Vous n’êtes pas sans savoir que votre site va très certainement devoir passer en HTTPS cette année ? Vous ne le saviez pas ?
2017 sera l’année où internet deviendra « sécurisé » et où une grande partie des connexions se feront en HTTPS (HyperText Transfer Protocol Secure) et non pas en HTTP (HyperText Transfer Protocol)

Pourquoi passer en HTTPS ?

Les données qui transitent via internet ne sont pas sécurisées en HTTP. Un bon pirate peut récupérer les informations qui circulent en claire (non crypté) sur internet. Ainsi, lorsque vous indiquez votre mot de passe sur un site non sécurisé, il y a peut-être un pirate, quelque part dans le monde, qui tente de récupérer votre mot de passe.

Bon, il faut être réaliste et il ne faut pas voir le mal partout non plus. Mais vos données personnelles peuvent être volées Il faut le savoir. Surtout si ces données concernent votre compte en banque. Ou si vous utilisez le même mot de passe partout (bouh !!! Utilisez KeePass dans ce cas).

Du coup, les navigateurs vont, vers le milieu de l’année 2017, vous prévenir que le site est a risque s’il n’est pas sécurisé et qu’il est préférable de ne pas indiquer vos informations personnelles.

Si vous avez un site non sécurisé, c’est donc le moment de le sécuriser.

Combien ça va me coûter un certificat SSL ?

Grâce à Let’s Encrypt, votre certificat ne vous coûtera rien. Bon, c’est un « petit » certificat et il ne sera pas forcément suffisant pour un e-commerce. Mais pour un site n’ayant pas d’informations trop importantes, c’est suffisant.

Le but de cet article n’étant pas de vous montrer comment utiliser Let’s Encrypt, je passe sur son installation et sur renouvellement qui doit se faire tous les 3 mois (mais il est possible d’automatiser ce renouvellement…).

Problème sur Android

Le problème vient que suivant votre configuration serveur, vous pouvez avoir un message d’erreur sur Android. Votre certificat peut sembler invalide (untrusted) et votre site ne sera pas accessible. Vous pouvez d’ailleurs tester votre certificat avec ce site : https://www.ssllabs.com/ssltest/index.html

De mon côté, j’avais bien tout configuré et pourtant le site restait invalide sur Android (mais ok sur desktop). Heureusement, je suis tombé sur ce site : Mozilla SSL Configuration Generator

Il vous permettra de générer une configuration en fonction de votre serveur et de sa version : Apache, Nginx, Lighttpd…

Indiquez votre serveur, sa version et vous aurez un exemple de configuration.

De mon côté, ça a corrigé le problème. Et de votre côté ?!

Share This