair IE de 6 et IE8 sous XP ne savent pas exploiter le certificat (mais à vrai dire je m'assoie allègrement dessus), Java 6u45 ne sait pas non plus gérer le certificat. Je doute qu'une application écrite en java 6u45 aille sur me site ...
Le site https://www.ssllabs.com/ssltest/analyze.html donne la note de A. Ce n'est pas le maximum mais c'est déjà très bien.
Comments powered by CComment