Accueil > Base de connaissances > E. Optimisation et SEO > Utiliser SSL pour la totalité du site web

Utiliser SSL pour la totalité du site web


Avoir un site web en SSL à 100% est hautement recommandé :

- un cadenas sans warning dans votre URL, cela donne une image sérieuse de vous immédiatement
- de maximiser la confiance de vos clients (intégrité données personnelles et bancaires)

- d'avoir un meilleur référencement car google intègre cette variable dans son classement :
http://www.abondance.com/actualites/20140807-14164-les-sites-securises-https-seront-mieux-positionnes-google.html 

- mieux lutter contre plusieurs types d'attaques web
- bénéficiez du protocole Http2 : vitesse + sécurité
- Ca vous dit quelque chose : Edward Snowden ? oui... le SSL permet de crypter les navigations sur votre site, et ca, tout le monde l'a enfin compris... filtrant ainsi les espions marketing invasifs...
- Au final : favoriser les ventes !

Lire aussi :
https://www.yoorshop.fr/announcements/348/Annonce-tres-importante--de-Google-sur-le-SSL-pour-janvier-2017.html 
mode http2

******************* A lire *******************
ATTENTION :
depuis la mise jour cPanel 11.58, un nouveau système AutoSSL est apparu générant des ssl gratuits Let's encrypt de manière automatique. Vous devez donc vérifier tester si votre certificat SSL ne serait pas déjà mis en place.
Depuis votre cPanel, allez à SSL/TLS, cliquez 'Parcourir les certificats', et si c'est le cas : vous vérrez un SSL avec émetteur Let's encrypt, puis fermez simplement la petite fenêtre, vous pouvez donc continuer directement en configurant votre site pour fonctionner avec le SSL.
Si pas de SSL pré-installé par cPanel, utilisez la procédure de Let's encrypt comme décrite ci-après

Nous laissons les 2 systèmes pour l'instant car il n'y a pas de conflit possible, il semble que cPanel va évoluer vers la génération de SSL via let's encrypt...
*******************

1. Installer facilement et gratuitement un/vos SSL avec "Let's Encrypt" depuis votre cPanel
(allez à la section Sécurité puis icône Let's encrypt SSL)


Voir la sous-section : 'Issue a new certificate'
Cliquez sur 'Issue' en rapport avec le domaine/sous-domaine désiré, page suivante :
Cliquez en bas 'Issue', et patientez sagement que le processus se termine : 15-30 secondes.

NB 1 : une fois sur votre SSL activé, patientez 5 minutes que le serveur prenne en compte ceci, puis tapez votre domaine avec https:// pour un aperçu, si vous voyez un warning dans le cadenas de l'URL, ou pas de cadenas vert dans chrome, ceci est dû à des éléments qui chargent encore en http, ceci peut impliquer des modules, il faut donc pour les CMS que vous activiez le mode SSL car cela convertira toute ou partie des problèmes :
- prestashop a la fonction native pour le SSL dans l'admin
- pour wordpress il suffit depuis votre admin, section réglages général, de modifier votre domaine pour quil soit de cette forme : https://www.mondomaine.com, puis pour rediriger toutes les pages vers https://, installer le plugin Easy HTTPS Redirection, puis trouver dans générales HTTPs redirection, cliquez : 
Enable automatic redirection to the "HTTPS"  + The whole domain
Force resources to use HTTPS URL

Pour les autres CMS, consultez la documentation de l'éditeur.

Résolution des warnings persistants : 
Dans firefox, appuyez sur le warning, puis cliquez "médias", puis "plus d'informations", et repérez/corrigez les http en https dans votre site, parfois il s'agit de réinstaller des modules, d'autres fois de modifier le code en brut.

NB 2 : Les SSL sont émis pour 3 mois, et se renouvellement automatiquement avant expiration !
NB 3 : En ce qui concerne google webmaster tools, vous pouvez aussi ajouter votre domaine en version SSL
NB 4 : Pour l'histoire du "www" il est possible de le faire fonctionner dans le cas du sous-domaine, cela dépendra comment vous avez crée le sous-domaine avec ou sans "www", ce qui est cas rare
NB 5 : un dossier va être crée dans les fichiers de votre site : .well-known, laissez-le bien en place, il va servir aux renouvellements automatiques futurs...
NB 6 : on ne peut pas installer un SSL sur un domaine ajouté : "alias" puisqu'il redirige sur un autre, impossible de vérifier le domaine pour le processus d'installation SSL

