OK
AJAX error!

Les forumsÀ propos du siteHTTPS sur le site [activé]

HTTPS sur le site [activé]

Bonjour,

Maintenant que Firefox affiche un avertissement quand on se connecte sur un site en HTTP (et parce que c'est de toute façon une bonne pratique), serait-il envisageable d'avoir HTTPS sur le site ?
Cela semble déjà fonctionner si on force la connexion en HTTPS mais le certificat n'est pas valide pour le domaine dicollecte.org.
le 13 mars 2017 à 10:52
Bonjour,

En effet, il est déjà possible de passer par https sur ce site… c’est l’hébergeur qui a mis ça en place il y a longtemps. Mais c’est un certificat dont nous ne faisons pas partie… Je n’ai jamais saisi clairement quel problème ça posait, faute de m’être sérieusement renseigné sur la question. Je me souviens d’un long débat sur LinuxFR sur les autorités de certification, où, de mémoire, une bonne partie des participants semblaient penser que les autorités de certification ne valaient pas grand-chose, voire rien du tout, et que leur certificats n’étaient qu’une pompe à fric.

Quoi qu’on en pense, je ne vois pas le rapport avec les avertissements de Firefox… ça ne change rien au comportement du site. Tout ce qui est publié est public ici. Il n’y a pas de données sensibles. Hormis les mots de passe eux-mêmes, bien sûr. Mais enfin, celui qui utilise les mêmes mots de passe sur différents sites est un grand imprudent, https ou pas.

Bref… https… bof… peut-être… je ne suis pas certain que ça en vaille la peine pour ce site… En tout cas, pas avant de passer de dicollecte.org à grammalecte.net. Et même alors, ces histoires d’autorités de certification, ça m’ennuie… Je hais la paperasse.
le 14 mars 2017 à 13:30
La situation des autorités de certification a beaucoup évolué ces derniers temps avec l'arrivée de Let's Encrypt (letsencrypt.org…) qui propose des certificats gratuits avec un système open-source qui automatise la vérification (juste un script à lancer sur le serveur, pas de paperasse), à voir si votre hébergeur peut supporter ça.

Concernant les avantages de HTTPS, ça permet d'éviter le vol de mot de passe oui, mais aussi de s'assurer qu'on télécharge bien la ressource souhaitée (d'où l'intérêt d'avoir un certificat valide qui atteste qu'on est bien sur dicollecte.org et pas sur un serveur qui aurait intercepté la connexion et qui balance du malware).
Globalement on va de plus en plus vers HTTPS comme protocole par défaut et les navigateurs vont être de plus en plus désagréable avec les sites en HTTP.

Enfin bref, je demandais juste au cas où et je comprendrais que vous ayez des choses plus urgentes à faire.

le 14 mars 2017 à 16:10
OK, merci pour les précisions. J’y réfléchirai lors du changement de nom de domaine.
le 14 mars 2017 à 16:41
Je vois que sur la plateforme d’administration (Plesk), il est possible de téléverser des certificats, et qu’il y a une option pour activer Let’s Encrypt… On va essayer.

Ça fait au moins 300 millions d’années que je n’avais pas fait un tour là-dedans. D’habitude, je me contente de me connecter via FTP quand je veux modifier le site.
le 14 mars 2017 à 18:18
C’est fait. Si j’avais su qu’il y avait un bouton pour faire ça automatiquement… :/
le 14 mars 2017 à 18:23
Pour les certificats "Let's Encrypt" avec Plesk il y a un module de prévu ext.plesk.com…
Dans les avantage de passer aux HTTPS il y a aussi la possibilité de pouvoir activer le HTTP2 qui permet d'améliorer les performances de chargement des pages.
Si vous passez aux HTTPS pensez à bien faire des redirections du HTTP vers le HTTPS et non avoir "2 copies du site (qui fait perdre tout le travail de référencement...)".
le 14 mars 2017 à 18:32
Pour activer Let’s Encrypt, j’ai juste eu à cliquer sur un bouton. L’extension dont vous parlez est apparemment installée.

En fouillant dans les options, je vois :

Redirection 301 permanente (SEO vérifié) de HTTP vers HTTPS


J’ai activé la redirection. En espérant qu’il n’y aura pas d’effet secondaire imprévu. :)

Merci pour les conseils.
le 14 mars 2017 à 18:42
Normalement tout est correct et il ne devrais pas y avoir d’effet secondaire négatif. Sinon si vous avez dans les options d'apache (du serveur web) l'activation du HTTP2 ça pourrait être pas mal de l'activer.
le 14 mars 2017 à 23:16
Je n’ai rien vu de tel.
le 15 mars 2017 à 02:20

Notification par e-mail    0