2. Si votre site/CMS n'a pas une telle fonction d'activation du SSL, et que vous voulez rediriger les pages non SSL vers celles en SSL avec www, il suffit d'ajouter ceci dans votre fichier .htaccess :

RewriteEngine on
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule ^(.*)$ http://www.%{HTTP_HOST}/$1 [R=301,L]
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]


Si vous voulez rester sur des pages sans www, et donc rediriger parfaitement les demandes www. vers sans www, remplacez les lignes 2 et 3 par :

RewriteCond %{HTTP_HOST} ^www\.(.*)$ [NC]
RewriteRule ^(.*)$ http://%1/$1 [R=301,L]


Vérification ssl http2 :
https://tools.keycdn.com/http2-test 


3. HSTS  : certification de votre SSL en HSTS avec le niveau A+ par Nginx, si :
- vous utilisez seulement le 100% SSL, cela veut dire sur toutes vos pages sans exception

- votre site web ne montre aucun signe de warning du SSL sur aucune page
- n'utilisez pas cloudflare en version gratuite car ne sera pas compatible avec le SSL tout court


Chez yoorshop, cela ne rigole pas avec le cryptage et la sécurité, vous obtiendrez un SSL de classe A, et même A+ avec le HSTS du point 2 ci-après (alors que 95% des serveurs du marché arrivent à peine au niveau B).

Alors, nous pouvons vous monter au top niveau sécurité/performance avec la norme HSTS :
https://fr.wikipedia.org/wiki/HTTP_Strict_Transport_Security
http://www.bortzmeyer.org/6797.html

Pour procéder, suivez les instructions :

Allez dans votre cPanel, section 'Nginx cluster control', cliquez sur 'XtendWeb NginX control'

Choisissez votre domaine puis cliquez 'Configure'
Ensuite, cliquez sur 'Server settings', voyez la ligne :
'hsts - add_header Strict-Transport-Security "max-age=86400" always;'
Juste dessous vous voyez que c'est désactivé : 'Disabled', cliquez donc sur 'enabled', puis en bas de la page cliquez : 'Submit'

 

Cela vous confirmera ensuite que HSTS est actif :

Strict-Transport-Security Supported


Excellent! This website is using HSTS, also known as Strict Transport Security. This tells the browser to always use SSL when talking to this website, allows more of your visitors the opportunity to both be secure and to use SPDY. The server is sending the header Strict-Transport-Security: max-age=2592000 which tells the web browser to always use SSL to access this website for the next 180 days.

Avec le HSTS, vous aurez un SSL de niveau A+, exemple :
https://www.ssllabs.com/ssltest/analyze.html?d=e-benedetti.fr 


4. Optionnel :
Pensez à ajouter la version https de votre site dans google webmaster tools, avec le sitemaps contenant vos URL en https.
Google comprendra mieux le lien entre le site http et https, afin de transférer votre SEO acquis au site https.

Certificat SSL EV

Si vous voulez une barre verte comme nous, vous devez acheter ce SSL spécifique à notre partenaire recommandé:
Https://www.gogetssl.com 
Celui que nous avons :
https://www.gogetssl.com/extended-validation/comodo-ev-ssl/
Vous devez avoir une entreprise avec personne morale pour acheter ce dernier (ne fonctionne pas si seul commerçant personne physique), et vous devrez compléter seul le processus administratif avec Comodo et le suport Gogetssl. (Nous vous recommandons de l'acheter pendant 2 ans directement pour éviter le processus administratif de renouvellement).
Vous aurez besoin de votre DUNS, obtenez-le gratuitement et en 30 secondes grâce à YOORshop :

http://fedgov.dnb.com/webform/displayHomePage.do

Une fois que vous avez obtenu votre certificat, suivez la procédure avec leur interface et votre cPanel : SSL/TLS.

Cette réponse était-elle pertinente?

 Imprimer cet article

Consultez aussi

Sécurité de vos fichiers/scripts

Les versions PHP sont régulièrement mises à jour pour renforcer leur stabilité, performance, et...

Injections de fichier PHP : file uploads ON-OFF

Cet article a vocation d'expliquer le rôle controversé et nécessaire de la variable du php.ini...

Comment optimiser la rapidité d'affichage de WordPress ?

Pour Wordpress, idem que Prestashop, les meilleures performances sont obtenues en crescendo...

Mon site est visible partout, en permanence, et Cloudflare ?

La stabilité des serveurs ?C'est notre responsabilité d'hébergeur de s'assurer que votre site...

Mesures de sécurité OBLIGATOIRE pour WordPress sur nos serveurs

Ce n'est pas un secret, les sites wordpress subissent des attaques multiples et de plus en plus...